En hands-on guide til WordPress Security

Med stigningen i brud på websikkerheden er det vigtigt at tage forebyggende skridt for at holde dit websted sikkert mod indtrængende. Så hvis du har et WordPress-websted, skal du læse videre. Vi giver dig flere tip og værktøjer, du kan bruge til at gøre dit WordPress-websted sikkert og sikkert.


“Det kan ikke ske med mit sted!” Dette er den generelle tanke, som de fleste af os har, når vi hører, at en hacker overtrådt et websteds sikkerhed.

Måske tror den person, der har det hackede websted, at han eller hun må have gjort noget frygteligt forkert for at lække vigtige oplysninger. Måske begik personen den forfærdelige fejl ved at tage sit eller hendes hjemmesides sikkerhed for givet.

Du kan føle dig sikker ved at bruge en meget populær CMS- og blogplatform som WordPress til dit websted. Du vil dog gøre det godt at bemærke, at den enorme globale popularitet af WordPress er en af ​​de primære årsager til, at hackere målretter mod websteder baseret på denne platform.

WordPress er en meget brugervenlig platform, og det gør det endnu mere sårbart over for angreb fra hackere og spammere. Helt fra starten bør du gøre sikkerhed til en højeste prioritet for dit websted sammen med hosting og webdesign.

Her er en dybdegående undersøgelse af de forskellige foranstaltninger, du skal tage for at forbedre dit WordPress-websides sikkerhed. Vi ser også på de øverste tip til beskyttelse af et WordPress-sted, de øverste WordPress-sikkerhedsplugins og testværktøjer.

Du er nødt til at indse, at intet websted nogensinde kan være 100 procent sikkert, og selv de oplysninger, der deles her, gør ikke dit websted helt sikkert. Det endelige mål er at hjælpe dig med at tage alle de nødvendige forholdsregler for at holde dit WordPress-websted sikkert mod de fleste angreb.

Grundlæggende om websikkerhed

Du synes måske, det er meget usandsynligt, at dit websted vil blive hacket i fremtiden, fordi det aldrig tidligere har været udsat for nogen sikkerhedsproblemer vedrørende malware, ondsindet kode eller endda spam-kommentarer.

Men en af ​​de mest basale ting at huske på websikkerhed er, at du er nødt til at være aktiv og ikke reaktiv. Dette betyder, at du skal tage nogle forholdsregler lige fra begyndelsen i stedet for at tro, at nogen ikke kan hacke dit websted, og arbejde for at forbedre dets sikkerhed.

Før du hopper til trinene til WordPress-sikkerhed, skal du også indse vigtigheden af ​​at have denne sikkerhed på plads.

Masser af mennesker besøger dit websted. Nogle af dem kan abonnere på dit websteds nyhedsbreve, og andre kan muligvis registrere sig som medlemmer af dit websteds fora. De data, som dine besøgende deler, er også sårbare over for angreb, hvis dit websted bliver hacket. Så det er dit ansvar at sikre sikkerheden på dit websteds data, som igen beskytter dine besøgende data.

Hvis dit WordPress-sted tiltrækker lidt trafik, kan du muligvis hævde, at der ikke er nogen grund til at en hacker angriber dit websted, når der er tusinder af andre mere populære websteder tilgængelige online. Hvis dette er tilfældet, er det sandsynligvis tid for dig at forstå grundene til, at en hacker kan forsøge at bryde dit websted.

Hackere er ikke bekymrede for, om dit websted kun tiltrækker nogle få besøgende, fordi når de først får adgang til dit websted, kan de bruge din server til at sende spam-e-mails. De gør dette for at hjælpe dem med at markedsføre deres tjenester, produkter eller websteder.
Med en stigning i denne type spammeaktivitet fra din hacket server, øges chancerne for, at din IP-adresse bliver sortlistet enormt. Alternativt kan hackerne foretrække at bruge din server til deres egne webstedsaktiviteter, fordi deres IP-adresser allerede er sortlistet.

Bortset fra at indse årsagerne til hacking, er du også nødt til at forstå de forskellige måder, en hacker eller en spammer kan angribe dit websted. Dette vil yderligere hjælpe dig med at planlægge dit websteds aktiviteter på en sådan måde, at dit websted bliver mindre sårbar over for sikkerhedstrusler.

De kan angribe gennem ethvert WordPress-plugin eller -tema. Faktisk er der tilfælde, hvor problemer med et sikkerhedsplugin har gjort det muligt for hackere at angribe et websted, der brugte plugin. Hackere kan også drage fordel af enhver sikkerhedssårbarhed på din hostingplatform og bruge enhver URL-parameter til at få adgang til din database.

På denne måde kan de ændre dine data, ændre din adgangskode eller endda slette data. Det er overraskende at vide, at mange angreb endda sker på grund af en svag adgangskode til at få adgang til WordPress admin panel eller endda for at få adgang til hosting kontrolpanel.

Efter at have udviklet en grundlæggende forståelse af behovet for at få dit WordPress-sted sikret, kan du nu læse videre for at lære om måderne du kan øge dit websteds sikkerhed på.

9 Sikkerhedstips til at beskytte dit WordPress-sted mod hackere

Hold dit WordPress-websted opdateret

Hvis du fortsætter med at forsinke opdateringen af ​​dit WordPress-sted, fordi du frygter, at du mister data på grund af en forkert opdatering, skal du straks begynde at lave sikkerhedskopier. Når du har lavet en sikkerhedskopi af dit websted, kan du let gå videre og opdatere din WordPress-version til den nyeste. Du skal gøre dette, fordi WP løser sikkerhedsfejlene i den forrige version med hver nye version, der bliver tilgængelig.

Oplysninger WordPress informerer også offentligheden om disse rettelser, hvilket gør dit forældede websted endnu mere sårbart. Så gør det til en vane at bruge indstillingen “Opdater tilgængelig” regelmæssigt, når du logger ind på dit WordPress admin-kontrolpanel.

Opdater de temaer og plugins, du bruger, og slet de ubrugte

Du skal beholde din WordPress-plugins og temaer opdateret af de samme grunde, som du har brug for for at opdatere den samlede WordPress-version. En hacker kan let manipulere et forældet plugin eller et tema (gennem sikkerhedshuller) for at få adgang til dit websteds administrator.

Så du skal ikke bekymre dig om kompatibiliteten af ​​dit plugin med dit nuværende tema, men du skal sørge for altid at bruge de nyeste versioner af begge.

Sørg for, at dit pluginsektion i WordPress admin-dashboard kun indeholder de plugins, du bruger. Slet dem, du ikke bruger, fordi det er mindre sandsynligt, at du opdaterer sådanne plugins, og det øger igen deres sårbarhed over for sikkerhedsangreb.

Bemærk, at det er vigtigt at “slette” dine ubrugte plugins og ikke bare “deaktivere” dem.

Undgå at downloade temaer eller plugins fra ukendte kilder

Du kan blive fristet til at downloade et par premium plugins eller temaer gratis, selvom de kommer fra ukendte kilder.

Selvom du måske føler dig begejstret over at få avancerede funktioner uden omkostninger, kan du glemme at være opmærksom på den sikkerhedstrussel, som disse funktioner kan medføre. Et plugin fra en ukendt kilde kan introducere malware eller indsætte ondsindet kode på dit websted. I stedet for at tage en så stor risiko, tilrådes det altid kun at downloade temaer og plugins fra kendte kilder.

Du kan bruge Plugin-Check eller Theme-Check til at kontrollere koden for henholdsvis dine plugins og temaer. En dårligt skrevet kode kan muligvis gøre det let for hackere at få adgang til dit websted.

Hvis du ikke er helt sikker på kilden og ikke ved, hvordan du kontrollerer kvaliteten af ​​koden, kan du blot vælge de gratis WordPress-design fra WordPress.org-platformen.

Har et stærkt WordPress Admin Brugernavn og Adgangskode

For at oprette dit websted ved hjælp af WordPress-platformen får du adgang til back-end-dashboardet. Som standard genererer WP et brugernavn (admin) og et stærkt kodeord, som du kan logge ind på dette admin-dashboard under WordPress-installationen. Men efter installationen skal du ændre dit WordPress admin-brugernavn til noget, der er unikt for dig.

Sammen med det skal du huske at ændre adgangskoden til noget, der er ukendt af folk omkring dig eller fra dine besøgende på websitet. Hvis dit websted for eksempel afslører din fødselsdato eller din ægtefælles navn, skal du sørge for, at din adgangskode ikke indeholder nogen af ​​dem. Dette gør det svært for enhver hacker at gætte din adgangskode. Du skal også opbevare en sikker adgangskode til din kontrolpanelskonto.

Derudover kan du prøve at tilføje en CAPTCHA til din WordPress login-side for yderligere at øge dit websteds sikkerhed. Dette vil sikre, at en bot eller script ikke kan få adgang til dit websted gennem et brute force-angreb.

Tilføj en totrins WordPress-sikkerhedsgodkendelse

Hvor mange adgangskoder vil jeg vedligeholde og fortsætte med at opdatere regelmæssigt? Du har muligvis dette spørgsmål vedrørende vedligeholdelse af stærke adgangskoder til forskellige indgangspunkter til dit WordPress-panel eller kontrolpanel.

Nå, du kan nyde et kodeordfrit login til dit WordPress-panel ved hjælp af noget som Clef to-faktor autentificering plugin. Med dette plugin kan du bruge din mobiltelefon til at autentificere dit sikre login til WordPress admin dashboard sammen med en pinkode eller fingeraftryk. Så selvom din telefon går tabt, forbliver dine Clef-kontooplysninger sikre.

Eller du kan bruge Google Authenticator for at sikre en totrins-godkendelse. Med dette skal du bruge din adgangskode samt indtaste en unikt genereret login-kode, der kommer som en SMS til din telefon.

Se efter et sikkert hostingfirma

At have den nyeste version af WordPress-webstedet betyder ikke noget, om hacker kan knække den gamle PHP-version af den platform, der er vært for dit websted. Så skal du bruge hosting-tjenesterne hos en ekstremt pålidelig web-hosting-udbyder.

Din vært skal have mulighed for at udvide support til de nyeste MySQL-versioner og PHP-versioner. Det skal også have et effektivt indtrædelsesdetektionssystem til at identificere eventuelle angreb i tide og bør tilbyde dit websted en webapplikations firewall til forbedret sikkerhed.

Begræns antallet af loginforsøg

Hackere bruger brute force-angreb for at knække det kodeord, du bruger til at logge ind på dit WordPress-panel. De prøver løbende tilfældige loginforsøg, indtil de lykkes.

Selv hvis din adgangskode er stærk, hjælper det med at identificere sådanne urimelige mængder loginforsøg og begrænse IP-adresserne, der gør disse forsøg. Du kan derefter forbyde sådanne IP-adresser i en bestemt periode. Du kan gøre det ved at bruge plugins som Login Lockdown eller Login sikkerhedsløsning.

Planlæg hyppige sikkerhedskopier af dit websted

Dette er et vigtigt trin, da det endda hjælper dig, når nogen hacker eller går på kompromis med dit websted. Når nogen hacks dit websted, kan du nemt gå tilbage til den forrige version af dit websted, der ikke blev kompromitteret. Du kan også bruge en hvilken som helst af de automatiserede løsninger til sikkerhedskopiering, f.eks VaultPress eller BackUpBuddy.

Hold dit WordPress Admin Space godt beskyttet

Kun et udvalgt antal mennesker skal have adgang til dit admin-dashboard. Prøv også, hvor det er muligt, at begrænse tilladelsen til dem, der får adgang til dit dashboard. Dette vil hjælpe dig med at reducere truslen om angreb fra ukendte kilder.
Du skal også sørge for, at andre har begrænset eller ingen adgang til WordPress / wp-admin / mappen eller wp-login.php-filen. Du kan give adgang til din egen IP-adresse ved at tilføje følgende stykke kode i .htaccess-filen:

ordre afvis, tillad
Afvis fra alle
Tillad fra zz.zz.zz.zz

I ovenstående kode skal du blot udskifte “zz.zz.zz.zz” med dit eget sæt IP-adresser til forskellige placeringer eller enheder.

Hvis du ikke behandler statiske IP-adresser, fungerer denne metode muligvis ikke for dig. I sådanne tilfælde kan du bruge de plugins, der er omtalt ovenfor, til at begrænse loginforsøgene.

WordPress Security Plugins til at opdage ondsindet kode på dit websted

Hvis en hacker angriber dit websted, vil det hjælpe med at begrænse skaden eller tage rettidig handling, hvis du lærer om det med det samme. Så lad os se på nogle af de øverste WordPress-sikkerhedsplugins, der kan registrere skadelig kode, der er indsat på dit websted.

WP AntiVirus Site Protection

Dette populære plugin, der tilbydes af SiteGuarding.com, hjælper med at registrere og fjerne ondsindede vira eller kode, der findes på dit WordPress-sted. Den scanner gennem emner som plugin-filer, temafiler og alle uploads for hurtigt at opdage sikkerhedstrusler, herunder bagdøre, adware, spyware, rootkits, orme, trojanske heste og svindelværktøjer.

Hvis du fortsætter med at downloade temaer og plugins fra torrentwebsteder (i stedet for at købe de originale kopier fra udviklerne), skal du have denne type plugin for bedre sikkerhed.

Wordfence Security

Dette plugin tilbyder gratis sikkerhed i enterprise-klassen ved at beskytte dit websted mod malware såvel som potentielle hacks. Det kontrollerer, om dit websted allerede har en infektion og foretager en dyb scanning på serversiden af ​​dit websteds kildekode.
Den sammenligner koden med det officielle WordPress-lager for plugins, kerner og temaer. Det sikrer ikke kun dit websted mod de fleste trusler, men gør også dit websted 50 gange hurtigere end før.

Wordfence muliggør også blokering af kendte angribere i realtid. Dette betyder, at hvis en hacker angriber dette plugin på et andet sted, bliver denne hacker også blokeret automatisk fra dit websted.

Det kan blokere et helt netværk af ondsindede IP-adresser, når der er fare for, at ondsindede koder indsættes på dit websted. Det hjælper yderligere med at blokere trusler i form af skrabere, crawlere og bots, der er identificeret under sikkerhedsscanninger. Den scanner også efter trojanere, mistænkelig kode, bagdøre, phishing-URL’er, malware, HeartBleed-sårbarhed osv..

Hvis du er en premium-bruger, kan du også blokere lande, og du kan ofte planlægge scanninger i bestemte perioder.

Udnyt scanneren

Exploit Scanner er altid på udkig efter noget mistænkeligt i dit WordPress-websteds filer og database, inklusive indlæg og kommentarborde.

Den scanner også de plugins, du bruger til vildledende eller usædvanlige filnavne. Hvis den finder nogen ondsindet kode eller fil, giver dette plugin en detaljeret rapport til webstedsadministratoren og overlader det til ham eller hende at få den ondsindede kode fjernet.

Sucuri Security

Dette er et omfattende sikkerhedsværktøjssæt, der skal bruges til detektion af malware, hærde af sikkerhed og overvågning af sikkerhedsintegritet. Det er en stor support for dit eksisterende websteds sikkerhedsfunktioner.

Nogle nøglefunktioner i dette plugin inkluderer overvågning af filintegritet, overvågning af sortliste, kontrol af sikkerhedsaktiviteter, scanning af malware malware, hårdhed af sikkerhed og sikkerhedsforanstaltninger udført efter hacks, sikkerhedsmeddelelser og firewall på websitet.

Sådan scannes du dit WordPress-sted efter skjult malware?

Da WordPress er en open source-platform, er den let modtagelig for malware-infektioner eller injektioner af hackere. Nogle af de almindelige måder, hvor hackere kan injicere malware på dit websted, inkluderer følgende:

  • Pharma Hacks (spam-injektioner i din database eller filer)
  • Phishing (erhvervelse af følsomme oplysninger, såsom e-mail-adresser, adgangskoder og brugernavne)
  • Ondsindede omdirigeringer (omdirigering af dit websteds besøgende til en anden sideside, hvor der er en downloadet inficeret fil eller ondsindet kode)
  • Injektioner af filer og databaser (tilføjelse af ondsindet kode i dit websteds database eller filer)
  • Bagdøre (få adgang til dit admin-område eller din FTP-konto)
  • Alle hackere ønsker at sikre, at webstedsejeren ikke lærer, at de hacket hans eller hendes side. Dette gør det muligt for hackere at inficere webstedets besøgende gennem kontinuerlig spamming i en længere periode.

Så dit mål er at fortsætte med at søge efter skjult malware på dit websted, du ikke kender til, og slippe af med de inficerede filer eller mapper.

Du kan gøre dette ved at bruge populære malware-scanning af WordPress-plugins som dem, der er anført nedenfor:

Brug Sucuri SiteCheck Scanner at scanne efter potentiel malware. Bare gå til webstedet her og indtast URL’et på dit websted. Denne gratis scanner udfører en omfattende scanning af dit websted for malware, webstefejl, en sortlistestatus og forældet software.

Den eneste ulempe er, at du skal udføre denne scanning manuelt med den gratis version. Du kan opgradere til premiumplanerne og få alarmer via Twitter, e-mail eller RSS, når det finder malware.

Få dit websted fjernet fra sortlister, hvis en hacker har brugt din server til at spam i lang tid. Premium-tjenesterne hjælper også med at fjerne malware. Du kan endda prøve det tidligere diskuterede Sucuri-sikkerhedsplugin til forbedret malware-beskyttelse.

Brug Anti-malware scanner at søge efter malware, vira, bagdøre og lignende kendte trusler samt fjerne dem automatisk. En vigtig premium-funktion ved dette plugin er at lappe din wp-login.php side for at stoppe brute-force angreb.

Derudover kan du bruge et hvilket som helst af WordPress-sikkerhedsplugins, der er diskuteret ovenfor til at identificere ondsindet kode.

Værktøjer til test af webstedets sikkerhed

For at beskytte dit websted mod angreb skal du konstant få sikkerhedsniveauet på dit websted testet ved hjælp af visse testværktøjer, såsom:

Wapiti opdager sårbarheder (fil afsløring, databaseinjektion, scriptinginjektion på tværs af websteder, svage .htaccess-konfigurationer og mere) på dit websted. Dette værktøj bruger den sorte tilgang til sort kasse.

Dette betyder, at den ikke studerer applikationskildekoden, men kontrollerer websiderne for formularer og scripts, hvor den kan injicere data. Det indsprøjter nyttelast for at identificere de sårbare scripts. Det leverer rapporter i forskellige formater, såsom HTML, XML, tekst og JSON.

Google Nogotofail tester et websteds netværkstrafik for at registrere og rette svage TLS- eller SSL-forbindelser og følsom cleartext-trafik på forskellige enheder. Du kan også konfigurere den som en VPN-server eller proxy-server eller endda en router.

Du kan prøve open source-scanneren og testeren navngivet Vega. Denne GUI-baserede platform er i Java og fungerer med OS X, Windows og Linux platforme. Det består af en aflytende proxy til at udføre taktisk inspektion og en automatiseret scanner til at udføre hurtige test.

Dette værktøj kan bruges til at identificere cross-site scripting (XSS), SQL-injektion og lignende sårbarheder.
Vi håber, at disse tip og oplysninger om WordPress-sikkerhed i høj grad vil hjælpe dig med at forbedre dit websteds sikkerhed.

Har du allerede prøvet nogle plugins eller metoder, der øger dit WordPress-websteds sikkerhed betydeligt? Del din oplevelse og fortsæt med at sprede opmærksomheden om vigtigheden af ​​webstedssikkerhed i dit netværk.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map