WordPress säkerhet – 14 enkla åtgärder för maximal säkerhet

Hur säkert är WordPress och hur kan man göra det ännu säkrare? Följ våra enkla åtgärder för maximal säkerhet.

WordPress säkerhet
Emanuel
Av Emanuel Uppdaterad · 20 min läsning

När det gäller WordPress-säkerhet är det vanligt att många installerar ett plugin och sedan tror att säkerheten är löst. Men ett plugin kan göra sidan långsammare och ger inte ett fullständigt skydd, vilket kan leda till en falsk trygghet.

Säkerheten på din WordPress-sida är bara så stark som dess svagaste länk, därför är det viktigt att ha ett helhetsperspektiv och täcka alla områden.

I den här artikeln delar vi praktiska och lättanvända tips som hjälper dig att förbättra säkerheten på din webbplats utan att kompromissa med prestanda.

Innehållsförteckning:

Är WordPress säkert?

Ja, WordPress är i grunden en säker plattform, men din hemsidas säkerhet beror också på hur väl du underhåller den. WordPress har strikta säkerhetskontroller och snabba uppdateringar för att täppa till sårbarheter. Så länge du håller din WordPress-installation uppdaterad, är risken för att bli hackad på grund av själva plattformen mycket liten.

De flesta intrång sker på grund av användarfel, där administratören inte har följt viktiga säkerhetsråd för att skydda sin webbplats.

En WordPress-hacker?

1 – Håll WordPress, plugins och teman uppdaterade

En av de viktigaste säkerhetsåtgärderna du kan ta för din WordPress-sida är att hålla WordPress, teman och plugins uppdaterade. Eftersom WordPress är ett open source-projekt har alla tillgång till koden, vilket både är en fördel och en potentiell säkerhetsrisk. Hackare kan analysera koden för att hitta sårbarheter och utnyttja dem för att ta kontroll över din webbplats.

Varje gång en säkerhetslucka rapporteras släpper WordPress-teamet snabbt en uppdatering. Om du inte använder den senaste versionen löper du risken att din sida har kända säkerhetsbrister. Hackare söker aktivt efter sidor med föråldrad mjukvara och riktar sina attacker mot dessa sårbara webbplatser.

Därför är det absolut nödvändigt att du uppdaterar WordPress, teman och plugins så fort en ny version blir tillgänglig. Även om det kan kännas obekvämt att uppdatera – särskilt om du driver en e-handelsplats – är det alltid bättre att riskera att skapa mindre problem själv, så länge du har en backup, än att låta en obehörig få tillgång till din webbplats.

Att hålla allt uppdaterat är en av de enklaste och mest effektiva sakerna du kan göra för att skydda din WordPress-sida från hot och säkerhetsintrång.

uppdateringar i WP-admin

Automatiska uppdateringar
I WordPress 3.7 så introducerades automatiska uppdateringar för WordPress, så mindre säkerhetsuppdateringar av själva WordPress ska utföras automatiskt på din sida.

Man kan också aktivera automatiska uppdateringar av tema och plugins genom att lägga till följande till ditt temas functions.php-fil:

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Verifiera uppdateringar i ”stagingmiljö”
För systemkritiska hemsidor som alltid måste vara tillgängliga är det en bra idé att testa uppdateringar på en staging-sida innan du gör ändringar på den skarpa webbplatsen. Detta minskar risken för driftstopp eller problem efter uppdateringen.

Genom att först verifiera uppdateringarna i stagingmiljön säkerställer du att inga oväntade fel uppstår när du väl uppdaterar din live-hemsida.

Det ger en tryggare process för att hålla allt uppdaterat utan risk.

2 – Avinstallera inaktiva plugins och teman

En vanlig missuppfattning är att inaktiva plugins inte påverkar hemsidans säkerhet, men även inaktiverade plugins kan utnyttjas av hackare om de innehåller säkerhetsbrister.

Om du dessutom glömmer att uppdatera inaktiva plugins, ökar risken för intrång. Vi rekommenderar att du håller antalet installerade plugins till ett minimum och avinstallerar de du inte använder.

Att enbart inaktivera dem räcker inte för att garantera säkerheten.

3 – Se till att ha rätt (restriktiva) filrättigheter

Filrättigheter (eller filbehörigheter) bestämmer vem och vad som kan läsa, skriva och ändra dina filer som utgör WordPress och allt du installerat där i. Om dina filer inte har de tightast möjliga filrättigheterna på plats är det lättare för hackare att modifiera dina filer och göra intrång på din webbplats.

Filrättigheter brukar anges i form av 3 siffror, t.ex. 755, där varje siffra representerar en användargrupp och vad den gruppen har för rättigheter.

Den första gruppen från vänster är user/owner rättigheter, den andra är group rättigheter och den tredje gruppen är others rättigheter.

Enkelt förklarat så kan man säga att ju högre siffra desto mer rättigheter. För den nördiga kommer här en förklaring vad de olika siffrorna betyder:

4 = read (r)
2 = write (w)
1 = execute (x)
0 = no permission (-)

Read + write + execute = 7
Read + write = 6
Read + execute = 5
Read = 4

Alla mappar bör ha 755 eller 750.

Alla filer bör ha 644 eller 640, med undantag för wp-config.php som bör ha antingen 440 eller 400 för att förhindra obehöriga att läsa den.

Inga mappar bör någonsin sättas till 777, vilket ger alla användare fulla rättigheter. Det ska aldrig vara nödvändigt eftersom PHP-processen körs av ägaren av filerna, och därmed så kan den skriva i mappar med 755.

Tighta filrättigheter är extra viktigt i en “shared hosting”-miljö, där man delar server med främlingar, för att säkerställa så att andra användare på servern inte kan komma åt dina filer.

Hur man ändrar filrättigheter
Att ändra filrättigheter är enkelt och kan exempelvis göras med hjälp av den mycket populära och gratis FTP-klienten FileZilla.

För att ändra filrättigheter i FileZilla så är det bara att högerklicka på den fil eller mapp som man vill ändra och trycka på “Filrättigheter…”

Filrättigheter i FileZilla
Hur man ändrar filrättigheter i FileZilla

4 – Inaktivera den inbyggda filredigeraren

Visste du att WordPress kommer med en inbyggd filredigerare för teman och plugins? Den gör det enkelt att i WP Admin redigera filer på din hemsida, vilket kanske kan vara en bekvämlighet för vissa, men den kan också innebära vissa risker.

När filredigeraren är aktiverad så kan administratörer redigera koden i teman och plugins direkt i webbläsaren. Det utgör en potentiell säkerhetsrisk eftersom man enkelt kan begå misstag som får hela sidan att sluta fungera när man utför ändringar, och det ger också hackare snabb tillgång till alla filer som utgör din hemsida.

Vi rekommenderar istället att man helt inaktiverar denna filredigerare och istället redigerar via filer över SFTP.

Den inbyggda filredigeraren kan enkelt inaktiveras i wp-config.php genom att lägga till följande kodsnutt:

define( 'DISALLOW_FILE_EDIT', true );
WordPress filredigerare
WordPress inbyggda filredigerare

5 – Sätt ett eget databas-prefix

WordPress använder ett standardprefix för databastabeller, oftast wp_. Vissa attacker riktar sig specifikt mot detta prefix, så att byta till ett unikt prefix kan avvärja vissa hot.

Antalet attacker mot just detta prefix är dock begränsat, och att byta prefix på en befintlig WordPress-installation kan vara riskfyllt.

Därför rekommenderar vi endast att byta prefix vid nyinstallation, och inte på en redan befintlig hemsida.

WordPress databasprefix
Det kan vara en bra idé att välja annan databasprefix än wp_

6 – Använd säkra användarnamn och lösenord

En av de vanligaste metoderna hackare använder för att få åtkomst till en hemsida är att gissa lösenordet.

Om man använder enkla och vanligt förekommande lösenord så möjliggör man för obehöriga att relativt enkelt ta sig in på ens hemsida genom en s.k. Brute force-attack där man testar mängder med olika lösenord tills man tar sig in. Om man istället använder ett starkt lösenord så blir en sådan attack i praktiken omöjlig att lyckas med.

Att använda starka lösenord kan tyckas som en självklarhet för vissa, men det finns fortfarande många som använder väldigt dåligt lösenord. Säkerhetsföretag som SplashData och NordPass sammanställer listor på de vanligaste lösenorden. Enligt den senaste listan är de 5 vanligaste lösenorden:

  1. 123456
  2. 123456789
  3. 12345
  4. qwerty
  5. password

Se till använda ett långt och komplext lösenord som helst är slumpmässigt genererat och som är exklusivt för din hemsida.

Det är också vanligt att användarnamnet “admin” används för administratörskontot. För bättre säkerhet rekommenderar vi att du väljer ett annat användarnamn. Detta gör det svårare för hackare att gissa både rätt användarnamn och lösenord, vilket stärker säkerheten på din WordPress-sida.

Säkra lösenord
Lösenord ska helst vara unika och komplexa

7 – Implementera 2FA (tvåfaktorsautentisering)

2FA, eller tvåfaktorsautentisering, är en säkerhetsprocess som kombinerar två olika verifieringsmetoder vid inloggning: vanligtvis något du känner till (ditt lösenord) med något du har (en unik kod skickad till din mobil via SMS eller genererad av en autentiseringsapp). Din hemsida får därmed ett extra säkerhetslager som avsevärt minskar risken för obehörig åtkomst. Om ditt lösenord komprometteras, förblir kontot skyddat tack vare det andra autentiseringssteget.

Du implementerar tvåfaktorsautentisering på din WordPress-sajt så här:

  • Välj ett 2FA-plugin: Ett exempel på ett populärt 2FA-plugin är Wordfence Security.
2FA-pluginet tillhandahåller funktionen att lägga till tvåfaktorsautentisering på din WordPress-sajt. När det installerats kan det konfigureras för olika autentiseringsmetoder, inklusive kodgenerering från autentiseringsappar.
  • Välj autentiseringsapp: Två populära autentiseringsappar är Google Authenticator och Microsoft Authenticator.
Dessa appar fungerar som den andra faktorn i 2FA-processen. När du konfigurerar ditt WordPress-plugin för 2FA, kan du välja att använda dessa appar som din autentiseringsmetod. Vanligtvis skannar man en QR-kod från WordPress-pluginet med den valda autentiseringsappen för att koppla kontot. Därefter genererar appen en unik kod som används vid varje framtida inloggning.

8 – Uppdatera WordPress säkerhetsnycklar i wp-config.php

WordPress säkerhetsnycklar (eller “security keys”) är en samling slumpmässigt genererade variabler som hjälper till att förbättra krypteringen av information som sparas i besökare och administratörers cookies.

Det finns fyra olika nycklar: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, and NONCE_KEY.

När du installerar WordPress så genereras dessa på ett slumpmässigt sätt och är unika för din sida. Men, om du någon gång har flyttat från ett webbhotell till ett annat, eller om du har tagit över din hemsida efter någon annan, så kan det vara en god idé att generera nya säkerhetsnycklar.

Dessa kan utan problem bytas ut när som helst, men det medför att alla som är inloggade på din sida kommer att loggas ut.

Man kan enkelt få en samling nyligen genererade säkerhetsnycklar genom ett smart verktyg på WordPress.org och sen klistra in dem i wp-config.php.

Säkerhetsnycklar i wp-config.php
Säkerhetsnycklarna i wp-config.php är bäst att byta ut vid flytt

9 – Inaktivera XML-RPC

XML-RPC är en funktion i WordPress som tidigare använts för kommunikation mellan WordPress och en del andra system, exempelvis andra bloggnätverk. På senare år så har dock denna funktion bantats ner igen i takt med att användandet av den minskat, och funktionen planeras att tas bort helt i framtiden och istället ersättas med WordPress egna API.

Idag så är användningsområdet för XML-RPC väldigt litet. Det har istället blivit ett populärt “verktyg” för hackare, då det möjliggör att testa hundratals kombinationer av lösenord med ett enda kommando.

Om du använder Templ som webbhotell så är redan XML-RPC blockerat från början, och om du använder något annat webbhotell så är det relativt enkelt att inaktivera den funktion på andra sätt.

Man kan antingen inaktivera XML-RPC med hjälp av ett plugin, eller genom att klistra in lite kod i ens temas functions.php-fil:

add_filter( 'xmlrpc_enabled', '__return_false' );

.. eller ännu bättre i .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

10 – Dölj vilken version av WordPress du använder

Vilken WordPress-version som används på din sida skrivs vanligtvis ut i sidans HTML-kod, så om du har en gammal version av WordPress med kända sårbarheter så är det alltså väldigt enkelt för en hackare att ta del av den informationen.

Även om vi förstås rekommenderar att man alltid kör den senaste versionen av WordPress så kan det ändå vara en bra idé att dölja för världen vilken version man använder sig av. Ju mindre utomstående vet om din WordPress-installation desto svårare är det att utföra riktade attacker mot den.

Det är enkelt att dölja WordPress-version med hjälp av lite kod i functions.php:

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');
WordPress version i HTML head
WordPress skriver från början ut vilken version man använder i HTML-koden

11 – Använd SSL och HTTPS

Även om SSL har blivit något av en självklarhet idag så skadar det inte att ännu en gång understryka vikten SSL om man vill ha en hemsida som är säker.

Med ett SSL-certifikat så kan man använda det krypterade protokollet HTTPS istället för gamla okrypterade HTTP. Det innebär att när man fyller i exempelvis ett inloggningsformulär på en sida med HTTPS så krypteras informationen inkl. Lösenord och annan känslig information vilket gör det omöjligt för någon annan att utläsa på vägen.

Även om den största fördelen med SSL är just säkerhet så är det idag också starkt förknippat med SEO-fördelar (eftersom Google m.fl. föredrar HTTPS över HTTP), ökat förtroende hos besökare och att man numera även slipper se varningar när man går in på sidan.

Att ha ett SSL-certifikat och köra sin sida helt över HTTPS bör idag vara en självklarhet.

12 – Byt URL till WP Admin

Alla WordPress sidor använder från början en och samma adress till WP Admin, nämligen dindomän.se/wp-admin. Ett problem med det kan vara att alla känner till denna adress, inkl. Botar och hackare.

Genom att ändra URL till WP Admin kan man göra en sida blir mindre utsatt för attacker. Man kan enkelt byta adress till WP Admin genom att använda pluginet WPS Hide Login.

Vilket vi också beskriver i detalj hur man sätter upp i ett annat blogginlägg.

Det är viktigt att ha i åtanke att detta inte är en lösning på alla problem, men det kan helt klart vara ett sätt att försvåra för hackare att ta sig in på din sida.

Ändra WP Admin adress
URL till WP Admin kan enkelt ändras med ett plugin

13 – Se till att ta dagliga backuper

En backup förhindrar inte att din hemsida utsätts för attacker, men den är ovärderlig när något går fel. Om din webbplats blir komprometterad kan du snabbt återställa den till ett tidigare, säkert tillstånd. Att ha en aktuell backup är avgörande för att rädda din sida om olyckan är framme och du behöver återställa dess innehåll.

Oavsett vilka förebyggande medel du än tar till så kommer din hemsida aldrig att bli 100% säker. Därför vill man ha alltid se till att säkerhetskopior av ens hemsida tas på en regelbunden basis.

De flesta webbhotellen i premiumsegmentet tar daglig backup av alla hemsidor, så även vi på Templ. Om ditt webbhotell inte erbjuder backup så är det enkelt att lösa på egen hand med hjälp av exempelvis pluginet UpDraft men bör då ha i åtanke att ett plugin för backup kommer att påverka din hemsidas prestanda och nyttja mycket av det utrymme du betalar för på ditt webbhotell.

Ifall din hemsida har hackats och du har en backup att tillgå så kan du läsa vår artikel om hackad WordPress och hur man räddar sin sida.

Templ-panelen backuper

14 – Välj ett säkert webbhotell

När det gäller säkerhet och WordPress finns det många faktorer som sträcker sig bortom själva hemsidan. Flera viktiga säkerhetsåtgärder måste vidtas på servernivå, vilket är något ditt webbhotell ansvarar för. Hos Templ tar vi säkerhet på största allvar och integrerar säkerhetstänk i allt vi gör, för att ge din webbplats bästa möjliga skydd från grunden.

Det är väldigt viktigt att alltid välja ett webbhotell som man verkligen kan lita på, eller att du själv har oerhört goda kunskaper om säkerhet om du väljer att placera din hemsida på en VPS och därmed bära hela ansvaret för säkerhet själv.

Det är också viktigt att känna till att olika webbhotell har kraftigt varierande policy för vad man gör när en hemsida blivit hackad. Vissa webbhotell stänger helt sonika av hemsidor som har drabbats och vill inte veta av dem, medan vi på Templ erbjuder kostnadsfri hjälp för att rädda hackade sidor.

Ett webbhotell som tar säkerhet på allvar har ofta:

  • Brandvägg som skyddar mot olika attacker
  • Senaste version av PHP, MySQL och annan mjukvara
  • Dagliga backuper
  • Support tillgänglig dygnet runt
  • Övervakning dygnet runt av alla hemsidor
  • Samt en rad andra avancerade funktioner för bättre säkerhet.

Slutord

Avslutningsvis är det värt att betona att WordPress är en säker plattform, men det är avgörande att hålla allt uppdaterat och använda sunt förnuft.

Säkerheten sträcker sig dock djupare än WordPress själv. Du bör antingen ha god förståelse för IT-säkerhet eller välja ett webbhotell som prioriterar säkerhet.

Dagliga backuper är också ett måste för att kunna återställa din sida vid problem. Har du frågor om WordPress-säkerhet?

Tveka inte att fråga i chatten eller kommentarsfältet. Lycka till! 🙂

Populära inlägg

Därför bör du separera hosting och e-post
Ett webbhotell är först och främst byggt för hemsidor. Det betyder att din hemsida alltid är prioriterad - och det är ju toppen! Det innebär samtidigt att infrastruktur och support för e-post är underordnat, och därför bäst hanteras av en specialiserad mejltjänst.

Kommentera

Din e-postadress kommer inte offentliggöras.