Säkra din WordPress!
Ingen vill ju hacka min webb – jag har så få besökare…
Ja det kan man ju tro – att hackers bara attackerar stora välkända, välbesökta webbplatser. Tyvärr är det inte all så. Hackare finns i alla sorter – de som är ökända och vill bli mer ökända genom att hacka välskyddade webbar. Sen de som jobbar sig uppåt och kanske vill bli kända eller de som bara vill hacka så många webbplatser som möjligt. Många av dessa använder speciella sökrobotar som letar efter säkerhetshål – på vilken webb som helst – dvs även små okända men som är lätta att hacka.
Så tyvärr går ingen säker. Ställ dig därför frågan – vad händer om min webb blir hackad – hur får jag den tillbaka?
1. Backup – det måste du ha!
De flesta webbhotell har backup men det betyder inte alltid att de hjälper dig att använda backup filen och återställa din webb. Vi rekommenderar alltid att du förutom webbhotellets backup har en egen backup av din wordpressinstallation och innehållet. Detta skapas genom att du installerar ett plugin/tillägg. De flesta av dess fungerar så att du väljer ett schema för din backup, det kan vara varje dag eller varje vecka. Sedan skapas en backupfil som lagras på den plats du har valt – kan vara dropbox, google drive eller skias med epost. Vissa av dess plugin kan även återinstallera webbplatsen från backupfilen till exempel
- UpdraftPlus – Backup/Restore: http://wordpress.org/plugins/updraftplus/
- Myrepono – backup, keep, restore: http://wordpress.org/plugins/myrepono-wordpress-backup-plugin/
Det finns också en tjänst som vi själva använder. Manage WP – suveränt om du hanterar mer än 1 webbplats, finns i både gratis och betalversion. Hanterar backup och kloning men även säkerhetskontroller och uppdateringar.
2. Ett uppdaterat wordpressverktyg
Vi får ofta frågan måste man alltid uppdatera – min webbplats fungerar ju? Och visst är det så. Många webbplatser med äldre versioner av wordpress fungerar men bakomkulisserna kan det vara rena prästosten – dvs fullt av hål. Dessa ”hål” är egentligen inte hål utan svagheter i programkoden som gör att hackers kan ta sig in via just den koden och komma åt att administrera din webb. Lite slarvigt kan vi säga att ju äldre wordpress version desto fler hål eftersom äldre versioner funnits längre på nätet har hackers ofta hittat fler och fler hål. Genom att uppdatera stänger du dessa hål eftersom de i nya versioner av wordpressverktyget alltid har tagits bort. (Not. för att uppdatera behöver du göra allt i en speciell ordning läs mer här)
3. Ett uppdaterat tema.
Inte bara wordpressverktyget har säkerhetshål. Det samma gäller alla teman de är också programmerade och kan ha säkerhetshål som hackers kan använda för att komma åt din webb och administratörsrättigheterna. Därför behöver du även uppdatera ditt tema. De flesta mer välkända teman och teman du betalar för uppdateras regelbundet antingen för att wordpressverktyget har uppdaterats eller för att nya funktioner till temat läggs till. Samtidigt brukar de även täppa till eventuella säkerhetshål. Generellt gäller att varje gång wordpress uppdaterats bör du kontrollera om temat också kan uppdateras. (Not. för att uppdatera behöver du göra allt i en speciell ordning läs mer här)
4. Uppdatera Plugins/Tillägg
Och ja tyvärr – det som gäller under punkt 2 och 3 gäller även för Plugins. De kan ha säkerhetshål, de bör alltid vara uppdaterade och de behöver ofta uppdateras efter uppdatering av wordpress. Det som är lite svårt med tillägg är att de kanske inte år att uppdatera – de händer att skapare av plugins slutar att uppdatera dem och då kan du behöva hitta ett nytt plugin som ersättning. (Not. för att uppdatera behöver du göra allt i en speciell ordning läs mer här)
5. Skapa en säker inloggning
Använd inte admin som användarnamn. Detta är det användarnamn som wordpress har som förvalt vid installation dvs – ett namn alla hackers kan. Använd helst både stora och små bokstäver samt siffror. Om du redan har ”admin” som användarnamn se först till att säkra lösenordet. Använd även här stora och små bokstäver samt siffror. Du kan också skapa en ny användare med ett bättre användarnamn och lösenord. Se till att du får administrationsrättigheter på den nya användaren. Prova att logga in som den nya användare och se att allt fungerar. Sedan kan du radera användaren ”admin”
6. Installera olika säkerhetsplugins.
Då detta med hackare är ett problem alla wordpress webbar har finns det också en hel del säkerhetsplugins att använda sig av nedan 2 av flera olika. Men observera det räcker inte med att bara installera ett plugin nedan. Du behöver fortfarande säkra din webb enligt p. 1-5.
- Wordfence ett komplext säkerhetsplugin http://wordpress.org/plugins/wordfence/
- Bulletproof Security – säkerhet och backup http://wordpress.org/plugins/bulletproof-security/