En praktisk guide for WordPress Security

Med økningen av brudd på websikkerhet, er det helt avgjørende å ta forebyggende tiltak for å holde nettstedet ditt sikkert mot inntrengerne. Så hvis du har et WordPress-nettsted, kan du lese videre. Vi vil gi deg flere tips og verktøy du kan bruke for å gjøre WordPress-nettstedet ditt trygt og sikkert.


“Det kan ikke skje med nettstedet mitt!” Dette er den generelle tanken som de fleste av oss har når vi hører at en hacker krenket nettstedets sikkerhet.

Kanskje tror personen med det hackede nettstedet han eller hun må ha gjort noe veldig galt for å lekke viktig informasjon. Kanskje personen gjorde den forferdelige feilen ved å ta sikkerheten til nettstedet sitt for gitt.

Du kan føle deg trygg ved å bruke en svært populær CMS- og bloggplattform som WordPress for nettstedet ditt. Du vil imidlertid gjøre det godt å merke deg at den enorme globale populariteten til WordPress er en av de viktigste årsakene til at hackere målretter nettsteder basert på denne plattformen.

WordPress er en svært brukervennlig plattform, og dette gjør den enda mer sårbar for angrep fra hackere og spammere. Helt fra begynnelsen av bør du gjøre sikkerhet til en topp prioritet for nettstedet ditt sammen med hosting og webdesign.

Her er en grundig studie av de forskjellige tiltakene du må ta for å forbedre WordPress-nettstedets sikkerhet. Vi ser også på topp tipsene for å beskytte et WordPress-nettsted, de beste WordPress-sikkerhetspluginene og testverktøyene.

Du må innse at ingen nettsteder noensinne kan være 100 prosent sikre og til og med informasjonen som deles her, vil ikke gjøre nettstedet ditt helt trygt. Det endelige målet er å hjelpe deg med å ta alle nødvendige forholdsregler for å holde WordPress-nettstedet ditt sikkert mot de fleste angrep.

Grunnleggende om websikkerhet

Du kan tenke at det er svært usannsynlig at nettstedet ditt vil bli hacket i fremtiden, fordi det aldri tidligere har stått overfor noen sikkerhetsproblemer angående malware, ondsinnet kode eller til og med spam-kommentarer..

Men noe av det mest grunnleggende å huske på websikkerhet er at du trenger å være aktiv og ikke reaktiv. Dette betyr at du bør ta noen forholdsregler helt fra begynnelsen, i stedet for å tro at noen ikke kan hacke nettstedet ditt, og jobbe for å forbedre sikkerheten.

Før du hopper til trinnene for WordPress-sikkerhet, må du også innse viktigheten av å ha denne sikkerheten på plass.

Mange mennesker besøker nettstedet ditt. Noen av dem kan abonnere på nettstedets nyhetsbrev, og andre kan registrere seg som medlemmer av nettstedets fora. Dataene som deles av besøkende er også sårbare for angrep hvis nettstedet ditt blir hacket. Så det er ditt ansvar å sikre sikkerheten til nettstedets data, som igjen vil beskytte de besøkende dataene dine.

Hvis WordPress-nettstedet ditt tiltrekker lite trafikk, kan du hevde at det ikke er noen grunn til at en hacker angriper nettstedet ditt når det er tusenvis av andre mer populære nettsteder som er tilgjengelige på nettet. Hvis dette er tilfelle, er det sannsynligvis på tide at du forstår årsakene til at en hacker kan prøve å bryte nettstedet ditt.

Hackere er ikke bekymret for om nettstedet ditt tiltrekker seg bare noen få besøkende, fordi når de først har fått tilgang til nettstedet ditt, kan de bruke serveren din til å sende spam-e-poster. De gjør dette for å hjelpe dem med å markedsføre sine tjenester, produkter eller nettsteder.
Med en økning i denne typen spamaktivitet fra din hacket server, øker sjansene for at IP-adressen din blir svartelistet enormt. Alternativt kan hackerne foretrekke å bruke serveren din til sine egne aktiviteter på nettstedet fordi deres IP-adresser allerede er svartelistet.

Bortsett fra å innse årsakene til hacking, må du også forstå de forskjellige måtene en hacker eller en spammer kan angripe nettstedet ditt. Dette vil videre hjelpe deg med å planlegge nettstedets aktiviteter på en slik måte at nettstedet ditt blir mindre sårbar for sikkerhetstrusler.

De kan angripe gjennom hvilken som helst WordPress-plugin eller -tema. Faktisk er det tilfeller hvor problemer med en sikkerhetsplugin har gjort det mulig for hackere å angripe et nettsted som brukte plugin-modulen. Dessuten kan hackere dra nytte av ethvert sikkerhetssårbarhet på vertsplattformen din og bruke hvilken som helst URL-parameter for å få tilgang til databasen din.

På denne måten kan de endre dataene dine, endre passordet ditt eller til og med slette data. Det er overraskende å vite at mange angrep til og med skjer på grunn av et svakt passord for å få tilgang til WordPress adminpanel eller til og med for å få tilgang til hosting-kontrollpanelet.

Etter å ha utviklet en grunnleggende forståelse av behovet for å få ditt WordPress-nettsted sikret, kan du nå lese videre for å lære om hvordan du kan øke nettstedets sikkerhet.

9 Sikkerhetstips for å beskytte WordPress-nettstedet ditt mot hackere

Hold WordPress-nettstedet ditt oppdatert

Hvis du fortsetter å forsinke oppdateringen av WordPress-siden din fordi du frykter at du vil miste data på grunn av en feil oppdatering, må du øyeblikkelig begynne å lage sikkerhetskopier. Når du har laget en sikkerhetskopi av nettstedet ditt, kan du enkelt gå videre og oppdatere WordPress-versjonen til den siste. Du må gjøre dette fordi WP fikser sikkerhetsfeilene i forrige versjon med hver nye versjon som blir tilgjengelig.

Informasjon, WordPress informerer publikum om disse rettelsene, noe som gjør det utdaterte nettstedet ditt enda mer sårbart. Så gjør det til en vane å bruke alternativet “Oppdater tilgjengelig” regelmessig når du logger deg på WordPress admin-dashbordet.

Oppdater temaene og pluginene du bruker, og slett de ubrukte

Du må beholde din WordPress-plugins og temaer oppdatert av samme grunner som du trenger for å oppdatere den generelle WordPress-versjonen. En hacker kan enkelt manipulere en utdatert plugin eller et tema (gjennom sikkerhetshull) for å få tilgang til nettstedets administrator.

Så ikke bekymre deg for kompatibiliteten til pluginen din med det nåværende temaet, men du må sørge for at du alltid bruker de nyeste versjonene av begge.

Forsikre deg om at plugin-delen i WordPress admin-dashbordet bare inneholder de pluginene du bruker. Slett de du ikke bruker fordi det er mindre sannsynlig at du oppdaterer slike plugins, og dette øker igjen deres sårbarhet for sikkerhetsangrep.

Vær oppmerksom på at det er viktig å “slette” de ubrukte programtilleggene, og ikke bare “deaktivere” dem.

Unngå å laste ned temaer eller plugins fra ukjente kilder

Du kan bli fristet til å laste ned noen få premium plugins eller temaer gratis, selv om de er fra ukjente kilder.

Selv om du kan føle deg begeistret for å få avanserte funksjoner uten kostnad, kan du glemme å ta hensyn til sikkerhetstrusselen disse funksjonene kan føre med seg. En plugin fra en ukjent kilde kan introdusere skadelig programvare eller sette inn ondsinnet kode på nettstedet ditt. I stedet for å ta en så stor risiko, er det alltid lurt å bare laste ned temaer og plugins fra kjente kilder.

Du kan bruke Plugin-Check eller Theme-Check for å sjekke koden til henholdsvis plugins og temaer. En dårlig skrevet kode kan gjøre det enkelt for hackere å få tilgang til nettstedet ditt.

Hvis du ikke er helt sikker på kilden og ikke vet hvordan du skal sjekke kvaliteten på koden, kan du ganske enkelt velge gratis WordPress-design fra WordPress.org-plattformen.

Har et sterkt WordPress Admin Brukernavn og Passord

For å lage nettstedet ditt ved hjelp av WordPress-plattformen, får du tilgang til back-end-dashbordet. Som standard genererer WP et brukernavn (admin) og et sterkt passord for deg å logge deg på dette admin-dashbordet under WordPress-installasjonen. Men etter installasjonen må du endre ditt WordPress admin brukernavn til noe som er unikt for deg.

Sammen med det må du huske å endre passordet til noe som er ukjent av folk rundt deg eller fra besøkende på nettstedet. Hvis nettstedet ditt for eksempel viser din fødselsdato eller ektefellenes navn, må du sørge for at passordet ditt ikke inneholder noen av dem. Dette gjør det vanskelig for enhver hacker å gjette passordet ditt. Du bør også oppbevare et sikkert passord for kontrollpanelkontoen.

I tillegg kan du prøve å legge til en CAPTCHA på innloggingssiden for WordPress for å øke nettstedets sikkerhet ytterligere. Dette vil sikre at en bot eller et skript ikke kan få tilgang til nettstedet ditt gjennom et brute force-angrep.

Legg til en to-trinns WordPress sikkerhetsgodkjenning

Hvor mange passord vil jeg opprettholde og oppdatere regelmessig? Du kan ha dette spørsmålet angående vedlikehold av sterke passord for forskjellige inngangspunkter til WordPress-panelet eller kontrollpanelet.

Vel, du kan glede deg over en passordfri innlogging til WordPress-panelet ved å bruke noe som Clef to-faktor autentisering plugin. Med denne plugin-modulen kan du bruke mobiltelefonen din til å autentisere den sikre innloggingen din til WordPress admin-dashbordet sammen med en PIN- eller fingeravtrykk. Så selv om telefonen er tapt, forblir Clef-kontoinformasjonen din trygg.

Du kan også bruke Google Autentisering for å sikre en totrinns autentisering. Med dette må du bruke passordet ditt, samt oppgi en unikt generert innloggingskode som kommer som en SMS til telefonen din.

Se etter et sikkert vertsfirma

Å ha den nyeste WordPress-nettstedversjonen vil ikke ha noe å si om hackeren kan knekke den gamle PHP-versjonen av plattformen som er vert for nettstedet ditt. Så du må bruke hosting-tjenestene til en ekstremt pålitelig leverandør av webhoteller.

Verten din skal ha muligheten til å utvide støtte for de nyeste MySQL-versjonene og PHP-versjonene. Det bør også ha et effektivt inntrengingsdeteksjonssystem for å identifisere eventuelle angrep i tide, og bør tilby nettstedet ditt en webapplikasjonsbrannmur for økt sikkerhet.

Begrens antall påloggingsforsøk

Hackere bruker brute force-angrep for å knekke passordet du bruker for å logge på WordPress-panelet. De prøver kontinuerlig tilfeldige påloggingsforsøk til de lykkes.

Selv om passordet ditt er sterkt, hjelper det å identifisere slike urimelige mengder påloggingsforsøk og begrense IP-adressene som gjør disse forsøkene. Du kan da forby slike IP-adresser i en bestemt periode. Du kan gjøre det ved å bruke plugins som Innloggingslåsing eller Innloggingssikkerhetsløsning.

Planlegg hyppige sikkerhetskopier av nettstedet ditt

Dette er et viktig skritt siden det til og med hjelper deg når noen hacker eller går på akkord med nettstedet ditt. Når noen hacker nettstedet ditt, kan du enkelt gå tilbake til den forrige versjonen av nettstedet ditt som ikke ble kompromittert. Du kan også bruke hvilken som helst av de automatiserte løsningene for sikkerhetskopiering, for eksempel Vaultpress eller BackUpBuddy.

Hold WordPress Admin Space godt beskyttet

Bare et valgt antall personer trenger å ha tilgang til admin-dashbordet. Hvis det er mulig, kan du prøve å begrense tillatelsen til de som får tilgang til dashbordet. Dette vil hjelpe deg med å redusere trusselen om angrep fra ukjente kilder.
Du må også sørge for at andre har begrenset eller ingen tilgang til WordPress / wp-admin / mappen eller wp-login.php-filen. Du kan gi tilgang til din egen IP-adresse ved å legge til følgende stykke kode i .htaccess-filen:

ordre nekte, tillat
Nekt fra alle
Tillat fra zz.zz.zz.zz

I koden ovenfor, trenger du ganske enkelt å erstatte “zz.zz.zz.zz” med ditt eget sett med IP-adresser for forskjellige steder eller enheter.

Hvis du ikke har å gjøre med statiske IP-adresser, kan det hende at denne metoden ikke fungerer for deg. I slike tilfeller kan du bruke programtilleggene som er omtalt ovenfor for å begrense påloggingsforsøk.

WordPress Security Plugins for å oppdage ondsinnet kode på nettstedet ditt

Hvis en hacker angriper nettstedet ditt, vil det bidra til å begrense skaden eller iverksette rettidige tiltak hvis du lærer om det umiddelbart. Så la oss se på noen av de beste WordPress-sikkerhetspluginene som kan oppdage ondsinnet kode som er satt inn på nettstedet ditt.

WP AntiVirus Site Protection

Denne populære plugin, som tilbys av SiteGuarding.com, hjelper deg med å oppdage og fjerne skadelige virus eller koder som finnes på ditt WordPress-nettsted. Den skanner gjennom elementer som plugin-filer, temafiler og alle opplastinger for raskt å oppdage sikkerhetstrusler, inkludert bakdører, adware, spyware, rootkits, ormer, trojanske hester og svindelverktøy.

Hvis du fortsetter å laste ned temaer og plugins fra torrent-nettsteder (i stedet for å kjøpe originalkopiene fra utviklerne), må du ha denne typen plugin for bedre sikkerhet.

Wordfence Security

Denne plugin-en tilbyr gratis sikkerhet i bedriftsklassen ved å beskytte nettstedet ditt mot skadelig programvare og potensielle hacks. Den sjekker om nettstedet ditt allerede har en infeksjon og gjør en dyp skanning på serversiden av nettstedets kildekode.
Den sammenligner koden med det offisielle WordPress Repository for plugins, kjerner og temaer. Det sikrer ikke bare nettstedet ditt mot de fleste trusler, men gjør også nettstedet ditt 50 ganger raskere enn før.

Wordfence muliggjør også blokkering av kjente angripere i sanntid. Dette betyr at hvis en hacker angriper denne pluginen på et annet nettsted, blir den hackeren også blokkert automatisk fra nettstedet ditt.

Det kan blokkere et helt nettverk av ondsinnede IP-adresser når det er fare for at ondsinnede koder settes inn på nettstedet ditt. Det hjelper videre til å blokkere trusler i form av skrapere, gjennomsøkere og roboter som ble identifisert under sikkerhetsskanningen. Den skanner også etter trojanere, mistenkelig kode, bakdører, phishing-URL-er, malware, HeartBleed-sårbarhet og så videre.

Hvis du er en premium bruker, kan du også blokkere land, og du kan ofte planlegge skanninger for bestemte perioder.

Utnytt skanneren

Exploit Scanner er alltid på utkikk etter noe mistenkelig i WordPress-nettstedets filer og database, inkludert innlegg og kommentertabeller.

Den skanner også programtilleggene du bruker for villedende eller uvanlige filnavn. Hvis den finner ondsinnet kode eller fil, gir denne pluginen en detaljert rapport til administratoren av nettstedet og overlater det til ham eller henne å få den ondsinnede koden fjernet.

Sucuri Security

Dette er et omfattende sikkerhetsverktøysett som kan brukes til deteksjon av malware, herding av sikkerhet og overvåking av sikkerhetsintegritet. Det er en god støtte for det eksisterende nettstedets sikkerhetsfunksjoner.

Noen viktige funksjoner i denne pluginen inkluderer overvåking av filintegritet, overvåking av svarteliste, revisjon av sikkerhetsaktiviteter, skanning av skadelig malware, sikkerhetsherding og sikkerhetshandlinger utført etter hacks, sikkerhetsvarsler og brannmur på nettstedet.

Slik skanner du WordPress-nettstedet ditt for skjult skadelig programvare?

Siden WordPress er en åpen kildekode-plattform, er den lett utsatt for malware-infeksjoner eller injeksjoner av hackere. Noen av de vanlige måtene hackere kan injisere skadelig programvare på nettstedet ditt inkluderer:

  • Pharma Hacks (spam-injeksjoner i databasen eller filene dine)
  • Phishing (skaffe sensitiv informasjon, for eksempel e-postadresser, passord og brukernavn)
  • Ondsinnede viderekoblinger (omdirigere nettstedets besøkende til en annen nettstedsside der det er en nedlastet infisert fil eller ondsinnet kode)
  • Injeksjoner av filer og databaser (skadelig kodetillegg i nettstedets database eller filer)
  • Bakdører (får tilgang til adminområdet ditt eller FTP-kontoen)
  • Alle hackere ønsker å sikre at nettstedseieren ikke lærer at de hacket nettstedet hans. Dette lar hackerne infisere nettstedets besøkende gjennom kontinuerlig spamming i en lengre periode.

Så målet ditt er å fortsette å søke etter skjult malware på nettstedet du ikke vet om, og bli kvitt de infiserte filene eller mappene..

Du kan gjøre dette ved å bruke populære malware skanning WordPress-plugins som de som er oppført nedenfor:

Bruke Sucuri SiteCheck Scanner for å søke etter potensiell skadelig programvare. Bare gå til siden her og skriv inn nettadressen til nettstedet ditt. Denne gratis skanneren vil utføre en omfattende skanning av nettstedet ditt for skadelig programvare, feil på nettstedet, svartelistestatus og utdatert programvare..

Den eneste ulempen er at du trenger å utføre denne skanningen manuelt med gratisversjonen. Du kan oppgradere til premiumplanene og få varsler via Twitter, e-post eller RSS, når den oppdager skadelig programvare.

Få nettstedet ditt fjernet fra svartelister hvis en hacker har brukt serveren din til å spam i lang tid. Premium-tjenestene er også med på å fjerne skadelig programvare. Du kan til og med prøve den tidligere omtalte Sucuri-sikkerhetsplugin for forbedret malware-beskyttelse.

Bruke Anti-malware skanner for å søke etter skadelig programvare, virus, bakdører og lignende kjente trusler, samt fjerne dem automatisk. En viktig premiumfunksjon i denne plugin-en er å lappe wp-login.php-siden for å stoppe brute-force-angrep.

I tillegg kan du bruke hvilken som helst av WordPress-sikkerhetspluginene diskutert ovenfor for å identifisere ondsinnet kode.

Testverktøy for nettstedssikkerhet

For å beskytte nettstedet ditt mot angrep, må du stadig få sikkerhetsnivået på nettstedet ditt testet ved å bruke visse testverktøy som:

Wapiti oppdager sårbarheter (filavsløring, databaseinjeksjon, scriptinginjeksjon på tvers av steder, svake .htaccess-konfigurasjoner og mer) på nettstedet ditt. Dette verktøyet bruker den svarte boksen skanning tilnærming.

Dette betyr at den ikke studerer programmets kildekode, men sjekker websidene for skjemaer og skript der den kan injisere data. Den injiserer nyttelast for å identifisere skriptene som er sårbare. Den gir rapporter i forskjellige formater, for eksempel HTML, XML, tekst og JSON.

Google Nogotofail tester nettstedets nettverkstrafikk for å oppdage og fikse svake TLS- eller SSL-tilkoblinger og sensitiv klarteksttrafikk på forskjellige enheter. Du kan også sette den opp som en VPN-server eller proxy-server eller til og med en ruter.

Du kan prøve open source-skanneren og testeren som heter Vega. Denne GUI-baserte plattformen er i Java og fungerer med OS X, Windows og Linux plattformer. Den består av en avskjærende proxy for å utføre taktisk inspeksjon og en automatisert skanner for å utføre raske tester.

Dette verktøyet kan brukes til å identifisere XSS (cross-site scripting), SQL-injeksjon og lignende sårbarheter.
Vi håper disse tipsene og informasjonen om WordPress-sikkerhet vil hjelpe deg med å forbedre nettstedets sikkerhet i stor grad.

Har du allerede prøvd noen plugins eller metoder som øker WordPress-nettstedets sikkerhet betraktelig? Del dine erfaringer og fortsett å spre bevissthet om viktigheten av nettstedssikkerhet i nettverket ditt.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map