Potensielle svakheter
WordPress og sikkerhet er to ord som kan gå veldig godt sammen, men noen ganger ikke. Siden wordpress er “Open Source”, er CMS’et (Content management system) bygget slik at alle kan delta å gjøre programvaren bedre. WP består av et enormt stort community, der alle bidrar etter evne. Dette kan være å lage plugins, både gratis og betalte. Det bidrar til at alle oss som tar i bruk WP som et CMS kan utnytte det på veldig mange forskjellige måter. Dessverre er det også slik at med så stor frihet i programvaren er det noen mørke sider også. Disse kommer jeg nærmere inn på senere i artikkelen.
For å holde sikkerheten på høyeste nivå, bør du oppdatere plugins, temaer og din kjerne WordPress-programvare regelmessig. Dette kan du gjøre med noen enkle klikk i vårt webpanel. Du bør også holde programvare og komponenter fra tredjeparter (plugins) oppdatert med de nyeste sikkerhetsoppdateringene for å forhindre sårbarheter, og bruke proaktive WordPress-sikkerhetsprinsipper som en effektiv forsvarsstrategi. Hvis du har en managed hosting løsning eller Enterprise løsning fra oss, skal leverandøren følge opp dette for deg. Alle våre enterprise kunder får automatiske overvåkede oppdateringer fra oss inkludert i sin hosting-løsning.
Videre burde du installere en plugin for sikkerhetskopi for å lage sikkerhetskopier av WP-filer og databaser. Planlegging av manuelle sikkerhetskopier både på system- og servernivå, er viktig slik at du kan gjenopprette nettstedet ditt til den nyeste versjonen i tilfelle et hackerangrep. Hos oss gjøres dette automatisk på alle Pro og Enterprise tjenester. Et hver WordPress-nettsted skal ha samme innloggings-URL, så nettadressen din skal være: wp-admin. Endringer i påloggingssiden din virker mot angrep, men hackere kan bruke roboter konfigurert til å angripe en side med et typisk oppsett. For å endre URL for pålogging fra /wp-admin til noe valgfritt kan du bruke WPS Hide Login. Det er ikke anbefalt å gjøre dette manuelt.
Brute force-Angrep
Brute Force-påloggingsforsøk bruker automatiserte skript for å utnytte svake passord for å få tilgang til nettstedet ditt. Hackere kan stjele brukerinformasjon og passord, installere skadelig programvare og distribuere skadelig programvare til brukerne dine. To-trinns autentisering, begrensning av påloggingsforsøk, forhindring av uautoriserte pålogginger, blokkering av IP-er og bruk av sterke passord er de enkleste og mest effektive metodene for å forhindre slike angrep.
WordPress tillater standard brukere å logge på så ofte de vil, så hvis en hacker vil prøve 1000 forskjellige passord på nettstedet ditt, kan de gjøre 1000 separate påloggingsforsøk. Hvis du installerer en plugin som begrenser antall påloggingsforsøk kan du forhindre deler av et slikt angrep. Hvis XML RPC er aktivert, kan en hacker bruke den såkalte System.Multicall-funksjonen til å sjekke tusenvis av passordkombinasjoner i 20-50 forespørsler.
Hvordan kan jeg beskytte nettsiden min ytterligere?
En av de beste og enkleste måtene å beskytte nettstedet ditt med sikkerhet er å installere en sikkerhets plugin som Sucuri, et åpen kildekodeprosjekt lisensiert GPLv2. Sikkerhetstillegg er viktige fordi de automatiserer sikkerhet, noe som betyr at du kan fokusere på å kjøre nettstedet ditt, i stedet for konstant å fokusere på å bekjempe trusler på nettet. Et sikkerhetsprogramtillegg oppdager og blokkerer ondsinnede angrep og advarer deg om problemer som krever oppmerksomhet.
Kort sagt, sikkerhetsplugins fungerer for å beskytte nettstedet ditt i bakgrunnen, noe som betyr at du ikke trenger å holde deg våken døgnet rundt for å bekjempe hackere, bugs og andre digitale onder. En eller flere anerkjente sikkerhetstillegg kan gjøre mye av sikkerhetsmanualarbeidet for deg, inkludert å skanne nettstedet ditt for infiltrasjonsforsøk, endre kildefiler som kan gjøre nettstedet ditt sårbart og forhindre innholdstyveri og hotlinking. Uansett hvilke plugins du vil installere som er sikkerhetsrelaterte, sørg for at de er klassifisert som legitime.
Noen sikkerhetsplugins sørger for sikkerheten til nettstedene dine ved å søke etter skadelig programvare og overvåke nettstedet ditt døgnet rundt for å sjekke hva som skjer på det. Andre innser at ikke alle utviklere henter ut WordPress-sikkerhetsplugins for å hjelpe. Wordfence er et annet populært WordPress-sikkerhetsplugin som inkluderer sanntidsoppdateringer av signaturer, varsler og varsler om skadelig programvare. Den informerer deg om hvilke nettsteder du svartelister på grunn av mistenkelig aktivitet, begrenser påloggingsforsøk og gir Recaptcha-beskyttelse.
Bulletproof Security – Hjelper deg med å sikre nettstedet ditt med inaktiv utloggingsfunksjoner som forhindrer andre mennesker i å kapre enheter uten tilsyn, skjulte plugin-mapper som ikke er synlige i WordPress-plugin-området og sikkerhetskopierings- og gjenopprettingsverktøy for databaser. Sucuri Security – En av de beste WordPress-sikkerhetspluggene på markedet, som tilbyr forskjellige SSL-sertifikater, eksterne malware-skanninger, sikkerhetsfunksjoner etter hack som viser deg hvordan du kan sikre nettstedet ditt etter et brudd, løse tekniske problemer og forbedre sikkerheten. Det er også en nyttig veiledning om hvordan du rydder opp etter et WordPress-hack, inkludert en veiledning om hvordan du beskytter nettstedet ditt mot fremtidige infeksjoner etter hacking.
Er du kunde hos oss og har spørsmål rundt sikkerhet av din nettside? Ta gjerne kontakt med oss så skal vi prøve å besvare spørsmålene du har så godt vi kan!
