Det finnes flere tusen WordPress nettsteder som blir forsøkt hacket hver dag! Ikke bli endel av statistikken du også.

De fleste angrep kan unngås ved hjelp av noen få preventive tiltak.  Dette kan du få til på noen få minutter, og dersom du følger rådene under vil du umiddelbart redusere sjansen for at det lykkes på nettopp din side.

bruk sterke passord

Ja, dette er en selvsagt ting, men faktum er at dette er en av de mest vanlige sikkerhetshullene. Det er jo en ren invitasjon til angriperen dersom du benytter et svakt FTP passord. Tenk deg at FTP passordet på denne siden er hfnet123, dette kan du komme frem til selv om du ikke er profesjonell hacker også. Det samme gjelder for WordPress passordet ditt selvsagt, og andre passord du benytter på nettstedet ditt.

Lag deg en rutine for å endre passord med jevne mellomrom. Bruk gjerne funksjonaliteten, for eksempel cPanel for FTP, til å generere et for deg. Utfordringen med dette er å huske det neste gang du trenger det, så for mange er dette ikke et godt alternativ.

Typisk for et bra passord er at det er langt, ikke står i ordboken, og består av flere spesialtegn, men husk et passord bør være lett å huske for deg og vanskelig å huske for andre. En måte å gjøre dette på, er å bytte ut hvert ord i en setning med en bestemt bokstav fra det aktuelle ordet, typisk første bokstav. For å gjøre passordet litt mer komplekst kan du deretter erstatte noen av bokstavene med tall og tegn som ligner. Du kan også legge inn feilstavinger og bytte om på bokstaver. Passord laget med utgangspunkt i én eller flere setninger er lettere å lære utenat enn tilfeldige passord, men er så og si like gode. Eksempelvis «Reven rasker over isen» kan bli «rEv1rskr^iS1» som i tillegg til å være et godt passord også betyr noe. 

brukernavn

Ikke benytt “admin” som brukernavn. Det finnes ingen grunn til å benytte hverken “admin” eller “administrator” som brukernavn. Du kan bruke hva som helst annet, og disse to er det første inntrengeren sjekker. Ikke gjør jobben enklere en den allerede er.

Sørg for å ha siste oppdaterte versjoner av WordPress, programtillegg og temaer

Hva, oppdatere alt?  “Dette vil jo ødelegge …..” – jepp, kanskje det men ut-daterte WordPress installasjoner, programtillegg eller temaer er den mest vanlige måten for angripere å få tilgang til nettsteder, og dersom man ser nærmere på WordPress oppdateringene som kommer, så er opptil 4/5 av alle disse sikkerhetsrelatert. Dette handler derfor ikke om hvis, men NÅR du blir angrepet dersom du ikke oppdaterer .

Når alt dette er sagt, så er nok dette det enkleste sikkerhetstiltaket. Du får nemlig beskjed i administratorpanelet, dersom Wordpress-kjernen, et tema eller et programtillegg, trenger oppdatering – og da er det bare å klikke på en lenke for å oppdatere.

konfigurer wp-config.php skikkelig

Forsikre deg om at alle autentiseringsnøkler og salter har unike verdier. Forsikre deg også om at debug modus er slått av, og unngå å ha synlige sensitive data. Jeg legger selvsagt ikke ut nøklene mine i all offentlighet, så i bildet under ser dere et eksempel uten angitte nøkler.

salter

fjern unødvendig informasjon om nettstedet

WordPress genererer automatisk en mengde tags/elementer som ikke bare kan være en sikkerhetsrisiko, men også vil redusere ytelsen på nettstedet ditt. For eksempel “WP Generator header tag” viser WordPress versjonen for nettstedet ditt, og dette er jo noe du ikke ønsker å vise, iallefall ikke om det er en stund siden siste oppdatering. Så, la oss se litt på disse elementene, og hvordan vi kan fjerne dem.

Under finner du en liste over auto genererte header tags som du bør vurdere å fjerne. Det er selvsagthelt opp til deg hva som er viktig og ikke, og noen av dem kan også være nødvendige for ditt nettsted, så fjern de som er unødvendige og behold resten. For eksempel dersom du driver med blog administrasjon, og benytter “windows live writer to blog” ønsker du kanskje ikke å fjerne wlwmanifest linken.

  • <link rel=”profile” href=”http://gmpg.org/xfn/11″>
  • <link rel=”pingback” href=”#”>
  • <link rel=”alternate” type=”application/rss+xml” title=”Comments Feed” href=”#” />
  • <link rel=”EditURI” type=”application/rsd+xml” title=”RSD” href=”xmlrpc.php?rsd” />
  • <link rel=”wlwmanifest” type=”application/wlwmanifest+xml” href=”wlwmanifest.xml” />
  • <link rel=’prev’ title=’#’ href=’#’ />
  • <link rel=’next’ title=’#’ href=’#’ />
  • <meta name=”generator” content=”WordPress 4.1.1″ />
  • <link rel=’shortlink’ href=’#’ />
  • <link rel=‘index’ title=‘# />
  • <link rel=‘start’ title=‘# />

Det er faktisk veldig enkelt å fjerne disse, alt du må gjøre er å legge inn noen kodelinjer i functions.php filen din. Men, en en viktig detalj før du begynner;

Dersom du ikke har et child-tema vil disse endringene forsvinne neste gang du oppgraderer temaet ditt, så før du begynner etabler et slik. Du kan lese hvordan i artikkelen min her

Når du nå har child-tema på plass kan vi begynne.

fjerne XMLRPC, WLW, Generator, Feeds og ShortLink

Disse fjerner du ved å legge følgende i functions.php:

  • remove_action(‘wp_head’, ‘rsd_link’); //removes EditURI/RSD (Really Simple Discovery) link.
  • remove_action(‘wp_head’, ‘wlwmanifest_link’); //removes wlwmanifest (Windows Live Writer) link.
  • remove_action(‘wp_head’, ‘wp_generator’); //removes meta name generator.
  • remove_action(‘wp_head’, ‘wp_shortlink_wp_head’); //removes shortlink.
  • remove_action( ‘wp_head’, ‘feed_links’, 2 ); //removes feed links.
  • remove_action(‘wp_head’, ‘feed_links_extra’, 3 ); //removes comments feed.

fjerne Previous og Next Article Links

Forrige og neste artikkel linker fjernes ved å legge følgende i functions.php:

  • remove_action(‘wp_head’, ‘adjacent_posts_rel_link_wp_head’);

 fjerne XFN (XHTML Friends Network) Profile Link og Pingback URL

rel=profile link og rel=Pingback tags kan også enkelt fjernes i header.php filen. Dette gjør du enkelt ved å fjerne følgende linjer:

  • <link rel=”profile” href=”http://gmpg.org/xfn/11″>
  • <link rel=”pingback” href=”<?php bloginfo( ‘pingback_url’ ); ?>”>

Så, nå har du iallefall ha gjort noen enkle grep for å bedre sikkerheten på siden din. En fin måte å sjekke status for nettstedet ditt på er ved hjelp av WordPress security scan.

Dersom du ikke føler deg komfortabel med å gjøre dette selv, eller rett og slett ikke har tid, finnes det selvsagt verktøy som kan gjøre dette for deg.

Anbefaler isåfall et vel utprøvd og fungerende verktøy som heter Security Ninja for beskyttelse av siden din. Det finnes selvsagt en mengde andre også, så sjekk og test gjerne ut selv også. På CodeCanyon finnes det mengder av slike verktøy.

 

code_canyon_728x90