Säkerhet Archives

WordPress säkerhet – 14 enkla åtgärder för maximal säkerhet

När det kommer till WordPress-säkerhet är det inte ovanligt att många bara väljer att installera ett plugin som lovar att göra din sida säker, och sen så var det inte mer med det.

Men, ett plugin för förbättrad säkerhet gör ofta ens sida väldigt trög, är inte en komplett lösning för säkerhet och kan ge en en falsk känsla av trygghet.

Din sidas säkerhet är bara så stark som den svagaste länken, därför är det viktigt att man har ett helhetstänk och att man ser över så många aspekter som möjligt.

I denna artikel har vi samlat en lista över olika åtgärder som är enkla för vem som helst att genomföra och som kan förbättra din sidas säkerhet mycket.

Innehållsförteckning:

Är WordPress säkert?
1 – Håll WordPress, plugins och teman uppdaterade
2 – Avinstallera inaktiva plugins och teman
3 – Se till att ha rätt (restriktiva) filrättigheter
4 – Inaktivera den inbyggda filredigeraren
5 – Sätt ett eget databas-prefix
6 – Använd säkra användarnamn och lösenord
7 – Implementera 2FA (tvåfaktorsautentisering)
8 – Uppdatera WordPress säkerhetsnycklar i wp-config.php
9 – Inaktivera XML-RPC
10 – Dölj vilken version av WordPress du använder
11 – Använd SSL och HTTPS
12 – Byt URL till WP Admin
13 – Se till att ta dagliga backuper
14 – Välj ett säkert webbhotell
Slutord

Är WordPress säkert?

Ja, i grund och botten så är WordPress mycket säkert, men det ligger också mycket eget ansvar till grund för exakt hur säker just din hemsida blir i slutändan.

WordPress har en väldigt rigorös kvalitets- och säkerhetskontroll och är ofta också väldigt snabba på att täppa till eventuella säkerhetsluckor som upptäcks. Detta betyder att om man själv är duktig på att hålla sin installation av WordPress uppdaterad så är risken väldigt liten att ens hemsida någonsin kommer att bli “hackad” på grund av WordPress i sig.

Den vanligaste orsaken bakom intrång på ens hemsida är istället att administratören har slarvat med säkerheten och inte följt alla de råd som finns för hur man håller sin hemsida säker.

1 – Håll WordPress, plugins och teman uppdaterade

Kanske den viktigaste säkerhetsåtgärden man kan ta är att se till att hålla WordPress, plugins och teman uppdaterade.

Eftersom WordPress är ett open source-projekt så kan vem som helst läsa all bakomliggande kod och även hjälpa till att förbättra den, vilket förstås har många fördelar. Men det innebär också att hackare och andra med ont uppsåt kan läsa koden och hitta sårbarheter och nyttja dessa för att för att ta kontroll över andras hemsidor.

Varje gång en säkerhetslucka rapporteras till teamet bakom WordPress så kan man vara säker på att en säkerhetsuppdatering följer så fort som möjligt.

Det betyder att om du inte använder den senaste versionen av WordPress så använder du med hög sannolikhet en version som innehåller en eller flera kända sårbarheter. Hackare kan i sin tur söka efter hemsidor med gammal mjukvara och utföra riktade attacker mot dessa.

Därför är det av yttersta vikt att se till att uppdatera WordPress, teman och plugins så ofta som man bara kan.

Att uppdatera en hemsida kan ibland vara lite läskigt, speciellt om det är en e-handel, men det är bättre att man själv råkar “ha sönder” sin egen hemsida (förutsatt att man har backup) än att någon obehörig tar sig in på den.

Automatiska uppdateringar
I WordPress 3.7 så introducerades automatiska uppdateringar för WordPress, så mindre säkerhetsuppdateringar av själva WordPress ska utföras automatiskt på din sida.

Man kan också aktivera automatiska uppdateringar av tema och plugins genom att lägga till följande till ditt temas functions.php-fil:

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Verifiera uppdateringar i ”stagingmiljö”
För vissa mer systemkritiska hemsidor som absolut måste vara uppe hela tiden och som man inte vill riskera ska ligga nere på grund av en uppdatering som gått fel så är det istället en god idé att alltid uppdatera på en staging-sida först och verifiera att uppdateringar fungerar bra där innan man uppdaterar sin skarpa hemsida.

På så sätt kan man vara säker på att inga oväntade problem uppstår innan man uppdaterar sin hemsida.

2 – Avinstallera inaktiva plugins och teman

En vanlig missuppfattning som folk har är att inaktiva plugins inte kan ha någon negativ påverkan på ens hemsida, men faktum är att en hacker kan exploatera säkerhetshål även i plugins som är inaktiverade.

Om du har plugins installerade på din sida som du inte använder så är det dessutom lätt hänt att man glömmer att uppdatera dessa, vilket förstås utgör en extra säkerhetsrisk.

Vi rekommenderar därför att man alltid håller antalet plugins så lågt som möjligt och att man avinstallerar plugins som man inte använder. Att enbart inaktivera dem räcker inte.

3 – Se till att ha rätt (restriktiva) filrättigheter

Filrättigheter (eller filbehörigheter) bestämmer vem och vad som kan läsa, skriva och ändra dina filer som utgör WordPress och allt du installerat där i. Om dina filer inte har de tightast möjliga filrättigheterna på plats är det lättare för hackare att modifiera dina filer och göra intrång på din webbplats.

Filrättigheter brukar anges i form av 3 siffror, t.ex. 755, där varje siffra representerar en användargrupp och vad den gruppen har för rättigheter.

Den första gruppen från vänster är user/owner rättigheter, den andra är group rättigheter och den tredje gruppen är others rättigheter.

Enkelt förklarat så kan man säga att ju högre siffra desto mer rättigheter. För den nördiga kommer här en förklaring vad de olika siffrorna betyder:

4 = read (r)
2 = write (w)
1 = execute (x)
0 = no permission (-)

Read + write + execute = 7
Read + write = 6
Read + execute = 5
Read = 4

Alla mappar bör ha 755 eller 750.

Alla filer bör ha 644 eller 640, med undantag för wp-config.php som bör ha antingen 440 eller 400 för att förhindra obehöriga att läsa den.

Inga mappar bör någonsin sättas till 777, vilket ger alla användare fulla rättigheter. Det ska aldrig vara nödvändigt eftersom PHP-processen körs av ägaren av filerna, och därmed så kan den skriva i mappar med 755.

Tighta filrättigheter är extra viktigt i en “shared hosting”-miljö, där man delar server med främlingar, för att säkerställa så att andra användare på servern inte kan komma åt dina filer.

Hur man ändrar filrättigheter
Att ändra filrättigheter är enkelt och kan exempelvis göras med hjälp av den mycket populära och gratis FTP-klienten FileZilla.

För att ändra filrättigheter i FileZilla så är det bara att högerklicka på den fil eller mapp som man vill ändra och trycka på “Filrättigheter…”

4 – Inaktivera den inbyggda filredigeraren

Visste du att WordPress kommer med en inbyggd filredigerare för teman och plugins? Den gör det enkelt att i WP Admin redigera filer på din hemsida, vilket kanske kan vara en bekvämlighet för vissa, men den kan också innebära vissa risker.

När filredigeraren är aktiverad så kan administratörer redigera koden i teman och plugins direkt i webbläsaren. Det utgör en potentiell säkerhetsrisk eftersom man enkelt kan begå misstag som får hela sidan att sluta fungera när man utför ändringar, och det ger också hackare snabb tillgång till alla filer som utgör din hemsida.

Vi rekommenderar istället att man helt inaktiverar denna filredigerare och istället redigerar via filer över SFTP.

Den inbyggda filredigeraren kan enkelt inaktiveras i wp-config.php genom att lägga till följande kodsnutt:

define( 'DISALLOW_FILE_EDIT', true );

WordPress filredigerare — WordPress inbyggda filredigerare

5 – Sätt ett eget databas-prefix

WordPress använder en prefix framför alla tabeller i databasen, som vanligen är wp_.

Vissa attacker mot databasen antar just denna prefix så om man använder en annan så kan man avvärja vissa attacker.

Antalet attacker som antar just denna prefix lär inte vara många, och att byta prefix på en befintlig WordPress-installation är inte helt riskfritt. Därför rekommenderar vi bara att välja en annan prefix om du ska sätta upp en ny installation av WordPress, inte att man ska ändra prefix på befintlig sida.

WordPress databasprefix — Det kan vara en bra idé att välja annan databasprefix än wp_

6 – Använd säkra användarnamn och lösenord

Ett av de vanligaste sätten en hackare tar sig in på en hemsida är genom att gissa sig fram till lösenordet.

Om man använder enkla och vanligt förekommande lösenord så möjliggör man för obehöriga att relativt enkelt ta sig in på ens hemsida genom en s.k. Brute force-attack där man testar mängder med olika lösenord tills man tar sig in. Om man istället använder ett starkt lösenord så blir en sådan attack i praktiken omöjlig att lyckas med.

Att använda starka lösenord kan tyckas som en självklarhet för vissa, men det finns fortfarande många som använder väldigt dåligt lösenord. Säkerhetsföretag som SplashData och NordPass sammanställer listor på de vanligaste lösenorden. Enligt den senaste listan är de 5 vanligaste lösenorden:

123456
123456789
12345
qwerty
password

Se till använda ett långt och komplext lösenord som helst är slumpmässigt genererat och som är exklusivt för din hemsida.

Det är också ganska vanligt förekommande att folk använder användarnamnet “admin” på deras administratörskonto. För extra säkerhet rekommenderas istället att använda ett annat användarnamn så att man gör det ännu svårare för en hackare att gissa sig fram till rätt användarnamn och lösenord.

Säkra lösenord — Lösenord ska helst vara unika och komplexa

7 – Implementera 2FA (tvåfaktorsautentisering)

2FA, eller tvåfaktorsautentisering, är en säkerhetsprocess som kombinerar två olika verifieringsmetoder vid inloggning: vanligtvis något du känner till (ditt lösenord) med något du har (en unik kod skickad till din mobil via SMS eller genererad av en autentiseringsapp). Din hemsida får därmed ett extra säkerhetslager som avsevärt minskar risken för obehörig åtkomst. Om ditt lösenord komprometteras, förblir kontot skyddat tack vare det andra autentiseringssteget.

Du implementerar tvåfaktorsautentisering på din WordPress-sajt så här:

Välj ett 2FA-plugin: Ett exempel på ett populärt 2FA-plugin är Wordfence Security. 2FA-pluginet tillhandahåller funktionen att lägga till tvåfaktorsautentisering på din WordPress-sajt. När det installerats kan det konfigureras för olika autentiseringsmetoder, inklusive kodgenerering från autentiseringsappar.
Välj autentiseringsapp: Två populära autentiseringsappar är Google Authenticator och Microsoft Authenticator. Dessa appar fungerar som den andra faktorn i 2FA-processen. När du konfigurerar ditt WordPress-plugin för 2FA, kan du välja att använda dessa appar som din autentiseringsmetod. Vanligtvis skannar man en QR-kod från WordPress-pluginet med den valda autentiseringsappen för att koppla kontot. Därefter genererar appen en unik kod som används vid varje framtida inloggning.

8 – Uppdatera WordPress säkerhetsnycklar i wp-config.php

WordPress säkerhetsnycklar (eller “security keys”) är en samling slumpmässigt genererade variabler som hjälper till att förbättra krypteringen av information som sparas i besökare och administratörers cookies.

Det finns fyra olika nycklar: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, and NONCE_KEY.

När du installerar WordPress så genereras dessa på ett slumpmässigt sätt och är unika för din sida. Men, om du någon gång har flyttat från ett webbhotell till ett annat, eller om du har tagit över din hemsida efter någon annan, så kan det vara en god idé att generera nya säkerhetsnycklar.

Dessa kan utan problem bytas ut när som helst, men det medför att alla som är inloggade på din sida kommer att loggas ut.

Man kan enkelt få en samling nyligen genererade säkerhetsnycklar genom ett smart verktyg på WordPress.org och sen klistra in dem i wp-config.php.

Säkerhetsnycklar i wp-config.php — Säkerhetsnycklarna i wp-config.php är bäst att byta ut vid flytt

9 – Inaktivera XML-RPC

XML-RPC är en funktion i WordPress som tidigare använts för kommunikation mellan WordPress och en del andra system, exempelvis andra bloggnätverk. På senare år så har dock denna funktion bantats ner igen i takt med att användandet av den minskat, och funktionen planeras att tas bort helt i framtiden och istället ersättas med WordPress egna API.

Idag så är användningsområdet för XML-RPC väldigt litet. Det har istället blivit ett populärt “verktyg” för hackare, då det möjliggör att testa hundratals kombinationer av lösenord med ett enda kommando.

Om du använder Templ som webbhotell så är redan XML-RPC blockerat från början, och om du använder något annat webbhotell så är det relativt enkelt att inaktivera den funktion på andra sätt.

Man kan antingen naktivera XML-RPC med hjälp av ett plugin, eller genom att klistra in lite kod i ens temas functions.php-fil:

add_filter( 'xmlrpc_enabled', '__return_false' );

.. eller ännu bättre i .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

10 – Dölj vilken version av WordPress du använder

Vilken WordPress-version som används på din sida skrivs vanligtvis ut i sidans HTML-kod, så om du har en gammal version av WordPress med kända sårbarheter så är det alltså väldigt enkelt för en hackare att ta del av den informationen.

Även om vi förstås rekommenderar att man alltid kör den senaste versionen av WordPress så kan det ändå vara en bra idé att dölja för världen vilken version man använder sig av. Ju mindre utomstående vet om din WordPress-installation desto svårare är det att utföra riktade attacker mot den.

Det är enkelt att dölja WordPress-version med hjälp av lite kod i functions.php:

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

WordPress version i HTML head — WordPress skriver från början ut vilken version man använder i HTML-koden

11 – Använd SSL och HTTPS

Även om SSL har blivit något av en självklarhet idag så skadar det inte att ännu en gång understryka vikten SSL om man vill ha en hemsida som är säker.

Med ett SSL-certifikat så kan man använda det krypterade protokollet HTTPS istället för gamla okrypterade HTTP. Det innebär att när man fyller i exempelvis ett inloggningsformulär på en sida med HTTPS så krypteras informationen inkl. Lösenord och annan känslig information vilket gör det omöjligt för någon annan att utläsa på vägen.

Även om den största fördelen med SSL är just säkerhet så är det idag också starkt förknippat med SEO-fördelar (eftersom Google m.fl. föredrar HTTPS över HTTP), ökat förtroende hos besökare och att man numera även slipper se varningar när man går in på sidan.

Att ha ett SSL-certifikat och köra sin sida helt över HTTPS bör idag vara en självklarhet.

12 – Byt URL till WP Admin

Alla WordPress sidor använder från början en och samma adress till WP Admin, nämligen dindomän.se/wp-admin. Ett problem med det kan vara att alla känner till denna adress, inkl. Botar och hackare.

Genom att ändra URL till WP Admin kan man göra en sida blir mindre utsatt för attacker. Man kan enkelt byta adress till WP Admin genom att använda pluginet WPS Hide Login.

Vilket vi också beskriver i detalj hur man sätter upp i ett annat blogginlägg.

Det är viktigt att ha i åtanke att detta inte är en lösning på alla problem, men det kan helt klart vara ett sätt att försvåra för hackare att ta sig in på din sida.

Ändra WP Admin adress — URL till WP Admin kan enkelt ändras med ett plugin

13 – Se till att ta dagliga backuper

Backup är förstås ingen åtgärd som förebygger att en hemsida drabbas av någon form av attack, men det är däremot helt ovärderligt att ha den dagen olyckan är framme och man behöver kunna backa bandet för att rädda sin hemsida.

Oavsett vilka förebyggande medel du än tar till så kommer din hemsida aldrig att bli 100% säker. Därför vill man ha alltid se till att säkerhetskopior av ens hemsida tas på en regelbunden basis.

De flesta webbhotellen i premiumsegmentet tar daglig backup av alla hemsidor, så även vi på Templ. Om ditt webbhotell inte erbjuder backup så är det enkelt att lösa på egen hand med hjälp av exempelvis pluginet UpDraft men bör då ha i åtanke att ett plugin för backup kommer att påverka din hemsidas prestanda och nyttja mycket av det utrymme du betalar för på ditt webbhotell.

Ifall din hemsida har hackats och du har en backup att tillgå så kan du läsa vår artikel om hackad WordPress och hur man räddar sin sida.

14 – Välj ett säkert webbhotell

När det kommer till säkerhet och WordPress så finns det många faktorer som spelar in som sitter djupare än själva hemsidan i sig. Det finns också väldigt många åtgärder för god säkerhet som måste tas på servernivå, som alltså ditt webbhotell ansvarar för. På Templ så tar vi säkerhet på allra största allvar och har alltid ett säkerhetstänk i allt vi gör.

Det är väldigt viktigt att alltid välja ett webbhotell som man verkligen kan lita på, eller att du själv har oerhört goda kunskaper om säkerhet om du väljer att placera din hemsida på en VPS och därmed bära hela ansvaret för säkerhet själv.

Det är också viktigt att känna till att olika webbhotell har kraftigt varierande policy för vad man gör när en hemsida blivit hackad. Vissa webbhotell stänger helt sonika av hemsidor som har drabbats och vill inte veta av dem, medan vi på Templ erbjuder kostnadsfri hjälp för att rädda hackade sidor.

Ett webbhotell som tar säkerhet på allvar har ofta:

Brandvägg som skyddar mot olika attacker
Senaste version av PHP, MySQL och annan mjukvara
Dagliga backuper
Support tillgänglig dygnet runt
Övervakning dygnet runt av alla hemsidor
Samt en rad andra avancerade funktioner för bättre säkerhet.

Slutord

Avslutningsvis så tåls det att upprepas att WordPress i sig är en väldigt säker plattform, men att det är viktigt att hålla allt uppdaterat och man använder sunt förnuft.

Det är också viktigt att komma ihåg att det finns många faktorer som påverkar säkerheten på ens hemsida som är ”djupare” än WordPress själv. Därför är det viktigt att man antingen själv har väldigt bra förståelse för IT-säkerhet eller att man väljer att webbhotell som tar säkerhet på allvar.

Dagliga backuper av ens hemsida är också ett absolut måste så att man har någonting att falla tillbaka på ifall olyckan skulle vara framme.

Har du några frågor om WordPress säkerhet så är du är varmt välkommen att ställa den i chatten här på sidan eller i kommentarsfältet nedan.

Lycka till! 🙂

Därför bör du separera hosting och e-post

När något måste åtgärdas i ditt hem så anlitar du en expert. Du ringer rörmokaren vid läckage och elektrikern om du saknar ström. Men när det gäller e-post är det fortfarande många som envisas med att använda ett webbhotell som leverantör. Detta trots att det finns många experter på just e-post, som är mycket bättre alternativ. Visst, det kräver olika konton och ibland kostar det lite mer till en början, men det är en investering som snabbt betalar sig i form av minskad huvudvärk och större arbetsro.

Varför webbhotell erbjuder e-post

E-post är ett av de äldsta kommunikationsverktygen på internet och fortfarande det viktigaste i kontakten mellan företag och dess kunder, så det kan förstås verka rimligt att webbhotell erbjuder en egen e-posttjänst. Och det var rimligt – för några år sedan. För precis som många andra digital tjänster har e-post genomgått en utveckling och idag finns specialiserade lösningar som är enklare, säkrare, snabbare, och framförallt mer tillförlitliga.

Templ bygger en hosting-tjänst i världsklass. Vi fixar allt på din WordPress-sajt – hastighetsoptimeringar, kodändringar, uppdateringar, you name it! Det förutsätter ett knivskarpt fokus på hosting. Istället för en traditionell inkorg erbjuder Templ ett smidigt upplägg för kunden att mejla med egen domän via Gmail – världens populäraste e-posttjänst. På så sätt får kunden det bästa av två världar.

Anledningar att separera hemsida och e-post

För att upprätthålla e-postens tillförlitlighet krävs flera lager av säkerhet och ett kontinuerligt arbete för att motarbeta phishing och spam. Eftersom ett webbhotells huvudfokus är hemsidor saknas ofta motivation att skaffa den specialkompetens, eller lägga de resurser som krävs, för att hantera e-post på bästa sätt. Det är därför du kan uppleva problem med ditt företags e-post, men sällan med din privata, som ju nästan alltid hanteras av en specialiserad mejltjänst såsom Gmail.

Att köpa e-post och hemsida i ett paket kan förstås verka smidigt, men det finns flera fördelar med att separera dem.

Om det är problem med servern din e-post och hemsida placeras på, finns det risk att båda slutar fungera samtidigt. Bättre då att använda Gmail eller investera i en helt separat mejllösning med dedikerade resurser.

Eftersom e-post är oumbärligt i de flesta verksamheter måste supporten vara snabb och kunnig. Med en specialiserad mejllösning kan du vara säker på att du får support av experter. Dessutom kommer du behöva mindre hjälp från supporten, eftersom tjänsten är skräddarsydd för e-post och därmed mer tillförlitlig.

Ytterligare ett argument för att separera e-post och hemsida är flexibilitet. Med olika tjänster är det enklare att byta ut den tjänst du är missnöjd med. Är du nöjd med hostingen, men inte med e-posten, kan du enkelt byta ut den senare utan att det påverkar hemsidan.

Vad du kan förvänta dig hos Templ

Templ fokuserar på att bygga världens bästa hostingtjänst för WordPress-sajter. Av den anledningen erbjuder vi ingen fullfjädrad inkorgslösning. Vi har dock SMTP-servrar för utgående e-post, vilken kan användas tillsammans med gratistjänster såsom Gmail för att skicka och ta emot e-post. Du kan givetvis använda ditt eget domännamn, så att du kan skicka och ta emot e-post med t.ex. support@dindomän.se. SendGrid används för leverans av e-posten – ett företag specialiserat på e-post som kan stoltsera med över 100 miljarder skickade mejl månatligen och kunder som Spotify, Uber och Airbnb. Det säkerställer en pålitlig och säker leverans av e-posten, vare sig den skickas manuellt eller automatiskt från din hemsida.

Önskar du mer funktionalitet rekommenderar vi Google Workspace. Det kräver att man ändrar domänens DNS-inställningar, vilket vi gärna hjälper till med.

E-post som automatiskt genereras av din WordPress-sajt, tex. användarregistering, orderbekräftelse, eller lösenordsmail, ingår givetvis i alla planer.

Hackad WordPress-sida? Hur du räddar den!

Är du här på grund av att din hemsida precis har blivit hackad, och vill veta hur du återställer den? Bra, då har du kommit helt rätt. Jag förstår att du just nu har en känsla av obehag och kanske även ilska, och om det är till någon tröst alls: Du är inte ensam.

Jag kommer i den här guiden gå igenom hur du går tillväga för att rensa din hackade WordPress-hemsida på skadlig och oönskad kod.

Innehållsförteckning:

90 000 attacker per minut. Du är inte ensam.
Varför har just min hemsida blivit hackad?
Hur räddar jag min WordPress-sida?
Hur undviker jag att det händer igen?
Två erbjudanden från Templ

90 000 attacker per minut. Du är inte ensam.

Med en marknadsandel på 34 % är WordPress det överlägset största publiceringsverktyget på marknaden, så det är ingen överraskning att det även är det mest hackade verktyget. Ett faktum som dock är lite mer anmärkningsvärt, är att det pågår mer än 90 000 attacker mot WordPress-sidor per minut världen över. En siffra som bör motivera alla WordPress-användare att anstränga sig för att göra sina hemsidor så säkra som möjligt.

Varför har just min hemsida blivit hackad?

Att en WordPress-hemsida blir hackad beror ofta på en av följande tre anledningar:

Svagt lösenord och ett lättåtkomligt användarnamn – Hackaren börjar med att scanna av din hemsida för att hitta användarnamnet till WP admin. Användarnamnet är ofta lättåtkomligt och går bland annat att finna på sidan: https://example.com/author/username/. Skulle hackarna inte hitta något kan de testköra “admin” som användarnamn, vilket antagligen är det vanligaste användarnamnet bland WordPress-användare.

När hackaren har hittat dina användarnamn börjar själva attacken. Med hjälp av olika script och textfiler innehållandes listor med tusentals vanliga lösenord, testas nu olika lösenordskombinationer med de användarnamn hackaren har hittat. Om varken du själv eller ditt webbhotell har vidtagit förebyggande åtgärder, har hackaren fritt fram att köra sina script och ta sig in på hemsidan.
Gamla versioner av WordPress, plugins och teman – En av de saker som hackare älskar mest är säkerhetshål som uppstår i gamla versioner av WordPress, plugins och teman. Vi rekommenderar att du uppdaterar allt detta automatiskt och kontinuerligt, för att minska risken att hackarna kommer åt din sida.
Plugins och teman från inofficiella sidor – Ladda alltid hem plugins och teman från antingen wordpress.org eller från seriösa tredje parts-marknadsplatser. Säkerställ även att de uppdateras ofta och att någon aktivt jobbar med att hålla dem säkra, innan du installerar.

Hur räddar jag min WordPress-sida?

Nedan följer en guide till hur du tar bort den skadliga koden och återställer hemsidan. Behöver du hjälp med den här processen hjälper vi på Templ gärna till, och du finner två erbjudanden längst ned i den här artikeln.

Sätt din WordPress-sida i maintenance mode – Att din hemsida har blivit hackad är inget du vill visa upp för dina besökare och potentiella kunder. Att besöka en hemsida full med konstigheter och som ibland skickar en till obskyra hemsidor, är ingen angenäm upplevelse, och jag föreslår därför att du sätter din hemsida i maintenance mode tills dess att den fungerar igen.

Du kan sätta hemsidan i maintenance mode genom att skapa en fil döpt till “.maintenance”, med innehållet:<?php $upgrading = time(); ?>, och placera denna i din rotkatalog.
Ta en backup av din hemsida – Du kommer under den här processen göra en del ändringar på hemsidan, och jag rekommenderar att du gör en backup. Då har du en version att gå tillbaka till ifall något går snett, eller ifall du behöver jämföra innehållet i någon fil.
Återställ backup (om det finns) – Det här är en åtgärd som främst lämpar sig för statiska hemsidor, och inte för tex. webbshoppar. En webbshops databas förändras för varje order som kommer in och därmed förlorar du viktig data, om du återställer en full backup av hela hemsidan.

Innan du återställer backupen behöver du försöka ta reda på när hemsidan hackades. Det kan du göra genom att undersöka vilka filer på din server som senast ändrats. Det här är dock inte ”idiotsäkert”. Hackarna kan ha modifierat dessa datum och det finns även en risk för att hackarna kan ha placerat ut virus eller skadlig kod långt tidigare, men att du inte har märkt det förrän nu.

Vår rekommendation: Om du inte förlorar något på att återställa tidigare backups kan du prova dig fram med detta. I vissa fall kan ditt webbhotell hjälpa dig att ta reda på när sidan blivit infekterad, så be dem undersöka detta i samband med att du återställer din backup.
Byt dina lösenord – Även om du rensar din hemsida på skadlig malware-kod, vill du självklart inte att hackarna ska ha fortsatt tillgång till din hemsida. Byt därför lösenord till WordPress-admin, SFTP och databas.
Redigera wp-config.php – När du har bytt lösenord till din databas behöver du redigera filen wp-config.php och byta ut det gamla lösenordet mot det nya:
```
 .define('DB_PASSWORD', 'nyttlosenord');
```
Ta bort eventuella nya användare och säkerställ att du själv fortfarande har adminrättigheter – Kontrollera att hackaren inte har skapat nya användare i WP-admin. Har de gjort det ska dessa raderas. Säkerställ samtidigt att dina ursprungliga användare finns kvar, och har samma rättigheter som tidigare, framförallt att ditt eget konto har adminrättigheter.
Uppdatera plugins och teman – Som nämnt tidigare är det en stor risk att din hackare har kommit åt din hemsida på grund av sårbarheter i plugins eller teman, som inte har uppdaterats på länge. Uppdatera dessa och se till att de inte blir en säkerhetsrisk även i framtiden.
Scanna din hemsida för oönskade filer och ta bort dem med hjälp av verktyg som Sucuri eller Wordfence – Nu är det dags att hitta den skadliga koden. Det här är en lite större utmaning och är du inte är tekniskt lagd kommer här ett par alternativ.

Anlita en webbyrå eller frilansande utvecklare. Har du använt dig av en byrå/utvecklare tidigare är de förhoppningsvis hjälpsamma och hjälper till även med den här utmaningen.

Med hjälp av olika säkerhetsplugin kan du både scanna hemsidan och ta bort skadlig kod som hittas.Två populära plugins för detta ändamål är Sucuri och Wordfence. Sucuris verktyg kostar från $199 per år, medan Wordfence premium kostar $99 per år.

Ett annat alternativ är att ta hjälp av oss på Templ för att rädda din hemsida. Det kostar 1995 sek plus moms. Väljer du istället att bli kund hos oss, så rensar vi din hemsida på skadlig kod och vidtar dessa åtgärder helt kostnadsfritt. (Detta ingår gratis i alla våra planer).

Vill du ta bort den skadliga koden själv föreslår jag att du tar del av följande guide från Sucuri: How to remove malware & clean a hacked WordPress site. Sucuri har även släppt en utförlig video där de går igenom hur man rensar sin hackade WordPress-hemsida. Videon är från 2016, men det mesta är fortfarande relevant idag.
Säkerställ att all skadlig kod är borta – Att scanna din hemsida och säkra att den nu är helt ren, är något du vanligtvis kan göra med gratisversionerna av de säkerhetsplugin jag tidigare nämnt. Om dessa plugins inte hittar någon skadlig kod på hemsidan, kan du äntligen pusta ut och gå vidare till den sista punkten.
Ta bort eventuell “Blacklist” av Google – En tråkig konsekvens av att ens hemsida blir hackad, är att den kan bli svartlistad av Google. Detta innebär bland annat att de varnar för din hemsida i sina sökresultat. För att se om din hemsida är svartlistad, och ta bort svartlistningen, behöver du skapa ett konto på Google search console, om du inte redan har ett sådant.

Inne i Google search console går du till fliken “Security Issues”. Där kan du begära en granskning genom att klicka på ”Request a review”. Det tar vanligtvis ett par dagar för Google att hantera en granskning av en hemsida som blivit infekterad med malware.

Hur undviker jag att det händer igen?

Håll din hemsida uppdaterad – Uppdatera WordPress, plugins och teman kontinuerligt
Backuper – Ta backuper av din hemsida varje dag. Har du ett bra webbhotell kan de hjälpa dig med det. På Templ tar vi backuper en gång per dag, som vi sparar på en avskild server i 30 dagar. Kan webbhotellet inte hjälpa dig med backuper så finns det plugins du kan använda.
Köp endast plugins och teman från officiella kanaler eller WordPress.org – Var inte dumsnål och chansa genom att ladda ner plugins eller teman gratis, som egentligen kostar pengar. Det kan bli dyrare än vad du tror.
Radera plugins och teman du inte använder – Det finns ingen anledning att ha kvar gamla plugins och teman du inte aktivt använder. Radera dessa innan de blir en säkerhetsrisk.
Gå över till managed WordPress-hosting – Ett webbhotell med managed service kommer hålla din hemsida under uppsikt och blockera eventuella attacker. Och skulle olyckan ändå vara framme, kan de förhoppningsvis hjälpa dig att rensa och återställa din hemsida.
Uppgradera PHP – Att använda en gammal version av PHP är lite som att använda utdaterade versioner av plugins. Kontakta ditt webbhotell och be dem uppgradera till PHP 7.4. Och erbjuder de inte PHP 7.4 eller 7.3 – byt webbhotell!
SSL – Har du inget SSL-certifikat bör du absolut installera ett. Det hindrar andra från att läsa informationen som skickas när någon fyller i formulär på din sida, så som inloggningsuppgifter och andra känsliga uppgifter. Kontakta ditt webbhotell och be dem aktivera SSL. Är det ett billigare webbhotell finns det en risk att de tar ut en avgift för detta. På Templ och andra webbhotell som erbjuder managed hosting ingår detta kostnadsfritt.

För ännu fler tips om hur du säkrar upp din hemsida och undviker att den blir hackad igen, eller från första början, så rekommenderar vi att också läsa vårt blogginlägg om WordPress-säkerhet i största allmänhet.

Erbjudande från Templ

Vi genomför samtliga åtgärder under rubriken ”Hur räddar jag min WordPress-hemsida” kostnadsfritt om du väljer att placera din hemsida hos oss. De första 10 dagarna är gratis. Sedan från 134 sek per månad utan bindningstid. I detta ingår även uppdatering till den senaste PHP-versionen, gratis SSL och daglig backup.

Vänligen kontakta oss på Templ här i chatten om vårt erbjudande är av intresse, eller om du har någon annan fråga till oss.