WordPress säkerhet – 14 enkla åtgärder för maximal säkerhet

När det gäller WordPress-säkerhet är det vanligt att många installerar ett plugin och sedan tror att säkerheten är löst. Men ett plugin kan göra sidan långsammare och ger inte ett fullständigt skydd, vilket kan leda till en falsk trygghet.

Säkerheten på din WordPress-sida är bara så stark som dess svagaste länk, därför är det viktigt att ha ett helhetsperspektiv och täcka alla områden.

I den här artikeln delar vi praktiska och lättanvända tips som hjälper dig att förbättra säkerheten på din webbplats utan att kompromissa med prestanda.

Är WordPress säkert?

Ja, WordPress är i grunden en säker plattform, men din hemsidas säkerhet beror också på hur väl du underhåller den. WordPress har strikta säkerhetskontroller och snabba uppdateringar för att täppa till sårbarheter. Så länge du håller din WordPress-installation uppdaterad, är risken för att bli hackad på grund av själva plattformen mycket liten.

De flesta intrång sker på grund av användarfel, där administratören inte har följt viktiga säkerhetsråd för att skydda sin webbplats.

En WordPress-hacker?

1 – Håll WordPress, plugins och teman uppdaterade

En av de viktigaste säkerhetsåtgärderna du kan ta för din WordPress-sida är att hålla WordPress, teman och plugins uppdaterade. Eftersom WordPress är ett open source-projekt har alla tillgång till koden, vilket både är en fördel och en potentiell säkerhetsrisk. Hackare kan analysera koden för att hitta sårbarheter och utnyttja dem för att ta kontroll över din webbplats.

Varje gång en säkerhetslucka rapporteras släpper WordPress-teamet snabbt en uppdatering. Om du inte använder den senaste versionen löper du risken att din sida har kända säkerhetsbrister. Hackare söker aktivt efter sidor med föråldrad mjukvara och riktar sina attacker mot dessa sårbara webbplatser.

Därför är det absolut nödvändigt att du uppdaterar WordPress, teman och plugins så fort en ny version blir tillgänglig. Även om det kan kännas obekvämt att uppdatera – särskilt om du driver en e-handelsplats – är det alltid bättre att riskera att skapa mindre problem själv, så länge du har en backup, än att låta en obehörig få tillgång till din webbplats.

Att hålla allt uppdaterat är en av de enklaste och mest effektiva sakerna du kan göra för att skydda din WordPress-sida från hot och säkerhetsintrång.

uppdateringar i WP-admin

Automatiska uppdateringar
I WordPress 3.7 så introducerades automatiska uppdateringar för WordPress, så mindre säkerhetsuppdateringar av själva WordPress ska utföras automatiskt på din sida.

Man kan också aktivera automatiska uppdateringar av tema och plugins genom att lägga till följande till ditt temas functions.php-fil:

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Verifiera uppdateringar i ”stagingmiljö”
För systemkritiska hemsidor som alltid måste vara tillgängliga är det en bra idé att testa uppdateringar på en staging-sida innan du gör ändringar på den skarpa webbplatsen. Detta minskar risken för driftstopp eller problem efter uppdateringen.

Genom att först verifiera uppdateringarna i stagingmiljön säkerställer du att inga oväntade fel uppstår när du väl uppdaterar din live-hemsida.

Det ger en tryggare process för att hålla allt uppdaterat utan risk.

2 – Avinstallera inaktiva plugins och teman

En vanlig missuppfattning är att inaktiva plugins inte påverkar hemsidans säkerhet, men även inaktiverade plugins kan utnyttjas av hackare om de innehåller säkerhetsbrister.

Om du dessutom glömmer att uppdatera inaktiva plugins, ökar risken för intrång. Vi rekommenderar att du håller antalet installerade plugins till ett minimum och avinstallerar de du inte använder.

Att enbart inaktivera dem räcker inte för att garantera säkerheten.

3 – Se till att ha rätt (restriktiva) filrättigheter

Filrättigheter (eller filbehörigheter) bestämmer vem och vad som kan läsa, skriva och ändra dina filer som utgör WordPress och allt du installerat där i. Om dina filer inte har de tightast möjliga filrättigheterna på plats är det lättare för hackare att modifiera dina filer och göra intrång på din webbplats.

Filrättigheter brukar anges i form av 3 siffror, t.ex. 755, där varje siffra representerar en användargrupp och vad den gruppen har för rättigheter.

Den första gruppen från vänster är user/owner rättigheter, den andra är group rättigheter och den tredje gruppen är others rättigheter.

Enkelt förklarat så kan man säga att ju högre siffra desto mer rättigheter. För den nördiga kommer här en förklaring vad de olika siffrorna betyder:

4 = read (r)
2 = write (w)
1 = execute (x)
0 = no permission (-)

Read + write + execute = 7
Read + write = 6
Read + execute = 5
Read = 4

Alla mappar bör ha 755 eller 750.

Alla filer bör ha 644 eller 640, med undantag för wp-config.php som bör ha antingen 440 eller 400 för att förhindra obehöriga att läsa den.

Inga mappar bör någonsin sättas till 777, vilket ger alla användare fulla rättigheter. Det ska aldrig vara nödvändigt eftersom PHP-processen körs av ägaren av filerna, och därmed så kan den skriva i mappar med 755.

Tighta filrättigheter är extra viktigt i en “shared hosting”-miljö, där man delar server med främlingar, för att säkerställa så att andra användare på servern inte kan komma åt dina filer.

Hur man ändrar filrättigheter
Att ändra filrättigheter är enkelt och kan exempelvis göras med hjälp av den mycket populära och gratis FTP-klienten FileZilla.

För att ändra filrättigheter i FileZilla så är det bara att högerklicka på den fil eller mapp som man vill ändra och trycka på “Filrättigheter…”

Filrättigheter i FileZilla
Hur man ändrar filrättigheter i FileZilla

4 – Inaktivera den inbyggda filredigeraren

Visste du att WordPress kommer med en inbyggd filredigerare för teman och plugins? Den gör det enkelt att i WP Admin redigera filer på din hemsida, vilket kanske kan vara en bekvämlighet för vissa, men den kan också innebära vissa risker.

När filredigeraren är aktiverad så kan administratörer redigera koden i teman och plugins direkt i webbläsaren. Det utgör en potentiell säkerhetsrisk eftersom man enkelt kan begå misstag som får hela sidan att sluta fungera när man utför ändringar, och det ger också hackare snabb tillgång till alla filer som utgör din hemsida.

Vi rekommenderar istället att man helt inaktiverar denna filredigerare och istället redigerar via filer över SFTP.

Den inbyggda filredigeraren kan enkelt inaktiveras i wp-config.php genom att lägga till följande kodsnutt:

define( 'DISALLOW_FILE_EDIT', true );
WordPress filredigerare
WordPress inbyggda filredigerare

5 – Sätt ett eget databas-prefix

WordPress använder ett standardprefix för databastabeller, oftast wp_. Vissa attacker riktar sig specifikt mot detta prefix, så att byta till ett unikt prefix kan avvärja vissa hot.

Antalet attacker mot just detta prefix är dock begränsat, och att byta prefix på en befintlig WordPress-installation kan vara riskfyllt.

Därför rekommenderar vi endast att byta prefix vid nyinstallation, och inte på en redan befintlig hemsida.

WordPress databasprefix
Det kan vara en bra idé att välja annan databasprefix än wp_

6 – Använd säkra användarnamn och lösenord

En av de vanligaste metoderna hackare använder för att få åtkomst till en hemsida är att gissa lösenordet.

Om man använder enkla och vanligt förekommande lösenord så möjliggör man för obehöriga att relativt enkelt ta sig in på ens hemsida genom en s.k. Brute force-attack där man testar mängder med olika lösenord tills man tar sig in. Om man istället använder ett starkt lösenord så blir en sådan attack i praktiken omöjlig att lyckas med.

Att använda starka lösenord kan tyckas som en självklarhet för vissa, men det finns fortfarande många som använder väldigt dåligt lösenord. Säkerhetsföretag som SplashData och NordPass sammanställer listor på de vanligaste lösenorden. Enligt den senaste listan är de 5 vanligaste lösenorden:

  1. 123456
  2. 123456789
  3. 12345
  4. qwerty
  5. password

Se till använda ett långt och komplext lösenord som helst är slumpmässigt genererat och som är exklusivt för din hemsida.

Det är också vanligt att användarnamnet “admin” används för administratörskontot. För bättre säkerhet rekommenderar vi att du väljer ett annat användarnamn. Detta gör det svårare för hackare att gissa både rätt användarnamn och lösenord, vilket stärker säkerheten på din WordPress-sida.

Säkra lösenord
Lösenord ska helst vara unika och komplexa

7 – Implementera 2FA (tvåfaktorsautentisering)

2FA, eller tvåfaktorsautentisering, är en säkerhetsprocess som kombinerar två olika verifieringsmetoder vid inloggning: vanligtvis något du känner till (ditt lösenord) med något du har (en unik kod skickad till din mobil via SMS eller genererad av en autentiseringsapp). Din hemsida får därmed ett extra säkerhetslager som avsevärt minskar risken för obehörig åtkomst. Om ditt lösenord komprometteras, förblir kontot skyddat tack vare det andra autentiseringssteget.

Du implementerar tvåfaktorsautentisering på din WordPress-sajt så här:

  • Välj ett 2FA-plugin: Ett exempel på ett populärt 2FA-plugin är Wordfence Security.
2FA-pluginet tillhandahåller funktionen att lägga till tvåfaktorsautentisering på din WordPress-sajt. När det installerats kan det konfigureras för olika autentiseringsmetoder, inklusive kodgenerering från autentiseringsappar.
  • Välj autentiseringsapp: Två populära autentiseringsappar är Google Authenticator och Microsoft Authenticator.
Dessa appar fungerar som den andra faktorn i 2FA-processen. När du konfigurerar ditt WordPress-plugin för 2FA, kan du välja att använda dessa appar som din autentiseringsmetod. Vanligtvis skannar man en QR-kod från WordPress-pluginet med den valda autentiseringsappen för att koppla kontot. Därefter genererar appen en unik kod som används vid varje framtida inloggning.

8 – Uppdatera WordPress säkerhetsnycklar i wp-config.php

WordPress säkerhetsnycklar (eller “security keys”) är en samling slumpmässigt genererade variabler som hjälper till att förbättra krypteringen av information som sparas i besökare och administratörers cookies.

Det finns fyra olika nycklar: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, and NONCE_KEY.

När du installerar WordPress så genereras dessa på ett slumpmässigt sätt och är unika för din sida. Men, om du någon gång har flyttat från ett webbhotell till ett annat, eller om du har tagit över din hemsida efter någon annan, så kan det vara en god idé att generera nya säkerhetsnycklar.

Dessa kan utan problem bytas ut när som helst, men det medför att alla som är inloggade på din sida kommer att loggas ut.

Man kan enkelt få en samling nyligen genererade säkerhetsnycklar genom ett smart verktyg på WordPress.org och sen klistra in dem i wp-config.php.

Säkerhetsnycklar i wp-config.php
Säkerhetsnycklarna i wp-config.php är bäst att byta ut vid flytt

9 – Inaktivera XML-RPC

XML-RPC är en funktion i WordPress som tidigare använts för kommunikation mellan WordPress och en del andra system, exempelvis andra bloggnätverk. På senare år så har dock denna funktion bantats ner igen i takt med att användandet av den minskat, och funktionen planeras att tas bort helt i framtiden och istället ersättas med WordPress egna API.

Idag så är användningsområdet för XML-RPC väldigt litet. Det har istället blivit ett populärt “verktyg” för hackare, då det möjliggör att testa hundratals kombinationer av lösenord med ett enda kommando.

Om du använder Templ som webbhotell så är redan XML-RPC blockerat från början, och om du använder något annat webbhotell så är det relativt enkelt att inaktivera den funktion på andra sätt.

Man kan antingen inaktivera XML-RPC med hjälp av ett plugin, eller genom att klistra in lite kod i ens temas functions.php-fil:

add_filter( 'xmlrpc_enabled', '__return_false' );

.. eller ännu bättre i .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

10 – Dölj vilken version av WordPress du använder

Vilken WordPress-version som används på din sida skrivs vanligtvis ut i sidans HTML-kod, så om du har en gammal version av WordPress med kända sårbarheter så är det alltså väldigt enkelt för en hackare att ta del av den informationen.

Även om vi förstås rekommenderar att man alltid kör den senaste versionen av WordPress så kan det ändå vara en bra idé att dölja för världen vilken version man använder sig av. Ju mindre utomstående vet om din WordPress-installation desto svårare är det att utföra riktade attacker mot den.

Det är enkelt att dölja WordPress-version med hjälp av lite kod i functions.php:

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');
WordPress version i HTML head
WordPress skriver från början ut vilken version man använder i HTML-koden

11 – Använd SSL och HTTPS

Även om SSL har blivit något av en självklarhet idag så skadar det inte att ännu en gång understryka vikten SSL om man vill ha en hemsida som är säker.

Med ett SSL-certifikat så kan man använda det krypterade protokollet HTTPS istället för gamla okrypterade HTTP. Det innebär att när man fyller i exempelvis ett inloggningsformulär på en sida med HTTPS så krypteras informationen inkl. Lösenord och annan känslig information vilket gör det omöjligt för någon annan att utläsa på vägen.

Även om den största fördelen med SSL är just säkerhet så är det idag också starkt förknippat med SEO-fördelar (eftersom Google m.fl. föredrar HTTPS över HTTP), ökat förtroende hos besökare och att man numera även slipper se varningar när man går in på sidan.

Att ha ett SSL-certifikat och köra sin sida helt över HTTPS bör idag vara en självklarhet.

12 – Byt URL till WP Admin

Alla WordPress sidor använder från början en och samma adress till WP Admin, nämligen dindomän.se/wp-admin. Ett problem med det kan vara att alla känner till denna adress, inkl. Botar och hackare.

Genom att ändra URL till WP Admin kan man göra en sida blir mindre utsatt för attacker. Man kan enkelt byta adress till WP Admin genom att använda pluginet WPS Hide Login.

Vilket vi också beskriver i detalj hur man sätter upp i ett annat blogginlägg.

Det är viktigt att ha i åtanke att detta inte är en lösning på alla problem, men det kan helt klart vara ett sätt att försvåra för hackare att ta sig in på din sida.

Ändra WP Admin adress
URL till WP Admin kan enkelt ändras med ett plugin

13 – Se till att ta dagliga backuper

En backup förhindrar inte att din hemsida utsätts för attacker, men den är ovärderlig när något går fel. Om din webbplats blir komprometterad kan du snabbt återställa den till ett tidigare, säkert tillstånd. Att ha en aktuell backup är avgörande för att rädda din sida om olyckan är framme och du behöver återställa dess innehåll.

Oavsett vilka förebyggande medel du än tar till så kommer din hemsida aldrig att bli 100% säker. Därför vill man ha alltid se till att säkerhetskopior av ens hemsida tas på en regelbunden basis.

De flesta webbhotellen i premiumsegmentet tar daglig backup av alla hemsidor, så även vi på Templ. Om ditt webbhotell inte erbjuder backup så är det enkelt att lösa på egen hand med hjälp av exempelvis pluginet UpDraft men bör då ha i åtanke att ett plugin för backup kommer att påverka din hemsidas prestanda och nyttja mycket av det utrymme du betalar för på ditt webbhotell.

Ifall din hemsida har hackats och du har en backup att tillgå så kan du läsa vår artikel om hackad WordPress och hur man räddar sin sida.

Templ-panelen backuper

14 – Välj ett säkert webbhotell

När det gäller säkerhet och WordPress finns det många faktorer som sträcker sig bortom själva hemsidan. Flera viktiga säkerhetsåtgärder måste vidtas på servernivå, vilket är något ditt webbhotell ansvarar för. Hos Templ tar vi säkerhet på största allvar och integrerar säkerhetstänk i allt vi gör, för att ge din webbplats bästa möjliga skydd från grunden.

Det är väldigt viktigt att alltid välja ett webbhotell som man verkligen kan lita på, eller att du själv har oerhört goda kunskaper om säkerhet om du väljer att placera din hemsida på en VPS och därmed bära hela ansvaret för säkerhet själv.

Det är också viktigt att känna till att olika webbhotell har kraftigt varierande policy för vad man gör när en hemsida blivit hackad. Vissa webbhotell stänger helt sonika av hemsidor som har drabbats och vill inte veta av dem, medan vi på Templ erbjuder kostnadsfri hjälp för att rädda hackade sidor.

Ett webbhotell som tar säkerhet på allvar har ofta:

  • Brandvägg som skyddar mot olika attacker
  • Senaste version av PHP, MySQL och annan mjukvara
  • Dagliga backuper
  • Support tillgänglig dygnet runt
  • Övervakning dygnet runt av alla hemsidor
  • Samt en rad andra avancerade funktioner för bättre säkerhet.

Slutord

Avslutningsvis är det värt att betona att WordPress är en säker plattform, men det är avgörande att hålla allt uppdaterat och använda sunt förnuft.

Säkerheten sträcker sig dock djupare än WordPress själv. Du bör antingen ha god förståelse för IT-säkerhet eller välja ett webbhotell som prioriterar säkerhet.

Dagliga backuper är också ett måste för att kunna återställa din sida vid problem. Har du frågor om WordPress-säkerhet?

Tveka inte att fråga i chatten eller kommentarsfältet. Lycka till! 🙂

Därför bör du separera hosting och e-post

När något måste åtgärdas i ditt hem så anlitar du en expert. Du ringer rörmokaren vid läckage och elektrikern om du saknar ström. Men när det gäller e-post är det fortfarande många som envisas med att använda ett webbhotell som leverantör. Detta trots att det finns många experter på just e-post, som är mycket bättre alternativ. Visst, det kräver olika konton och ibland kostar det lite mer till en början, men det är en investering som snabbt betalar sig i form av minskad huvudvärk och större arbetsro.

Varför webbhotell erbjuder e-post

E-post är ett av de äldsta kommunikationsverktygen på internet och fortfarande det viktigaste i kontakten mellan företag och dess kunder, så det kan förstås verka rimligt att webbhotell erbjuder en egen e-posttjänst. Och det var rimligt – för några år sedan. För precis som många andra digital tjänster har e-post genomgått en utveckling och idag finns specialiserade lösningar som är enklare, säkrare, snabbare, och framförallt mer tillförlitliga. 

Templ bygger en hosting-tjänst i världsklass. Vi fixar allt på din WordPress-sajt – hastighetsoptimeringar, kodändringar, uppdateringar, you name it! Det förutsätter ett knivskarpt fokus på hosting. Istället för en traditionell inkorg erbjuder Templ ett smidigt upplägg för kunden att mejla med egen domän via Gmail – världens populäraste e-posttjänst. På så sätt får kunden det bästa av två världar.

Anledningar att separera hemsida och e-post

För att upprätthålla e-postens tillförlitlighet krävs flera lager av säkerhet och ett kontinuerligt arbete för att motarbeta phishing och spam. Eftersom ett webbhotells huvudfokus är hemsidor saknas ofta motivation att skaffa den specialkompetens, eller lägga de resurser som krävs, för att hantera e-post på bästa sätt. Det är därför du kan uppleva problem med ditt företags e-post, men sällan med din privata, som ju nästan alltid hanteras av en specialiserad mejltjänst såsom Gmail.

Att köpa e-post och hemsida i ett paket kan förstås verka smidigt, men det finns flera fördelar med att separera dem. 

Om det är problem med servern din e-post och hemsida placeras på, finns det risk att båda slutar fungera samtidigt. Bättre då att använda Gmail eller investera i en helt separat mejllösning med dedikerade resurser.

Eftersom e-post är oumbärligt i de flesta verksamheter måste supporten vara snabb och kunnig. Med en specialiserad mejllösning kan du vara säker på att du får support av experter. Dessutom kommer du behöva mindre hjälp från supporten, eftersom tjänsten är skräddarsydd för e-post och därmed mer tillförlitlig. 

Ytterligare ett argument för att separera e-post och hemsida är flexibilitet. Med olika tjänster är det enklare att byta ut den tjänst du är missnöjd med. Är du nöjd med hostingen, men inte med e-posten, kan du enkelt byta ut den senare utan att det påverkar hemsidan. 

Vad du kan förvänta dig hos Templ

Templ fokuserar på att bygga världens bästa hostingtjänst för WordPress-sajter. Av den anledningen erbjuder vi ingen fullfjädrad inkorgslösning. Vi har dock SMTP-servrar för utgående e-post, vilken kan användas tillsammans med gratistjänster såsom Gmail för att skicka och ta emot e-post. Du kan givetvis använda ditt eget domännamn, så att du kan skicka och ta emot e-post med t.ex. support@dindomän.se. SendGrid används för leverans av e-posten – ett företag specialiserat på e-post som kan stoltsera med över 100 miljarder skickade mejl månatligen och kunder som Spotify, Uber och Airbnb. Det säkerställer en pålitlig och säker leverans av e-posten, vare sig den skickas manuellt eller automatiskt från din hemsida.

Önskar du mer funktionalitet rekommenderar vi Google Workspace. Det kräver att man ändrar domänens DNS-inställningar, vilket vi gärna hjälper till med. 

E-post som automatiskt genereras av din WordPress-sajt, tex. användarregistering, orderbekräftelse, eller lösenordsmail, ingår givetvis i alla planer.

Hackad WordPress-sida? Hur du räddar den!

Är du här på grund av att din hemsida precis har blivit hackad, och vill veta hur du återställer den? Bra, då har du kommit helt rätt. Jag förstår att du just nu har en känsla av obehag och kanske även ilska, och om det är till någon tröst alls: Du är inte ensam.

Jag kommer i den här guiden gå igenom hur du går tillväga för att rensa din hackade WordPress-hemsida på skadlig och oönskad kod.

90 000 attacker per minut. Du är inte ensam.

Med en marknadsandel på 34 % är WordPress det överlägset största publiceringsverktyget på marknaden, så det är ingen överraskning att det även är det mest hackade verktyget. Ett faktum som dock är lite mer anmärkningsvärt, är att det pågår mer än 90 000 attacker mot WordPress-sidor per minut världen över. En siffra som bör motivera alla WordPress-användare att anstränga sig för att göra sina hemsidor så säkra som möjligt.

Varför har just min hemsida blivit hackad?

Att en WordPress-hemsida blir hackad beror ofta på en av följande tre anledningar:

  1. Svagt lösenord och ett lättåtkomligt användarnamn – Hackaren börjar med att scanna av din hemsida för att hitta användarnamnet till WP admin. Användarnamnet är ofta lättåtkomligt och går bland annat att finna på sidan: https://example.com/author/username/. Skulle hackarna inte hitta något kan de testköra “admin” som användarnamn, vilket antagligen är det vanligaste användarnamnet bland WordPress-användare.

    När hackaren har hittat dina användarnamn börjar själva attacken. Med hjälp av olika script och textfiler innehållandes listor med tusentals vanliga lösenord, testas nu olika lösenordskombinationer med de användarnamn hackaren har hittat. Om varken du själv eller ditt webbhotell har vidtagit förebyggande åtgärder, har hackaren fritt fram att köra sina script och ta sig in på hemsidan.
  2. Gamla versioner av WordPress, plugins och teman – En av de saker som hackare älskar mest är säkerhetshål som uppstår i gamla versioner av WordPress, plugins och teman. Vi rekommenderar att du uppdaterar allt detta automatiskt och kontinuerligt, för att minska risken att hackarna kommer åt din sida.
  3. Plugins och teman från inofficiella sidor – Ladda alltid hem plugins och teman från antingen wordpress.org eller från seriösa tredje parts-marknadsplatser. Säkerställ även att de uppdateras ofta och att någon aktivt jobbar med att hålla dem säkra, innan du installerar.

Hur räddar jag min WordPress-sida?

Nedan följer en guide till hur du tar bort den skadliga koden och återställer hemsidan. Behöver du hjälp med den här processen hjälper vi på Templ gärna till, och du finner två erbjudanden längst ned i den här artikeln.

  1. Sätt din WordPress-sida i maintenance mode – Att din hemsida har blivit hackad är inget du vill visa upp för dina besökare och potentiella kunder. Att besöka en hemsida full med konstigheter och som ibland skickar en till obskyra hemsidor, är ingen angenäm upplevelse, och jag föreslår därför att du sätter din hemsida i maintenance mode tills dess att den fungerar igen.

    Du kan sätta hemsidan i maintenance mode genom att skapa en fil döpt till “.maintenance”, med innehållet:<?php $upgrading = time(); ?>, och placera denna i din rotkatalog.

    Filezilla

  2. Ta en backup av din hemsida – Du kommer under den här processen göra en del ändringar på hemsidan, och jag rekommenderar att du gör en backup. Då har du en version att gå tillbaka till ifall något går snett, eller ifall du behöver jämföra innehållet i någon fil.
  3. Återställ backup (om det finns) – Det här är en åtgärd som främst lämpar sig för statiska hemsidor, och inte för tex. webbshoppar. En webbshops databas förändras för varje order som kommer in och därmed förlorar du viktig data, om du återställer en full backup av hela hemsidan.

    Innan du återställer backupen behöver du försöka ta reda på när hemsidan hackades. Det kan du göra genom att undersöka vilka filer på din server som senast ändrats. Det här är dock inte ”idiotsäkert”. Hackarna kan ha modifierat dessa datum och det finns även en risk för att hackarna kan ha placerat ut virus eller skadlig kod långt tidigare, men att du inte har märkt det förrän nu.

    Vår rekommendation: Om du inte förlorar något på att återställa tidigare backups kan du prova dig fram med detta. I vissa fall kan ditt webbhotell hjälpa dig att ta reda på när sidan blivit infekterad, så be dem undersöka detta i samband med att du återställer din backup.
  4. Byt dina lösenord – Även om du rensar din hemsida på skadlig malware-kod, vill du självklart inte att hackarna ska ha fortsatt tillgång till din hemsida. Byt därför lösenord till WordPress-admin, SFTP och databas.
  5. Redigera wp-config.php – När du har bytt lösenord till din databas behöver du redigera filen wp-config.php och byta ut det gamla lösenordet mot det nya:

     .define('DB_PASSWORD', 'nyttlosenord');
  6. Ta bort eventuella nya användare och säkerställ att du själv fortfarande har adminrättigheter – Kontrollera att hackaren inte har skapat nya användare i WP-admin. Har de gjort det ska dessa raderas. Säkerställ samtidigt att dina ursprungliga användare finns kvar, och har samma rättigheter som tidigare, framförallt att ditt eget konto har adminrättigheter.
  7. Uppdatera plugins och teman – Som nämnt tidigare är det en stor risk att din hackare har kommit åt din hemsida på grund av sårbarheter i plugins eller teman, som inte har uppdaterats på länge. Uppdatera dessa och se till att de inte blir en säkerhetsrisk även i framtiden.
  8. Scanna din hemsida för oönskade filer och ta bort dem med hjälp av verktyg som Sucuri eller Wordfence – Nu är det dags att hitta den skadliga koden. Det här är en lite större utmaning och är du inte är tekniskt lagd kommer här ett par alternativ.

    Anlita en webbyrå eller frilansande utvecklare. Har du använt dig av en byrå/utvecklare tidigare är de förhoppningsvis hjälpsamma och hjälper till även med den här utmaningen.

    Med hjälp av olika säkerhetsplugin kan du både scanna hemsidan och ta bort skadlig kod som hittas.Två populära plugins för detta ändamål är Sucuri och Wordfence. Sucuris verktyg kostar från $199 per år, medan Wordfence premium kostar $99 per år.

    Ett annat alternativ är att ta hjälp av oss på Templ för att rädda din hemsida. Det kostar 1995 sek plus moms. Väljer du istället att bli kund hos oss, så rensar vi din hemsida på skadlig kod och vidtar dessa åtgärder helt kostnadsfritt. (Detta ingår gratis i alla våra planer).

    Vill du ta bort den skadliga koden själv föreslår jag att du tar del av följande guide från Sucuri: How to remove malware & clean a hacked WordPress site. Sucuri har även släppt en utförlig video där de går igenom hur man rensar sin hackade WordPress-hemsida. Videon är från 2016, men det mesta är fortfarande relevant idag.

    sucuri-guide

  9. Säkerställ att all skadlig kod är borta – Att scanna din hemsida och säkra att den nu är helt ren, är något du vanligtvis kan göra med gratisversionerna av de säkerhetsplugin jag tidigare nämnt. Om dessa plugins inte hittar någon skadlig kod på hemsidan, kan du äntligen pusta ut och gå vidare till den sista punkten.
  10. Ta bort eventuell “Blacklist” av Google – En tråkig konsekvens av att ens hemsida blir hackad, är att den kan bli svartlistad av Google. Detta innebär bland annat att de varnar för din hemsida i sina sökresultat. För att se om din hemsida är svartlistad, och ta bort svartlistningen, behöver du skapa ett konto på Google search console, om du inte redan har ett sådant.

    Inne i Google search console går du till fliken “Security Issues”. Där kan du begära en granskning genom att klicka på ”Request a review”. Det tar vanligtvis ett par dagar för Google att hantera en granskning av en hemsida som blivit infekterad med malware.

    search-console-issues

Hur undviker jag att det händer igen?

  • Håll din hemsida uppdaterad – Uppdatera WordPress, plugins och teman kontinuerligt
  • Backuper – Ta backuper av din hemsida varje dag. Har du ett bra webbhotell kan de hjälpa dig med det. På Templ tar vi backuper en gång per dag, som vi sparar på en avskild server i 30 dagar. Kan webbhotellet inte hjälpa dig med backuper så finns det plugins du kan använda.
  • Köp endast plugins och teman från officiella kanaler eller WordPress.org – Var inte dumsnål och chansa genom att ladda ner plugins eller teman gratis, som egentligen kostar pengar. Det kan bli dyrare än vad du tror.
  • Radera plugins och teman du inte använder – Det finns ingen anledning att ha kvar gamla plugins och teman du inte aktivt använder. Radera dessa innan de blir en säkerhetsrisk.
  • Gå över till managed WordPress-hosting – Ett webbhotell med managed service kommer hålla din hemsida under uppsikt och blockera eventuella attacker. Och skulle olyckan ändå vara framme, kan de förhoppningsvis hjälpa dig att rensa och återställa din hemsida.
  • Uppgradera PHP – Att använda en gammal version av PHP är lite som att använda utdaterade versioner av plugins. Kontakta ditt webbhotell och be dem uppgradera till PHP 7.4. Och erbjuder de inte PHP 7.4 eller 7.3 – byt webbhotell!
  • SSL – Har du inget SSL-certifikat bör du absolut installera ett. Det hindrar andra från att läsa informationen som skickas när någon fyller i formulär på din sida, så som inloggningsuppgifter och andra känsliga uppgifter. Kontakta ditt webbhotell och be dem aktivera SSL. Är det ett billigare webbhotell finns det en risk att de tar ut en avgift för detta. På Templ och andra webbhotell som erbjuder managed hosting ingår detta kostnadsfritt.

För ännu fler tips om hur du säkrar upp din hemsida och undviker att den blir hackad igen, eller från första början, så rekommenderar vi att också läsa vårt blogginlägg om WordPress-säkerhet i största allmänhet.

Erbjudande från Templ

Vi genomför samtliga åtgärder under rubriken ”Hur räddar jag min WordPress-hemsida” kostnadsfritt om du väljer att placera din hemsida hos oss. De första 10 dagarna är gratis. Sedan från 134 sek per månad utan bindningstid. I detta ingår även uppdatering till den senaste PHP-versionen, gratis SSL och daglig backup.

Vänligen kontakta oss på Templ här i chatten om vårt erbjudande är av intresse, eller om du har någon annan fråga till oss.