En praktisk guide till WordPress Security

Med ökningen av brott i webbsäkerheten är det mycket viktigt att vidta förebyggande åtgärder för att hålla din webbplats säker från inkräktare. Så om du har en WordPress-webbplats, läs vidare. Vi kommer att ge dig flera tips och verktyg du kan använda för att göra din WordPress-webbplats säker och säker.


“Det kan inte hända med min webbplats!” Detta är den allmänna tanken som de flesta av oss har när vi hör att en hacker bryter mot en webbplats säkerhet.

Kanske tror personen med den hackade webbplatsen att han eller hon måste ha gjort något oerhört fel för att läcka viktig information. Kanske gjorde personen det fruktansvärda misstaget att ta sin webbplats säkerhet för givet.

Du kanske känner dig säker med en mycket populär CMS- och bloggplattform som WordPress för din webbplats. Du kommer dock att göra väl att notera att den enorma globala populariteten för WordPress är en av de främsta orsakerna till att hackare riktar in webbplatser baserade på denna plattform.

WordPress är en mycket användarvänlig plattform, och det gör det ännu mer sårbart för attacker från hackare och spammare. Från början bör du göra säkerhet till högsta prioritet för din webbplats tillsammans med webbhotell och webbdesign.

Här är en djupgående undersökning av de olika åtgärder du behöver vidta för att förbättra din WordPress-webbplats säkerhet. Vi tittar också på de bästa tipsen för att skydda en WordPress-webbplats, de bästa WordPress-säkerhetsplugins och testverktygen.

Du måste inse att ingen webbplats någonsin kan vara 100 procent säker och till och med den information som delas här kommer inte att göra din webbplats helt säker. Det ultimata målet är att hjälpa dig att vidta alla nödvändiga försiktighetsåtgärder för att hålla din WordPress-webbplats säker från de flesta attacker.

Grunderna för webbsäkerhet

Du kanske tycker att det är mycket osannolikt att din webbplats kommer att bli hackad i framtiden eftersom den aldrig har ställts inför några säkerhetsproblem tidigare när det gäller skadlig programvara, skadlig kod eller till och med skräppostkommentarer.

Men en av de mest grundläggande sakerna att komma ihåg om webbsäkerhet är att du måste vara aktiv och inte reaktiv. Detta innebär att du bör vidta några försiktighetsåtgärder redan från början, snarare än att tro att någon inte kan hacka din webbplats och arbeta för att förbättra dess säkerhet.

Innan du hoppar till stegen för WordPress-säkerhet måste du också inse vikten av att ha denna säkerhet på plats.

Många människor besöker din webbplats. Vissa av dem kan prenumerera på din webbplats nyhetsbrev, och andra kan registrera sig som medlemmar på din webbplats forum. Uppgifterna som delas av dina besökare är också sårbara för attacker om din webbplats hackas. Så det är ditt ansvar att säkerställa säkerheten för din webbplats data, som i sin tur kommer att skydda dina besökares data.

Om din WordPress-webbplats lockar lite trafik kan du hävda att det inte finns någon anledning för en hackare att attackera din webbplats när det finns tusentals andra mer populära webbplatser tillgängliga online. Om det är så är det förmodligen dags för dig att förstå orsakerna till att en hackare kan försöka bryta din webbplats.

Hackare är inte oroliga om din webbplats lockar bara några få besökare eftersom de, när de har fått tillgång till din webbplats, kan använda din server för att skicka skräppostmeddelanden. De gör detta för att hjälpa dem att marknadsföra sina tjänster, produkter eller webbplatser.
Med en ökning av denna typ av skräppostaktivitet från din hackade server ökar chansen att din IP-adress blir svartlistad oerhört. Alternativt kan hackarna föredra att använda din server för sina egna webbplatsaktiviteter eftersom deras IP-adresser redan är svartlistade.

Bortsett från att inse skälen till hacking, måste du också förstå de olika sätten en hacker eller en spammare kan attackera din webbplats. Detta hjälper dig ytterligare att planera din webbplats aktiviteter på ett sådant sätt att din webbplats blir mindre sårbara för säkerhetshot.

De kan attackera genom valfri WordPress-plugin eller tema. Det finns faktiskt fall där problem med ett säkerhetsplugin har gjort det möjligt för hackare att attackera en webbplats som använde plugin-programmet. Dessutom kan hackare dra fördel av alla säkerhetsproblem på din värdplattform och använda valfri URL-parameter för att komma åt din databas.

På detta sätt kan de ändra dina data, ändra ditt lösenord eller till och med ta bort data. Det är förvånande att veta att många attacker till och med händer på grund av ett svagt lösenord för att få åtkomst till WordPress adminpanelen eller till och med för att komma åt värdens kontrollpanel.

Efter att ha utvecklat en grundläggande förståelse för behovet av att få din WordPress-webbplats säkra kan du nu läsa ytterligare för att lära dig om hur du kan öka din webbplats säkerhet.

9 Säkerhetstips för att skydda din WordPress-webbplats från hackare

Håll din WordPress-webbplats uppdaterad

Om du fortsätter att försena uppdateringen av din WordPress-webbplats eftersom du är rädd att du kommer att förlora data på grund av en felaktig uppdatering måste du omedelbart börja göra säkerhetskopior. När du har gjort en säkerhetskopia av din webbplats kan du enkelt gå vidare och uppdatera din WordPress-version till den senaste. Du måste göra detta eftersom WP fixar säkerhetsbuggarna i den föregående versionen med varje ny version som blir tillgänglig.

Information WordPress informerar också allmänheten om dessa korrigeringar, vilket gör din föråldrade webbplats ännu mer sårbar. Så gör det till en vana att använda alternativet “Uppdatera tillgängligt” regelbundet när du loggar in på din WordPress admin dashboard.

Uppdatera de teman och plugins som du använder och ta bort de oanvända

Du måste behålla din WordPress-plugins och teman uppdaterade av samma skäl som du behöver för att uppdatera den övergripande WordPress-versionen. En hacker kan enkelt manipulera ett föråldrat plugin eller tema (genom säkerhetshål) för att få åtkomst till din webbplats administratör.

Så oroa dig inte för kompatibiliteten för din plugin med ditt nuvarande tema, men du bör se till att du alltid använder de senaste versionerna av båda.

Kontrollera att pluginavsnittet i WordPress admin-instrumentpanelen endast innehåller liknande plugins som du använder. Radera de du inte använder för att det är mindre troligt att du uppdaterar sådana plugins, och detta ökar igen deras sårbarhet för säkerhetsattacker.

Observera att det är viktigt att “ta bort” dina oanvända plugins och inte bara “inaktivera” dem.

Undvik att ladda ner teman eller plugins från okända källor

Du kan bli frestad att ladda ner några premium plugins eller teman gratis även om de kommer från okända källor.

Även om du känner dig upphetsad över att få avancerade funktioner utan kostnad, kan du glömma att uppmärksamma det säkerhetshot som dessa funktioner kan medföra. En plugin från en okänd källa kan införa skadlig kod eller infoga skadlig kod på din webbplats. Istället för att ta en så stor risk rekommenderas det att bara ladda ner teman och plugins från kända källor.

Du kan använda Plugin-Check eller Theme-Check för att kontrollera koden för dina plugins respektive teman. En dåligt skriven kod kan göra det enkelt för hackare att få tillgång till din webbplats.

Om du inte är helt säker på källan och inte vet hur du ska kontrollera kvaliteten på koden kan du helt enkelt välja gratis WordPress-mönster från WordPress.org-plattformen.

Har ett starkt användarnamn och lösenord för WordPress Admin

För att skapa din webbplats med WordPress-plattformen får du tillgång till back-end-instrumentbrädan. Som standard genererar WP ett användarnamn (admin) och ett starkt lösenord för dig att logga in på den här admin-instrumentpanelen under WordPress-installationen. Men efter installationen måste du ändra ditt WordPress admin-användarnamn till något som är unikt för dig.

Tillsammans med det måste du komma ihåg att ändra lösenordet till något som är okänt av människor runt omkring dig eller från dina webbplatsbesökare. Till exempel, om din webbplats avslöjar ditt födelsedatum eller din makas namn, se till att ditt lösenord inte innehåller någon av dem. Detta gör det svårt för alla hackare att gissa ditt lösenord. Du bör också ha ett säkert lösenord för ditt kontrollpanelskonto.

Dessutom kan du försöka lägga till en CAPTCHA på din inloggningssida för WordPress för att ytterligare öka din webbplats säkerhet. Detta kommer att säkerställa att en bot eller ett skript inte kan få tillgång till din webbplats genom en brute force-attack.

Lägg till en säkerhetsautentisering i WordPress i två steg

Hur många lösenord kommer jag att behålla och uppdatera regelbundet? Du kan ha den här frågan angående upprätthållande av starka lösenord för olika postpunkter till din WordPress-panel eller kontrollpanel.

Tja, du kan njuta av en lösenordsfri inloggning till din WordPress-panel med något liknande Clef tvåfaktors autentiseringsplugin. Med det här insticksprogrammet kan du använda din mobiltelefon för att autentisera din säkra inloggning till WordPress admin-instrumentpanelen tillsammans med en PIN eller fingeravtryck. Så även om din telefon går förlorad förblir dina Clef-kontouppgifter säkra.

Eller så kan du använda Google Authenticator för att säkerställa en tvåstegs-autentisering. Med detta måste du använda ditt lösenord samt ange en unikt genererad inloggningskod som kommer som ett SMS till din telefon.

Leta efter ett säkert värdföretag

Att ha den senaste WordPress-webbplatsversionen spelar ingen roll om hackaren kan knäcka den gamla PHP-versionen av plattformen som är värd för din webbplats. Så du måste använda värdtjänsterna hos en extremt pålitlig webbhotellleverantör.

Din värd bör ha möjlighet att utöka stöd för de senaste MySQL-versionerna och PHP-versionerna. Det bör också ha ett effektivt system för detektering av intrång för att identifiera eventuella attacker i tid och bör erbjuda din webbplats en webbapplikationsbrandvägg för förbättrad säkerhet.

Begränsa antalet inloggningsförsök

Hackare använder brute force-attacker för att knäcka lösenordet du använder för att logga in på din WordPress-panel. De försöker kontinuerligt inloggningsförsök tills de lyckas.

Även om ditt lösenord är starkt, hjälper det att identifiera sådana orimliga mängder inloggningsförsök och begränsa IP-adresserna som gör dessa försök. Du kan sedan förbjuda sådana IP-adresser under en bestämd period. Du kan göra det genom att använda plugins som Logga in låsning eller Inloggningssäkerhetslösning.

Planera frekventa säkerhetskopior av din webbplats

Detta är ett viktigt steg eftersom det till och med hjälper dig när någon hackar eller komprometterar din webbplats. När någon hackar din webbplats kan du enkelt gå tillbaka till den tidigare versionen av din webbplats som inte komprometterades. Du kan också använda vilken som helst av de automatiserade lösningarna för säkerhetskopior, t.ex. Vaultpress eller BackUpBuddy.

Håll ditt WordPress Admin Space väl skyddat

Endast ett antal valda personer behöver ha åtkomst till din admin-instrumentpanelen. Försök också, när så är möjligt, begränsa behörigheten till dem som kommer åt din instrumentpanel. Detta hjälper dig att minska hotet om attacker från okända källor.
Du måste också se till att andra har begränsad eller ingen åtkomst till WordPress / wp-admin / mappen eller wp-login.php-filen. Du kan tillåta åtkomst till din egen IP-adress genom att lägga till följande kodkod i .htaccess-filen:

beställ neka, tillåt
Förneka allt
Tillåt från zz.zz.zz.zz

I ovanstående kod behöver du helt enkelt byta ut “zz.zz.zz.zz” med din egen uppsättning IP-adresser för olika platser eller enheter.

Om du inte hanterar statiska IP-adresser kanske den här metoden inte fungerar för dig. I sådana fall kan du använda plugins som diskuteras ovan för att begränsa inloggningsförsöken.

WordPress-säkerhetsplugins för att upptäcka skadlig kod på din webbplats

Om en hacker attackerar din webbplats hjälper det att begränsa skadan eller vidta åtgärder i rätt tid om du lär dig om den omedelbart. Så låt oss titta på några av de bästa WordPress-säkerhetsplugins som kan upptäcka skadlig kod som är infogad på din webbplats.

WP AntiVirus Site Protection

Detta populära plugin, som erbjuds av SiteGuarding.com, hjälper till att upptäcka och ta bort skadliga virus eller kod som finns på din WordPress-webbplats. Den söker igenom objekt som plugin-filer, temafiler och alla uppladdningar för att snabbt upptäcka säkerhetshot, inklusive bakdörrar, adware, spyware, rootkits, worms, trojanska hästar och bedrägeriverktyg.

Om du fortsätter att ladda ner teman och plugins från torrentwebbplatser (istället för att köpa originalkopior från utvecklarna), måste du ha den här typen av plugin för bättre säkerhet.

Wordfence Security

Detta plugin erbjuder gratis säkerhet i företagsklass genom att skydda din webbplats från skadlig programvara och potentiella hackor. Den kontrollerar om din webbplats redan har en infektion och gör en djup skanning på servern av din webbplats källkod.
Den jämför koden till det officiella WordPress-förvaret för plugins, kärnor och teman. Det skyddar inte bara din webbplats mot de flesta hot utan gör också din webbplats 50 gånger snabbare än tidigare.

Wordfence möjliggör också blockering i realtid av kända angripare. Detta innebär att om en hacker angriper detta plugin på en annan webbplats, kommer den hackaren också att blockeras automatiskt från din webbplats.

Det kan blockera ett helt nätverk av skadliga IP-adresser när det finns ett hot om att skadliga koder sätts in på din webbplats. Det hjälper vidare till att blockera hot i form av skrapor, sökrobotar och bots som identifierats under säkerhetsskanningarna. Den söker också efter trojaner, misstänkt kod, bakdörrar, nätfiske-URL: er, skadlig kod, HeartBleed-sårbarhet och så vidare.

Om du är en premiumanvändare kan du också blockera länder och du kan ofta schemalägga skanningar under specifika perioder.

Utnytt skannern

Exploit Scanner är alltid på jakt efter något misstänkt i dina WordPress-webbplatsens filer och databas, inklusive inlägg och kommentartabeller.

Den skannar också plugins som du använder för vilseledande eller ovanliga filnamn. Om den hittar någon skadlig kod eller fil ger detta plugin en detaljerad rapport till webbplatsadministratören och lämnar det upp till honom eller henne att få den skadliga koden bort.

Sucuri Security

Detta är en omfattande säkerhetsverktygssats som kan användas för upptäckt av skadlig programvara, säkerhetshärdning och övervakning av säkerhetsintegritet. Det är ett bra stöd för din befintliga webbplatss säkerhetsfunktioner.

Vissa nyckelfunktioner i detta plugin inkluderar övervakning av filintegritet, övervakning av svartlista, granskning av säkerhetsaktiviteter, avsökning av skadlig programvara för skadlig programvara, säkerhetshårdning och säkerhetsåtgärder vidtagna efter hacks, säkerhetsmeddelanden och brandvägg på webbplatsen.

Hur du skannar din WordPress-webbplats efter dold skadlig programvara?

Eftersom WordPress är en öppen källkodsplattform är den lätt mottaglig för infektioner eller injektioner av skadlig kod från hackare. Några av de vanliga sätten hackare kan injicera skadlig kod på din webbplats inkluderar följande:

  • Pharma Hacks (skräppostinjektioner i din databas eller filer)
  • Phishing (förvärva känslig information, till exempel e-postadresser, lösenord och användarnamn)
  • Skadliga omdirigeringar (omdirigera webbplatsens besökare till en annan webbplats där det finns en nedladdad infekterad fil eller skadlig kod)
  • Injektioner av filer och databaser (tillägg till skadlig kod i din webbplats databas eller filer)
  • Bakdörrar (få åtkomst till ditt administrationsområde eller FTP-konto)
  • Alla hackare vill se till att webbplatsägaren inte får veta att de hackade hans eller hennes webbplats. Detta gör det möjligt för hackarna att infektera webbplatsens besökare genom kontinuerlig skräppost under en längre period.

Så ditt mål är att fortsätta söka efter dold skadlig programvara på din webbplats som du inte känner till och bli av med de infekterade filerna eller mapparna.

Du kan göra detta genom att använda populära skanningsprogram för WordPress-plugins som de som anges nedan:

Använd Sucuri SiteCheck Scanner för att söka efter potentiell skadlig programvara. Gå bara till webbplatsen här och ange webbadressen till din webbplats. Denna gratis skanner utför en omfattande genomsökning av din webbplats för skadlig programvara, fel på webbplatsen, en svartlistningsstatus och föråldrad programvara.

Den enda nackdelen är att du måste utföra den här skanningen manuellt med gratisversionen. Du kan uppgradera till premiumplanerna och få varningar via Twitter, e-post eller RSS, när det upptäcker skadlig programvara.

Ta bort din webbplats från alla svartlistor om en hackare har använt din server för att skräppost länge. Premiumtjänsterna hjälper också till att ta bort skadlig programvara. Du kan till och med prova det tidigare diskuterade Sucuri-säkerhetspluginet för att förbättra skadlig kodskydd.

Använd Anti-Malware Scanner för att söka efter skadlig programvara, virus, bakdörrar och liknande kända hot samt att ta bort dem automatiskt. En viktig premiumfunktion i detta plugin är att korrigera din wp-login.php-sida för att stoppa brute-force attacker.

Dessutom kan du använda vilken som helst av WordPress-säkerhetsplugins som diskuterats ovan för att identifiera skadlig kod.

Testverktyg för webbplatssäkerhet

För att skydda din webbplats från attacker måste du ständigt testa säkerhetsnivån på din webbplats genom att använda vissa testverktyg som:

Wapiti upptäcker sårbarheter (filavsändning, databasinjektion, skriptinjektion över flera webbplatser, svaga .htaccess-konfigurationer och mer) på din webbplats. Detta verktyg använder den svarta rutan avsökning.

Det betyder att den inte studerar applikationens källkod utan kontrollerar webbsidorna för formulär och skript där det kan injicera data. Den injicerar nyttolast för att identifiera de skript som är sårbara. Det ger rapporter i olika format, till exempel HTML, XML, Text och JSON.

Google Nogotofail testar en webbplats nätverkstrafik för att upptäcka och fixa svaga TLS- eller SSL-anslutningar och känslig cleartext-trafik på olika enheter. Du kan också ställa in den som en VPN-server eller proxyserver eller till och med som en router.

Du kan prova open source-skannern och testaren som heter Vega. Denna GUI-baserade plattform finns i Java och fungerar med OS X-, Windows- och Linux-plattformar. Den består av en avlyssnande proxy för att utföra taktisk inspektion och en automatiserad skanner för att utföra snabba tester.

Det här verktyget kan användas för att identifiera cross-site scripting (XSS), SQL-injektion och liknande sårbarheter.
Vi hoppas att dessa tips och information om WordPress-säkerhet hjälper dig att förbättra din webbplats säkerhet till stor del.

Har du redan provat några plugins eller metoder som förbättrar din WordPress webbplats säkerhet avsevärt? Vänligen dela din erfarenhet och fortsätt sprida medvetenhet om vikten av webbplatssäkerhet i ditt nätverk.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map