När det kommer till WordPress-säkerhet är det inte ovanligt att många bara väljer att installera ett plugin som lovar att göra din sida säker, och sen så var det inte mer med det.
Men, ett plugin för förbättrad säkerhet gör ofta ens sida väldigt trög, är inte en komplett lösning för säkerhet och kan ge en en falsk känsla av trygghet.
Din sidas säkerhet är bara så stark som den svagaste länken, därför är det viktigt att man har ett helhetstänk och att man ser över så många aspekter som möjligt.
I denna artikel har vi samlat en lista över olika åtgärder som är enkla för vem som helst att genomföra och som kan förbättra din sidas säkerhet mycket.
Innehållsförteckning:
- Är WordPress säkert?
- 1 – Håll WordPress, plugins och teman uppdaterade
- 2 – Avinstallera inaktiva plugins och teman
- 3 – Se till att ha rätt (restriktiva) filrättigheter
- 4 – Inaktivera den inbyggda filredigeraren
- 5 – Sätt ett eget databas-prefix
- 6 – Använd säkra användarnamn och lösenord
- 7 – Implementera 2FA (tvåfaktorsautentisering)
- 8 – Uppdatera WordPress säkerhetsnycklar i wp-config.php
- 9 – Inaktivera XML-RPC
- 10 – Dölj vilken version av WordPress du använder
- 11 – Använd SSL och HTTPS
- 12 – Byt URL till WP Admin
- 13 – Se till att ta dagliga backuper
- 14 – Välj ett säkert webbhotell
- Slutord
Är WordPress säkert?
Ja, i grund och botten så är WordPress mycket säkert, men det ligger också mycket eget ansvar till grund för exakt hur säker just din hemsida blir i slutändan.
WordPress har en väldigt rigorös kvalitets- och säkerhetskontroll och är ofta också väldigt snabba på att täppa till eventuella säkerhetsluckor som upptäcks. Detta betyder att om man själv är duktig på att hålla sin installation av WordPress uppdaterad så är risken väldigt liten att ens hemsida någonsin kommer att bli “hackad” på grund av WordPress i sig.
Den vanligaste orsaken bakom intrång på ens hemsida är istället att administratören har slarvat med säkerheten och inte följt alla de råd som finns för hur man håller sin hemsida säker.
1 – Håll WordPress, plugins och teman uppdaterade
Kanske den viktigaste säkerhetsåtgärden man kan ta är att se till att hålla WordPress, plugins och teman uppdaterade.
Eftersom WordPress är ett open source-projekt så kan vem som helst läsa all bakomliggande kod och även hjälpa till att förbättra den, vilket förstås har många fördelar. Men det innebär också att hackare och andra med ont uppsåt kan läsa koden och hitta sårbarheter och nyttja dessa för att för att ta kontroll över andras hemsidor.
Varje gång en säkerhetslucka rapporteras till teamet bakom WordPress så kan man vara säker på att en säkerhetsuppdatering följer så fort som möjligt.
Det betyder att om du inte använder den senaste versionen av WordPress så använder du med hög sannolikhet en version som innehåller en eller flera kända sårbarheter. Hackare kan i sin tur söka efter hemsidor med gammal mjukvara och utföra riktade attacker mot dessa.
Därför är det av yttersta vikt att se till att uppdatera WordPress, teman och plugins så ofta som man bara kan.
Att uppdatera en hemsida kan ibland vara lite läskigt, speciellt om det är en e-handel, men det är bättre att man själv råkar “ha sönder” sin egen hemsida (förutsatt att man har backup) än att någon obehörig tar sig in på den.
Automatiska uppdateringar
I WordPress 3.7 så introducerades automatiska uppdateringar för WordPress, så mindre säkerhetsuppdateringar av själva WordPress ska utföras automatiskt på din sida.
Man kan också aktivera automatiska uppdateringar av tema och plugins genom att lägga till följande till ditt temas functions.php-fil:
add_filter( 'auto_update_plugin', '__return_true' ); add_filter( 'auto_update_theme', '__return_true' );
Verifiera uppdateringar i ”stagingmiljö”
För vissa mer systemkritiska hemsidor som absolut måste vara uppe hela tiden och som man inte vill riskera ska ligga nere på grund av en uppdatering som gått fel så är det istället en god idé att alltid uppdatera på en staging-sida först och verifiera att uppdateringar fungerar bra där innan man uppdaterar sin skarpa hemsida.
På så sätt kan man vara säker på att inga oväntade problem uppstår innan man uppdaterar sin hemsida.
2 – Avinstallera inaktiva plugins och teman
En vanlig missuppfattning som folk har är att inaktiva plugins inte kan ha någon negativ påverkan på ens hemsida, men faktum är att en hacker kan exploatera säkerhetshål även i plugins som är inaktiverade.
Om du har plugins installerade på din sida som du inte använder så är det dessutom lätt hänt att man glömmer att uppdatera dessa, vilket förstås utgör en extra säkerhetsrisk.
Vi rekommenderar därför att man alltid håller antalet plugins så lågt som möjligt och att man avinstallerar plugins som man inte använder. Att enbart inaktivera dem räcker inte.
3 – Se till att ha rätt (restriktiva) filrättigheter
Filrättigheter (eller filbehörigheter) bestämmer vem och vad som kan läsa, skriva och ändra dina filer som utgör WordPress och allt du installerat där i. Om dina filer inte har de tightast möjliga filrättigheterna på plats är det lättare för hackare att modifiera dina filer och göra intrång på din webbplats.
Filrättigheter brukar anges i form av 3 siffror, t.ex. 755, där varje siffra representerar en användargrupp och vad den gruppen har för rättigheter.
Den första gruppen från vänster är user/owner rättigheter, den andra är group rättigheter och den tredje gruppen är others rättigheter.
Enkelt förklarat så kan man säga att ju högre siffra desto mer rättigheter. För den nördiga kommer här en förklaring vad de olika siffrorna betyder:
4 = read (r) 2 = write (w) 1 = execute (x) 0 = no permission (-) Read + write + execute = 7 Read + write = 6 Read + execute = 5 Read = 4
Alla mappar bör ha 755 eller 750.
Alla filer bör ha 644 eller 640, med undantag för wp-config.php som bör ha antingen 440 eller 400 för att förhindra obehöriga att läsa den.
Inga mappar bör någonsin sättas till 777, vilket ger alla användare fulla rättigheter. Det ska aldrig vara nödvändigt eftersom PHP-processen körs av ägaren av filerna, och därmed så kan den skriva i mappar med 755.
Tighta filrättigheter är extra viktigt i en “shared hosting”-miljö, där man delar server med främlingar, för att säkerställa så att andra användare på servern inte kan komma åt dina filer.
Hur man ändrar filrättigheter
Att ändra filrättigheter är enkelt och kan exempelvis göras med hjälp av den mycket populära och gratis FTP-klienten FileZilla.
För att ändra filrättigheter i FileZilla så är det bara att högerklicka på den fil eller mapp som man vill ändra och trycka på “Filrättigheter…”
4 – Inaktivera den inbyggda filredigeraren
Visste du att WordPress kommer med en inbyggd filredigerare för teman och plugins? Den gör det enkelt att i WP Admin redigera filer på din hemsida, vilket kanske kan vara en bekvämlighet för vissa, men den kan också innebära vissa risker.
När filredigeraren är aktiverad så kan administratörer redigera koden i teman och plugins direkt i webbläsaren. Det utgör en potentiell säkerhetsrisk eftersom man enkelt kan begå misstag som får hela sidan att sluta fungera när man utför ändringar, och det ger också hackare snabb tillgång till alla filer som utgör din hemsida.
Vi rekommenderar istället att man helt inaktiverar denna filredigerare och istället redigerar via filer över SFTP.
Den inbyggda filredigeraren kan enkelt inaktiveras i wp-config.php genom att lägga till följande kodsnutt:
define( 'DISALLOW_FILE_EDIT', true );
5 – Sätt ett eget databas-prefix
WordPress använder en prefix framför alla tabeller i databasen, som vanligen är wp_.
Vissa attacker mot databasen antar just denna prefix så om man använder en annan så kan man avvärja vissa attacker.
Antalet attacker som antar just denna prefix lär inte vara många, och att byta prefix på en befintlig WordPress-installation är inte helt riskfritt. Därför rekommenderar vi bara att välja en annan prefix om du ska sätta upp en ny installation av WordPress, inte att man ska ändra prefix på befintlig sida.
6 – Använd säkra användarnamn och lösenord
Ett av de vanligaste sätten en hackare tar sig in på en hemsida är genom att gissa sig fram till lösenordet.
Om man använder enkla och vanligt förekommande lösenord så möjliggör man för obehöriga att relativt enkelt ta sig in på ens hemsida genom en s.k. Brute force-attack där man testar mängder med olika lösenord tills man tar sig in. Om man istället använder ett starkt lösenord så blir en sådan attack i praktiken omöjlig att lyckas med.
Att använda starka lösenord kan tyckas som en självklarhet för vissa, men det finns fortfarande många som använder väldigt dåligt lösenord. Säkerhetsföretag som SplashData och NordPass sammanställer listor på de vanligaste lösenorden. Enligt den senaste listan är de 5 vanligaste lösenorden:
- 123456
- 123456789
- 12345
- qwerty
- password
Se till använda ett långt och komplext lösenord som helst är slumpmässigt genererat och som är exklusivt för din hemsida.
Det är också ganska vanligt förekommande att folk använder användarnamnet “admin” på deras administratörskonto. För extra säkerhet rekommenderas istället att använda ett annat användarnamn så att man gör det ännu svårare för en hackare att gissa sig fram till rätt användarnamn och lösenord.
7 – Implementera 2FA (tvåfaktorsautentisering)
2FA, eller tvåfaktorsautentisering, är en säkerhetsprocess som kombinerar två olika verifieringsmetoder vid inloggning: vanligtvis något du känner till (ditt lösenord) med något du har (en unik kod skickad till din mobil via SMS eller genererad av en autentiseringsapp). Din hemsida får därmed ett extra säkerhetslager som avsevärt minskar risken för obehörig åtkomst. Om ditt lösenord komprometteras, förblir kontot skyddat tack vare det andra autentiseringssteget.
Du implementerar tvåfaktorsautentisering på din WordPress-sajt så här:
- Välj ett 2FA-plugin: Ett exempel på ett populärt 2FA-plugin är Wordfence Security. 2FA-pluginet tillhandahåller funktionen att lägga till tvåfaktorsautentisering på din WordPress-sajt. När det installerats kan det konfigureras för olika autentiseringsmetoder, inklusive kodgenerering från autentiseringsappar.
- Välj autentiseringsapp: Två populära autentiseringsappar är Google Authenticator och Microsoft Authenticator. Dessa appar fungerar som den andra faktorn i 2FA-processen. När du konfigurerar ditt WordPress-plugin för 2FA, kan du välja att använda dessa appar som din autentiseringsmetod. Vanligtvis skannar man en QR-kod från WordPress-pluginet med den valda autentiseringsappen för att koppla kontot. Därefter genererar appen en unik kod som används vid varje framtida inloggning.
8 – Uppdatera WordPress säkerhetsnycklar i wp-config.php
WordPress säkerhetsnycklar (eller “security keys”) är en samling slumpmässigt genererade variabler som hjälper till att förbättra krypteringen av information som sparas i besökare och administratörers cookies.
Det finns fyra olika nycklar: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, and NONCE_KEY.
När du installerar WordPress så genereras dessa på ett slumpmässigt sätt och är unika för din sida. Men, om du någon gång har flyttat från ett webbhotell till ett annat, eller om du har tagit över din hemsida efter någon annan, så kan det vara en god idé att generera nya säkerhetsnycklar.
Dessa kan utan problem bytas ut när som helst, men det medför att alla som är inloggade på din sida kommer att loggas ut.
Man kan enkelt få en samling nyligen genererade säkerhetsnycklar genom ett smart verktyg på WordPress.org och sen klistra in dem i wp-config.php.
9 – Inaktivera XML-RPC
XML-RPC är en funktion i WordPress som tidigare använts för kommunikation mellan WordPress och en del andra system, exempelvis andra bloggnätverk. På senare år så har dock denna funktion bantats ner igen i takt med att användandet av den minskat, och funktionen planeras att tas bort helt i framtiden och istället ersättas med WordPress egna API.
Idag så är användningsområdet för XML-RPC väldigt litet. Det har istället blivit ett populärt “verktyg” för hackare, då det möjliggör att testa hundratals kombinationer av lösenord med ett enda kommando.
Om du använder Templ som webbhotell så är redan XML-RPC blockerat från början, och om du använder något annat webbhotell så är det relativt enkelt att inaktivera den funktion på andra sätt.
Man kan antingen naktivera XML-RPC med hjälp av ett plugin, eller genom att klistra in lite kod i ens temas functions.php-fil:
add_filter( 'xmlrpc_enabled', '__return_false' );
.. eller ännu bättre i .htaccess:
<Files xmlrpc.php> order deny,allow deny from all </Files>
10 – Dölj vilken version av WordPress du använder
Vilken WordPress-version som används på din sida skrivs vanligtvis ut i sidans HTML-kod, så om du har en gammal version av WordPress med kända sårbarheter så är det alltså väldigt enkelt för en hackare att ta del av den informationen.
Även om vi förstås rekommenderar att man alltid kör den senaste versionen av WordPress så kan det ändå vara en bra idé att dölja för världen vilken version man använder sig av. Ju mindre utomstående vet om din WordPress-installation desto svårare är det att utföra riktade attacker mot den.
Det är enkelt att dölja WordPress-version med hjälp av lite kod i functions.php:
function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');
11 – Använd SSL och HTTPS
Även om SSL har blivit något av en självklarhet idag så skadar det inte att ännu en gång understryka vikten SSL om man vill ha en hemsida som är säker.
Med ett SSL-certifikat så kan man använda det krypterade protokollet HTTPS istället för gamla okrypterade HTTP. Det innebär att när man fyller i exempelvis ett inloggningsformulär på en sida med HTTPS så krypteras informationen inkl. Lösenord och annan känslig information vilket gör det omöjligt för någon annan att utläsa på vägen.
Även om den största fördelen med SSL är just säkerhet så är det idag också starkt förknippat med SEO-fördelar (eftersom Google m.fl. föredrar HTTPS över HTTP), ökat förtroende hos besökare och att man numera även slipper se varningar när man går in på sidan.
Att ha ett SSL-certifikat och köra sin sida helt över HTTPS bör idag vara en självklarhet.
12 – Byt URL till WP Admin
Alla WordPress sidor använder från början en och samma adress till WP Admin, nämligen dindomän.se/wp-admin. Ett problem med det kan vara att alla känner till denna adress, inkl. Botar och hackare.
Genom att ändra URL till WP Admin kan man göra en sida blir mindre utsatt för attacker. Man kan enkelt byta adress till WP Admin genom att använda pluginet WPS Hide Login.
Vilket vi också beskriver i detalj hur man sätter upp i ett annat blogginlägg.
Det är viktigt att ha i åtanke att detta inte är en lösning på alla problem, men det kan helt klart vara ett sätt att försvåra för hackare att ta sig in på din sida.
13 – Se till att ta dagliga backuper
Backup är förstås ingen åtgärd som förebygger att en hemsida drabbas av någon form av attack, men det är däremot helt ovärderligt att ha den dagen olyckan är framme och man behöver kunna backa bandet för att rädda sin hemsida.
Oavsett vilka förebyggande medel du än tar till så kommer din hemsida aldrig att bli 100% säker. Därför vill man ha alltid se till att säkerhetskopior av ens hemsida tas på en regelbunden basis.
De flesta webbhotellen i premiumsegmentet tar daglig backup av alla hemsidor, så även vi på Templ. Om ditt webbhotell inte erbjuder backup så är det enkelt att lösa på egen hand med hjälp av exempelvis pluginet UpDraft men bör då ha i åtanke att ett plugin för backup kommer att påverka din hemsidas prestanda och nyttja mycket av det utrymme du betalar för på ditt webbhotell.
Ifall din hemsida har hackats och du har en backup att tillgå så kan du läsa vår artikel om hackad WordPress och hur man räddar sin sida.
14 – Välj ett säkert webbhotell
När det kommer till säkerhet och WordPress så finns det många faktorer som spelar in som sitter djupare än själva hemsidan i sig. Det finns också väldigt många åtgärder för god säkerhet som måste tas på servernivå, som alltså ditt webbhotell ansvarar för. På Templ så tar vi säkerhet på allra största allvar och har alltid ett säkerhetstänk i allt vi gör.
Det är väldigt viktigt att alltid välja ett webbhotell som man verkligen kan lita på, eller att du själv har oerhört goda kunskaper om säkerhet om du väljer att placera din hemsida på en VPS och därmed bära hela ansvaret för säkerhet själv.
Det är också viktigt att känna till att olika webbhotell har kraftigt varierande policy för vad man gör när en hemsida blivit hackad. Vissa webbhotell stänger helt sonika av hemsidor som har drabbats och vill inte veta av dem, medan vi på Templ erbjuder kostnadsfri hjälp för att rädda hackade sidor.
Ett webbhotell som tar säkerhet på allvar har ofta:
- Brandvägg som skyddar mot olika attacker
- Senaste version av PHP, MySQL och annan mjukvara
- Dagliga backuper
- Support tillgänglig dygnet runt
- Övervakning dygnet runt av alla hemsidor
- Samt en rad andra avancerade funktioner för bättre säkerhet.
Slutord
Avslutningsvis så tåls det att upprepas att WordPress i sig är en väldigt säker plattform, men att det är viktigt att hålla allt uppdaterat och man använder sunt förnuft.
Det är också viktigt att komma ihåg att det finns många faktorer som påverkar säkerheten på ens hemsida som är ”djupare” än WordPress själv. Därför är det viktigt att man antingen själv har väldigt bra förståelse för IT-säkerhet eller att man väljer att webbhotell som tar säkerhet på allvar.
Dagliga backuper av ens hemsida är också ett absolut måste så att man har någonting att falla tillbaka på ifall olyckan skulle vara framme.
Har du några frågor om WordPress säkerhet så är du är varmt välkommen att ställa den i chatten här på sidan eller i kommentarsfältet nedan.
Lycka till! 🙂
