Inneh\u00e5llsf\u00f6rteckning:<\/strong><\/p>\n Ja, WordPress \u00e4r i grunden en s\u00e4ker plattform, men din hemsidas s\u00e4kerhet beror ocks\u00e5 p\u00e5 hur v\u00e4l du underh\u00e5ller den. WordPress har strikta s\u00e4kerhetskontroller och snabba uppdateringar f\u00f6r att t\u00e4ppa till s\u00e5rbarheter. S\u00e5 l\u00e4nge du h\u00e5ller din WordPress-installation uppdaterad, \u00e4r risken f\u00f6r att bli hackad p\u00e5 grund av sj\u00e4lva plattformen mycket liten.<\/p>\n De flesta intr\u00e5ng sker p\u00e5 grund av anv\u00e4ndarfel, d\u00e4r administrat\u00f6ren inte har f\u00f6ljt viktiga s\u00e4kerhetsr\u00e5d f\u00f6r att skydda sin webbplats.<\/p>\n En av de viktigaste s\u00e4kerhets\u00e5tg\u00e4rderna du kan ta f\u00f6r din WordPress-sida \u00e4r att h\u00e5lla WordPress, teman och plugins uppdaterade. Eftersom WordPress \u00e4r ett open source-projekt har alla tillg\u00e5ng till koden, vilket b\u00e5de \u00e4r en f\u00f6rdel och en potentiell s\u00e4kerhetsrisk. Hackare kan analysera koden f\u00f6r att hitta s\u00e5rbarheter och utnyttja dem f\u00f6r att ta kontroll \u00f6ver din webbplats.<\/p>\n Varje g\u00e5ng en s\u00e4kerhetslucka rapporteras sl\u00e4pper WordPress-teamet snabbt en uppdatering. Om du inte anv\u00e4nder den senaste versionen l\u00f6per du risken att din sida har k\u00e4nda s\u00e4kerhetsbrister. Hackare s\u00f6ker aktivt efter sidor med f\u00f6r\u00e5ldrad mjukvara och riktar sina attacker mot dessa s\u00e5rbara webbplatser.<\/p>\n D\u00e4rf\u00f6r \u00e4r det absolut n\u00f6dv\u00e4ndigt att du uppdaterar WordPress, teman och plugins s\u00e5 fort en ny version blir tillg\u00e4nglig. \u00c4ven om det kan k\u00e4nnas obekv\u00e4mt att uppdatera \u2013 s\u00e4rskilt om du driver en e-handelsplats \u2013 \u00e4r det alltid b\u00e4ttre att riskera att skapa mindre problem sj\u00e4lv, s\u00e5 l\u00e4nge du har en backup, \u00e4n att l\u00e5ta en obeh\u00f6rig f\u00e5 tillg\u00e5ng till din webbplats.<\/p>\n Att h\u00e5lla allt uppdaterat \u00e4r en av de enklaste och mest effektiva sakerna du kan g\u00f6ra f\u00f6r att skydda din WordPress-sida fr\u00e5n hot och s\u00e4kerhetsintr\u00e5ng.<\/p>\n Automatiska uppdateringar<\/strong> Man kan ocks\u00e5 aktivera automatiska uppdateringar av tema och plugins genom att l\u00e4gga till f\u00f6ljande till ditt temas functions.php-fil:<\/p>\n Verifiera uppdateringar i ”stagingmilj\u00f6”<\/strong> Genom att f\u00f6rst verifiera uppdateringarna i stagingmilj\u00f6n s\u00e4kerst\u00e4ller du att inga ov\u00e4ntade fel uppst\u00e5r n\u00e4r du v\u00e4l uppdaterar din live-hemsida.<\/p>\n Det ger en tryggare process f\u00f6r att h\u00e5lla allt uppdaterat utan risk.<\/p>\n En vanlig missuppfattning \u00e4r att inaktiva plugins inte p\u00e5verkar hemsidans s\u00e4kerhet, men \u00e4ven inaktiverade plugins kan utnyttjas av hackare om de inneh\u00e5ller s\u00e4kerhetsbrister.<\/p>\n Om du dessutom gl\u00f6mmer att uppdatera inaktiva plugins, \u00f6kar risken f\u00f6r intr\u00e5ng. Vi rekommenderar att du h\u00e5ller antalet installerade plugins till ett minimum och avinstallerar de du inte anv\u00e4nder.<\/p>\n Att enbart inaktivera dem r\u00e4cker inte f\u00f6r att garantera s\u00e4kerheten.<\/p>\n Filr\u00e4ttigheter (eller filbeh\u00f6righeter) best\u00e4mmer vem och vad som kan l\u00e4sa, skriva och \u00e4ndra dina filer som utg\u00f6r WordPress och allt du installerat d\u00e4r i. Om dina filer inte har de tightast m\u00f6jliga filr\u00e4ttigheterna p\u00e5 plats \u00e4r det l\u00e4ttare f\u00f6r hackare att modifiera dina filer och g\u00f6ra intr\u00e5ng p\u00e5 din webbplats.<\/p>\n Filr\u00e4ttigheter brukar anges i form av 3 siffror, t.ex. 755, d\u00e4r varje siffra representerar en anv\u00e4ndargrupp och vad den gruppen har f\u00f6r r\u00e4ttigheter.<\/p>\n Den f\u00f6rsta gruppen fr\u00e5n v\u00e4nster \u00e4r user\/owner r\u00e4ttigheter, den andra \u00e4r group r\u00e4ttigheter och den tredje gruppen \u00e4r others r\u00e4ttigheter.<\/p>\n Enkelt f\u00f6rklarat s\u00e5 kan man s\u00e4ga att ju h\u00f6gre siffra desto mer r\u00e4ttigheter. F\u00f6r den n\u00f6rdiga kommer h\u00e4r en f\u00f6rklaring vad de olika siffrorna betyder:<\/p>\n Alla mappar b\u00f6r ha 755 eller 750.<\/p>\n Alla filer b\u00f6r ha 644 eller 640, med undantag f\u00f6r wp-config.php som b\u00f6r ha antingen 440 eller 400 f\u00f6r att f\u00f6rhindra obeh\u00f6riga att l\u00e4sa den.<\/p>\n Inga mappar b\u00f6r n\u00e5gonsin s\u00e4ttas till 777, vilket ger alla anv\u00e4ndare fulla r\u00e4ttigheter. Det ska aldrig vara n\u00f6dv\u00e4ndigt eftersom PHP-processen k\u00f6rs av \u00e4garen av filerna, och d\u00e4rmed s\u00e5 kan den skriva i mappar med 755.<\/p>\n Tighta filr\u00e4ttigheter \u00e4r extra viktigt i en \u201cshared hosting\u201d-milj\u00f6, d\u00e4r man delar server med fr\u00e4mlingar, f\u00f6r att s\u00e4kerst\u00e4lla s\u00e5 att andra anv\u00e4ndare p\u00e5 servern inte kan komma \u00e5t dina filer.<\/p>\n Hur man \u00e4ndrar filr\u00e4ttigheter<\/strong> F\u00f6r att \u00e4ndra filr\u00e4ttigheter i FileZilla s\u00e5 \u00e4r det bara att h\u00f6gerklicka p\u00e5 den fil eller mapp som man vill \u00e4ndra och trycka p\u00e5 \u201cFilr\u00e4ttigheter\u2026\u201d<\/p>\n Visste du att WordPress kommer med en inbyggd filredigerare f\u00f6r teman och plugins? Den g\u00f6r det enkelt att i WP Admin redigera filer p\u00e5 din hemsida, vilket kanske kan vara en bekv\u00e4mlighet f\u00f6r vissa, men den kan ocks\u00e5 inneb\u00e4ra vissa risker.<\/p>\n N\u00e4r filredigeraren \u00e4r aktiverad s\u00e5 kan administrat\u00f6rer redigera koden i teman och plugins direkt i webbl\u00e4saren. Det utg\u00f6r en potentiell s\u00e4kerhetsrisk eftersom man enkelt kan beg\u00e5 misstag som f\u00e5r hela sidan att sluta fungera n\u00e4r man utf\u00f6r \u00e4ndringar, och det ger ocks\u00e5 hackare snabb tillg\u00e5ng till alla filer som utg\u00f6r din hemsida.<\/p>\n Vi rekommenderar ist\u00e4llet att man helt inaktiverar denna filredigerare och ist\u00e4llet redigerar via filer \u00f6ver SFTP.<\/p>\n Den inbyggda filredigeraren kan enkelt inaktiveras i wp-config.php genom att l\u00e4gga till f\u00f6ljande kodsnutt:<\/p>\n WordPress anv\u00e4nder ett standardprefix f\u00f6r databastabeller, oftast wp_. Vissa attacker riktar sig specifikt mot detta prefix, s\u00e5 att byta till ett unikt prefix kan avv\u00e4rja vissa hot.<\/p>\n Antalet attacker mot just detta prefix \u00e4r dock begr\u00e4nsat, och att byta prefix p\u00e5 en befintlig WordPress-installation kan vara riskfyllt.<\/p>\n D\u00e4rf\u00f6r rekommenderar vi endast att byta prefix vid nyinstallation, och inte p\u00e5 en redan befintlig hemsida.<\/p>\n En av de vanligaste metoderna hackare anv\u00e4nder f\u00f6r att f\u00e5 \u00e5tkomst till en hemsida \u00e4r att gissa l\u00f6senordet.<\/p>\n Om man anv\u00e4nder enkla och vanligt f\u00f6rekommande l\u00f6senord s\u00e5 m\u00f6jligg\u00f6r man f\u00f6r obeh\u00f6riga att relativt enkelt ta sig in p\u00e5 ens hemsida genom en s.k. Brute force-attack d\u00e4r man testar m\u00e4ngder med olika l\u00f6senord tills man tar sig in. Om man ist\u00e4llet anv\u00e4nder ett starkt l\u00f6senord s\u00e5 blir en s\u00e5dan attack i praktiken om\u00f6jlig att lyckas med.<\/p>\n Att anv\u00e4nda starka l\u00f6senord kan tyckas som en sj\u00e4lvklarhet f\u00f6r vissa, men det finns fortfarande m\u00e5nga som anv\u00e4nder v\u00e4ldigt d\u00e5ligt l\u00f6senord. S\u00e4kerhetsf\u00f6retag som SplashData och NordPass sammanst\u00e4ller listor<\/a> p\u00e5 de vanligaste l\u00f6senorden. Enligt den senaste listan \u00e4r de 5 vanligaste l\u00f6senorden:<\/p>\n Se till anv\u00e4nda ett l\u00e5ngt och komplext l\u00f6senord som helst \u00e4r slumpm\u00e4ssigt genererat och som \u00e4r exklusivt f\u00f6r din hemsida.<\/p>\n Det \u00e4r ocks\u00e5 vanligt att anv\u00e4ndarnamnet \u201cadmin\u201d anv\u00e4nds f\u00f6r administrat\u00f6rskontot. F\u00f6r b\u00e4ttre s\u00e4kerhet rekommenderar vi att du v\u00e4ljer ett annat anv\u00e4ndarnamn. Detta g\u00f6r det sv\u00e5rare f\u00f6r hackare att gissa b\u00e5de r\u00e4tt anv\u00e4ndarnamn och l\u00f6senord, vilket st\u00e4rker s\u00e4kerheten p\u00e5 din WordPress-sida.<\/p>\n 2FA, eller tv\u00e5faktorsautentisering, \u00e4r en s\u00e4kerhetsprocess som kombinerar tv\u00e5 olika verifieringsmetoder vid inloggning: vanligtvis n\u00e5got du k\u00e4nner till (ditt l\u00f6senord) med n\u00e5got du har (en unik kod skickad till din mobil via SMS eller genererad av en autentiseringsapp). Din hemsida f\u00e5r d\u00e4rmed ett extra s\u00e4kerhetslager som avsev\u00e4rt minskar risken f\u00f6r obeh\u00f6rig \u00e5tkomst. Om ditt l\u00f6senord komprometteras, f\u00f6rblir kontot skyddat tack vare det andra autentiseringssteget.<\/p>\n Du implementerar tv\u00e5faktorsautentisering p\u00e5 din WordPress-sajt s\u00e5 h\u00e4r:<\/p>\n WordPress s\u00e4kerhetsnycklar (eller \u201csecurity keys\u201d) \u00e4r en samling slumpm\u00e4ssigt genererade variabler som hj\u00e4lper till att f\u00f6rb\u00e4ttra krypteringen av information som sparas i bes\u00f6kare och administrat\u00f6rers cookies.<\/p>\n Det finns fyra olika nycklar: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, and NONCE_KEY.<\/p>\n N\u00e4r du installerar WordPress s\u00e5 genereras dessa p\u00e5 ett slumpm\u00e4ssigt s\u00e4tt och \u00e4r unika f\u00f6r din sida. Men, om du n\u00e5gon g\u00e5ng har flyttat fr\u00e5n ett webbhotell till ett annat, eller om du har tagit \u00f6ver din hemsida efter n\u00e5gon annan, s\u00e5 kan det vara en god id\u00e9 att generera nya s\u00e4kerhetsnycklar.<\/p>\n Dessa kan utan problem bytas ut n\u00e4r som helst, men det medf\u00f6r att alla som \u00e4r inloggade p\u00e5 din sida kommer att loggas ut.<\/p>\n Man kan enkelt f\u00e5 en samling nyligen genererade s\u00e4kerhetsnycklar genom ett smart verktyg p\u00e5 WordPress.org<\/a> och sen klistra in dem i wp-config.php.<\/p>\n XML-RPC \u00e4r en funktion i WordPress som tidigare anv\u00e4nts f\u00f6r kommunikation mellan WordPress och en del andra system, exempelvis andra bloggn\u00e4tverk. P\u00e5 senare \u00e5r s\u00e5 har dock denna funktion bantats ner igen i takt med att anv\u00e4ndandet av den minskat, och funktionen planeras att tas bort helt i framtiden och ist\u00e4llet ers\u00e4ttas med WordPress egna API.<\/p>\n Idag s\u00e5 \u00e4r anv\u00e4ndningsomr\u00e5det f\u00f6r XML-RPC v\u00e4ldigt litet. Det har ist\u00e4llet blivit ett popul\u00e4rt \u201cverktyg\u201d f\u00f6r hackare, d\u00e5 det m\u00f6jligg\u00f6r att testa hundratals kombinationer av l\u00f6senord med ett enda kommando.<\/p>\n Om du anv\u00e4nder Templ som webbhotell s\u00e5 \u00e4r redan XML-RPC blockerat fr\u00e5n b\u00f6rjan, och om du anv\u00e4nder n\u00e5got annat webbhotell s\u00e5 \u00e4r det relativt enkelt att inaktivera den funktion p\u00e5 andra s\u00e4tt.<\/p>\n Man kan antingen inaktivera XML-RPC med hj\u00e4lp av ett plugin, eller genom att klistra in lite kod i ens temas functions.php-fil:<\/p>\n .. eller \u00e4nnu b\u00e4ttre i .htaccess:<\/p>\n Vilken WordPress-version som anv\u00e4nds p\u00e5 din sida skrivs vanligtvis ut i sidans HTML-kod, s\u00e5 om du har en gammal version av WordPress med k\u00e4nda s\u00e5rbarheter s\u00e5 \u00e4r det allts\u00e5 v\u00e4ldigt enkelt f\u00f6r en hackare att ta del av den informationen.<\/p>\n \u00c4ven om vi f\u00f6rst\u00e5s rekommenderar att man alltid k\u00f6r den senaste versionen av WordPress s\u00e5 kan det \u00e4nd\u00e5 vara en bra id\u00e9 att d\u00f6lja f\u00f6r v\u00e4rlden vilken version man anv\u00e4nder sig av. Ju mindre utomst\u00e5ende vet om din WordPress-installation desto sv\u00e5rare \u00e4r det att utf\u00f6ra riktade attacker mot den.<\/p>\n Det \u00e4r enkelt att d\u00f6lja WordPress-version med hj\u00e4lp av lite kod i functions.php:<\/p>\n \u00c4ven om SSL har blivit n\u00e5got av en sj\u00e4lvklarhet idag s\u00e5 skadar det inte att \u00e4nnu en g\u00e5ng understryka vikten SSL om man vill ha en hemsida som \u00e4r s\u00e4ker.<\/p>\n Med ett SSL-certifikat s\u00e5 kan man anv\u00e4nda det krypterade protokollet HTTPS ist\u00e4llet f\u00f6r gamla okrypterade HTTP. Det inneb\u00e4r att n\u00e4r man fyller i exempelvis ett inloggningsformul\u00e4r p\u00e5 en sida med HTTPS s\u00e5 krypteras informationen inkl. L\u00f6senord och annan k\u00e4nslig information vilket g\u00f6r det om\u00f6jligt f\u00f6r n\u00e5gon annan att utl\u00e4sa p\u00e5 v\u00e4gen.<\/p>\n \u00c4ven om den st\u00f6rsta f\u00f6rdelen med SSL \u00e4r just s\u00e4kerhet s\u00e5 \u00e4r det idag ocks\u00e5 starkt f\u00f6rknippat med SEO-f\u00f6rdelar (eftersom Google m.fl. f\u00f6redrar HTTPS \u00f6ver HTTP), \u00f6kat f\u00f6rtroende hos bes\u00f6kare och att man numera \u00e4ven slipper se varningar n\u00e4r man g\u00e5r in p\u00e5 sidan.<\/p>\n Att ha ett SSL-certifikat och k\u00f6ra sin sida helt \u00f6ver HTTPS b\u00f6r idag vara en sj\u00e4lvklarhet.<\/p>\n Alla WordPress sidor anv\u00e4nder fr\u00e5n b\u00f6rjan en och samma adress till WP Admin, n\u00e4mligen dindom\u00e4n.se\/wp-admin. Ett problem med det kan vara att alla k\u00e4nner till denna adress, inkl. Botar och hackare.<\/p>\n Genom att \u00e4ndra URL till WP Admin kan man g\u00f6ra en sida blir mindre utsatt f\u00f6r attacker. Man kan enkelt byta adress till WP Admin genom att anv\u00e4nda pluginet WPS Hide Login<\/a>.<\/p>\n Vilket vi ocks\u00e5 beskriver i detalj hur man s\u00e4tter upp i ett annat blogginl\u00e4gg<\/a>.<\/p>\n Det \u00e4r viktigt att ha i \u00e5tanke att detta inte \u00e4r en l\u00f6sning p\u00e5 alla problem, men det kan helt klart vara ett s\u00e4tt att f\u00f6rsv\u00e5ra f\u00f6r hackare att ta sig in p\u00e5 din sida.<\/p>\n En backup f\u00f6rhindrar inte att din hemsida uts\u00e4tts f\u00f6r attacker, men den \u00e4r ov\u00e4rderlig n\u00e4r n\u00e5got g\u00e5r fel. Om din webbplats blir komprometterad kan du snabbt \u00e5terst\u00e4lla den till ett tidigare, s\u00e4kert tillst\u00e5nd. Att ha en aktuell backup \u00e4r avg\u00f6rande f\u00f6r att r\u00e4dda din sida om olyckan \u00e4r framme och du beh\u00f6ver \u00e5terst\u00e4lla dess inneh\u00e5ll.<\/p>\n Oavsett vilka f\u00f6rebyggande medel du \u00e4n tar till s\u00e5 kommer din hemsida aldrig att bli 100% s\u00e4ker. D\u00e4rf\u00f6r vill man ha alltid se till att s\u00e4kerhetskopior av ens hemsida tas p\u00e5 en regelbunden basis.<\/p>\n De flesta webbhotellen i premiumsegmentet tar daglig backup av alla hemsidor, s\u00e5 \u00e4ven vi p\u00e5 Templ. Om ditt webbhotell inte erbjuder backup s\u00e5 \u00e4r det enkelt att l\u00f6sa p\u00e5 egen hand med hj\u00e4lp av exempelvis pluginet UpDraft<\/a> men b\u00f6r d\u00e5 ha i \u00e5tanke att ett plugin f\u00f6r backup kommer att p\u00e5verka din hemsidas prestanda och nyttja mycket av det utrymme du betalar f\u00f6r p\u00e5 ditt webbhotell.<\/p>\n Ifall din hemsida har hackats och du har en backup att tillg\u00e5 s\u00e5 kan du l\u00e4sa v\u00e5r artikel om hackad WordPress<\/a> och hur man r\u00e4ddar sin sida.<\/p>\n\n
\u00c4r WordPress s\u00e4kert?<\/h2>\n
![\"\"](\"https:\/\/templ.io\/app\/uploads\/2020\/06\/wordpress-hacker.gif\")
<\/a>1 – H\u00e5ll WordPress, plugins och teman uppdaterade<\/h3>\n
![\"uppdateringar](\"https:\/\/templ.io\/app\/uploads\/2020\/06\/uppdateringar-i-wp-admin-1024x753-1.jpg\")
<\/p>\n
\nI WordPress 3.7 s\u00e5 introducerades automatiska uppdateringar f\u00f6r WordPress, s\u00e5 mindre s\u00e4kerhetsuppdateringar av sj\u00e4lva WordPress ska utf\u00f6ras automatiskt p\u00e5 din sida.<\/p>\nadd_filter( 'auto_update_plugin', '__return_true' );\nadd_filter( 'auto_update_theme', '__return_true' );<\/pre>\n
\nF\u00f6r systemkritiska hemsidor som alltid m\u00e5ste vara tillg\u00e4ngliga \u00e4r det en bra id\u00e9 att testa uppdateringar p\u00e5 en staging-sida innan du g\u00f6r \u00e4ndringar p\u00e5 den skarpa webbplatsen. Detta minskar risken f\u00f6r driftstopp eller problem efter uppdateringen.<\/p>\n2 – Avinstallera inaktiva plugins och teman<\/h3>\n
3 – Se till att ha r\u00e4tt (restriktiva) filr\u00e4ttigheter<\/h3>\n
4 = read (r)\n2 = write (w)\n1 = execute (x)\n0 = no permission (-)\n\nRead + write + execute = 7\nRead + write = 6\nRead + execute = 5\nRead = 4<\/pre>\n
\nAtt \u00e4ndra filr\u00e4ttigheter \u00e4r enkelt och kan exempelvis g\u00f6ras med hj\u00e4lp av den mycket popul\u00e4ra och gratis FTP-klienten FileZilla.<\/p>\n![\"Filr\u00e4ttigheter](\"https:\/\/templ.io\/app\/uploads\/2020\/06\/andra-filrattigheter-i-filezilla.jpg\")
<\/a>4 – Inaktivera den inbyggda filredigeraren<\/h3>\n
define( 'DISALLOW_FILE_EDIT', true );<\/pre>\n
![\"WordPress](\"https:\/\/templ.io\/app\/uploads\/2020\/06\/wordpress-filredigerare-1024x759.jpg\")
<\/a>5 – S\u00e4tt ett eget databas-prefix<\/h3>\n
![\"WordPress](\"https:\/\/templ.io\/app\/uploads\/2020\/06\/wordpress-databas-prefix-1024x845.jpg\")
<\/a>6 – Anv\u00e4nd s\u00e4kra anv\u00e4ndarnamn och l\u00f6senord<\/h3>\n
\n
![\"S\u00e4kra](\"https:\/\/templ.io\/app\/uploads\/2020\/06\/sakra-losenord.gif\")
<\/a>7 – Implementera 2FA (tv\u00e5faktorsautentisering)<\/h3>\n
\n
8 – Uppdatera WordPress s\u00e4kerhetsnycklar i wp-config.php<\/h3>\n
![\"S\u00e4kerhetsnycklar](\"https:\/\/templ.io\/app\/uploads\/2020\/06\/wordpress-sakerhetsnycklar-1024x776.jpg\")
<\/a>9 – Inaktivera XML-RPC<\/h3>\n
add_filter( 'xmlrpc_enabled', '__return_false' );<\/pre>\n
<Files xmlrpc.php>\norder deny,allow\ndeny from all\n<\/Files><\/pre>\n
10 – D\u00f6lj vilken version av WordPress du anv\u00e4nder<\/h3>\n
function wp_version_remove_version() {\nreturn '';\n}\nadd_filter('the_generator', 'wp_version_remove_version');<\/pre>\n![\"WordPress](\"https:\/\/templ.io\/app\/uploads\/2020\/06\/wordpress-version-i-html-head-1024x816.jpg\")
<\/a>11 – Anv\u00e4nd SSL och HTTPS<\/h3>\n
12 – Byt URL till WP Admin<\/h3>\n
![\"\u00c4ndra](\"https:\/\/templ.io\/app\/uploads\/2020\/06\/andra-wp-admin-url-1024x669.jpg\")
<\/a>13 – Se till att ta dagliga backuper<\/h3>\n
![\"Templ-panelen](\"https:\/\/templ.io\/app\/uploads\/2024\/04\/templ-panel-backuper.png\")
<\/a><\/p>\n