WordPress er “by far” det mest benyttede publiseringsverktøyet i verden, og det finnes anslagsvis over 70.000.000 websider som benytter WordPress. Dette er jo i utgangspunktet positivt, men siden dette har blitt en av de største blogg og CMS systemene i verden, øker også pågangen for hacking og annet snusk.

Så da er spørsmålet; Har du sørget for skikkelig WordPress sikkerhet for nettstedet ditt?

Det er vel ingen som bryr seg om å hacke min lille blog?

Sikkerhet for WordPress er undervurdert av de fleste brukere, og hvorfor i alle dager er min lille hjemmeside interessant for hackere?

Hackere bryr seg ikke om størrelse eller hvor betydelig du er, de er mest interessert i hvilke muligheter som eventuelt åpenbarer seg når de har kommet inn. Faktum er at nettsider oftest ikke angripes for å stjele data, eller slette viktige filer. Hovedhensikten for mange angripere, er å bruke din server for å videresende spam. I verste fall kan dette føre til at serveren blir svartelistet av nettleverandører, og dermed kan den ikke sende e-post. Det finnes verktøy som kan brukes til å sjekke om en server er blitt svartelistet, for eksempel MxToolBox, men det kan ta lang tid å renvaske en server.

Senest i Desember i fjor (2014) var det et omfattende angrep mot en Wordpress-utvidelse kalt Slider Revolution(RevSlide), som infiserte mer enn 100.000 nettsteder.

er wordpress siden min sikker?

En ting er iallefall sikkert, en nettside kan aldri være 100% sikker. Det er ikke mulig å få til, fordi du hele tiden må balansere mellom tilgjengelighet, funksjonalitet og sikkerhet.

Så lenge du ønsker at siden skal være tilgjengelig for besøkende – og det er jo hensikten med hjemmesiden – vil du løpe en sikkerhetsrisiko.

Som nevnt over er WordPress den mest brukte løsningen for utarbeiding av blogger og CMS løsninger, og anses til å være en av de mest sårbare løsningene. Grunnen til det er flere:

  • Over 70 000 000 hjemmesider er laget med WordPress, noe som gjør den til et attraktiv mål for hackere.
  • WordPress har åpne kildekode, noe som medfører at all kodeinformasjon er tilgjengelig. Dette viser også hvordan standard innstillinger er satt opp.
  • WordPress er veldig enkelt å installere, og du er oppe å gå uten å i det hele tatt ha fått mulighet til å vurdere de nødvendige innstillinger for sikkerhet.
  • 90% av oss benytter den berømte fem minutters installasjonen av WordPress, og dette fører til at ikke alle tenker igjennom hvordan innstillingene er. Er vi i det hele tatt er bevisst på sikkerheten på nettstedet i denne fasen?

 

Så, hva kan du gjøre for å bedre sikkerheten?

Det er flere tiltak som kan gjøres for å sikre siden din, og under vil jeg nevne noen av disse.

Sørg for å ha siste oppdaterte versjon av WordPress. 

Utdaterte WordPress installasjoner den mest vanlige måten for hackere å få tilgang til ditt nettsted, og dersom man ser nærmere på Worpress oppdateringene som kommer, så er opptil 4/5 av alle disse sikkerhetsrelatert.

Gratis utvidelser er også noe man bør være oppmerksom på. En stor andel gratis temaer og utvidelser som du finner, og som ikke er publisert av WordPress-teamet, har en såkalt base64-koding. Base64 koding er en metode for koding av binære data til et sett av alfanumeriske tegn (sammen med bare noen få ikke-alfanumeriske tegn). I noen tilfeller kan dette kun være en helt ufarlig kode i kildekoden, men du har ikke kontroll på den, og den kan ikke fjernes. Så for gratis utvidelser er det viktig å holde seg til pålitelige tilbydere som har vært der en stund og har godt rykte.

Når alt dette er sagt, så er nok dette det enkleste sikkerhetstiltaket, men også det viktigste. Du får nemlig beskjed i administratorpanelet, dersom Wordpress-kjernen, et tema eller en utvidelse, trenger oppdatering – og da er det bare å klikke på en lenke for å oppdatere.

Bruk et unikt og sterkt passord. 

Typisk for et bra passord er at det er langt og består av flere spesialtegn, men husk et passord bør være lett å huske for deg og vanskelig å huske for andre. En måte å gjøre dette på, er å bytte ut hvert ord i en setning med en bestemt bokstav fra det aktuelle ordet, typisk første bokstav. For å gjøre passordet litt mer komplekst kan du deretter erstatte noen av bokstavene med tall og tegn som ligner. Du kan også legge inn feilstavinger og bytte om på bokstaver. Passord laget med utgangspunkt i én eller flere setninger er lettere å lære utenat enn tilfeldige passord, men er så og si like gode. Eksempelvis “Reven rasker over isen” kan bli “rEv1rskr^iS1” som i tillegg til å være et godt passord også betyr noe. 

Lag deg også en rutine for å endre passord med jevne mellomrom. Bruk gjerne funksjonaliteten for å generere et passord i WordPress, men disse er vanskelige å huske selvsagt.

Sørg også for å sikkerhetskopiere WordPress regelmessig. 

Tilbydere av Web-hotell har ofte dette som endel av pakken, men egen sikkerhetskopi er aldri å forakte. Når du har kontrollen selv er du heller ikke avhengig av andre når uhellet er ute.

Bruk et unikt brukernavn.

admin er ikke lurt siden dette ofte er default brukernavn, og kombinasjonen av admin og et lett passord er som en åpen invitasjon til eventuelle hackere.

Bruk Sikkerhets-utvidelser.

Det finnes flere utvidelser som kan brukes til å øke sikkerheten ytterligere, og som dermed gjør det enklere å ha oversikten over sikkerhetstiltak. Men sørg for at den du velger har høy rating og oppdateres regelmessig. Før du bestemmer deg les nøye gjennom beskrivelsen, og sjekk ratings. Et eksempel på en bra utvidelse er iThemes Security Denne utvidelsen het tidligere Better WP Security og er rangert som #1 WordPress Security programtillegg.

Hva med å skjule versjonen av WordPress?

Ett av de mest vanlige tipsene i sikkerhetsartikler er å skjule versjonen av WordPress, men hjelper det?

Konklusjonen til denne artikkelen fra DRWeb er at dette ikke hjelper, og at man heller skal se på andre mer nyttige måter for å forbedre sikkerheten i WordPress på.

Er nettstedet mitt sikkert?

Det er flere måter å sjekke siden din på, men den jeg benytter er Online WordPress Security Scanner som gir noen svar iallefall.

Benytt gjerne linken min WordPress Security Scan under Gratis ressurser for å teste din side.

 

Hva om uhellet er ute?

Ta kontakt med din webhotell leverandør men ikke regn med at at de tar kontinuerlig backup av databasen og filene dine. De aller fleste webhost’er gir deg ingen garanti for backup, selv om de reklamerer med daglig backup av både det ene og det andre. Når det er sagt, så tilbyr noen leverandører løsninger som gjør at du kan ta backup selv.

Med andre ord, Ta selv ansvar for egen sikkerhet og egen backup.

Dersom du allerede har en virusinfisert side, og lurer på hvordan du skal komme deg ut av uføret, les mer om hvordan i artikkelen min her.