WordPress sikkerhed – guide til sikkerhed

Skrevet d. | Sikkerhed, WordPress

Delinger 36

Hos SearchPilots prioriterer vi WordPress sikkerhed højt. Vi oplever stadig i stigende grad, at nye kunder kontakter os, da deres WordPress site er blevet hacket. Det er som oftest de samme fejl, der går igen på alle sider, og som på den måde har givet hackeren fri adgang til sitet. Vi vil i denne guide gennemgå de fejl vi er støt oftest på, og hvordan man som bruger kan forbedre WordPress sikkerhed på eget site.


1. Det usynlige WordPress hack

Dit site kan se ud som normalt, og du har måske ikke oplevet noget har forandret sig. Du er derfor i god tro om, at sikkerheden i WordPress er i top. Det er også det hackerne gerne vil have dig til at tro, for på den måde kan de arbejde videre i fred. Hackeren kan bruge dit domæne som zombie-robot, til at sende spam ud til hele verdenen, eller hackeren kan sprede virus til de kunder der besøger dit site.

Hvorfor er det vigtigt for mig..? Hvis en hacker får held af at bruge dit site til at sende spam, vil dit domæne blive stemplet som værende spam og ondsindet. Det betyder, at når du fremtidigt sender nyhedsbreve ud, vil det som oftest lande i spam indbakken hos potentielle kunder. Du vil altså ikke kunne nå ud til dine besøgende på samme måde som tidligere. Hvis du samtidig har skadeligt kode på din hjemmeside, som inficerer dine besøgende, vil du opleve at forsvinde fra Google, da Google stempler din side som værende ondsindet. Dine besøgende med Chrome og Firefox vil yderligere blive oplyst om farer på din side, og blive rådet til at forlade den.

Løsning

Der findes flere forskellige tools, hvor du få et billede af, om din WordPress hjemmeside kan være hacket.
Hvis du vil se om din side er stemplet som værende ondsindet hos Google, kan du bruge Googles test tool.

Du kan yderligere scanne din hjemmeside for kendte malware/virus med Sucuri. Sucuri giver dig et billede af, om WordPress sikkerheden er i top på din WordPress hjemmeside.

Hvis du får følgende resultat, har dit site ikke været udsat for kendte angreb, men dermed ikke sagt du kan læne dig tilbage og se på. Derimod er det netop nu du skal bygge dit forsvar. Læs videre her i guiden, og se hvordan du proaktivt kan forbedre din WordPress sikkerhed.

Sucuri scan results SearchPilots

Hvis du derimod får følgende svar, er der grund til bekymring. Du er muligvis endnu ikke hacket, men din hjemmeside er mere modtagelig overfor angreb. Det første du kan gøre, hvis dit svar ser præcis ligesådan ud, er at opdatere din hjemmeside, for at forøge din WordPress sikkerhed.

Sucuri skanresultat med advarsel SearchPilots

2. Opdaterer WordPress, temaer og plugins og forøg din WordPress sikkerhed

Det er altid vigtigt at være på den seneste version af WordPress, og holde dine plugins og tema opdateret. Hvis din side ikke er opdateret med de seneste sikkerhedsrettelser fra WordPress og plugin udviklerne. Kan din WordPress side stå åben for potentielle hackere. Næsten hver gang WordPress teamet udgiver en opdatering, er der vitale sikkerhedsrettelser med.

Løsning

Det er for det meste forholdsvist nemt at opdatere din WordPress installation og tilhørende plugins. Log ind på din WordPress side. Du vil nu blive mødt af følgende forside, der kan variere efter hvilken version af WordPress du bruger:

WordPress kontrolpanel med opdatering

I dette tilfælde er der én opdatering til WordPress. Klik på ”opdateringer” og følg WordPress guidning til opdatering af siden og plugins. Det er vigtigt inden at have taget en backup af sitet, så hvis der sker fejl, kan det gendannes. Du kan læse vores guide til backup her.

Når du har taget backup, kan du klikke på “opdater nu”

WordPress opdatering guide

Du skulle nu gerne blive mødt af følgende side, der bekræfter en succesfuld opdatering af din WordPress installation.

WordPress færdig med opdatering guide

Det er nu tid til at klikke rundt på dit site, for at se om opdateringen skulle have ødelagt noget. Hvis det er tilfældet, kan du altid rulle din backup tilbage. Hvis alt er som det skal være, er din WordPress sikkerhed nu forøget. Vi oplever efterhånden, at det er yderst sjældent at en WordPress opdatering ødelægger et site. Så der er ingen grund til at holde tilbage.

3. Den simple, men almindelige fejl

Den mest almindelige sikkerhedsfejl er samtidig også en af de mest alvorlige. Vi oplever på flere af de sites vi blev bedt om at tjekke igennem, at fejlen optræder.:

Brug ikke admin som brugernavn

Det kan virke banalt, men det er yderst vigtigt for at din WordPress sikkerhed er i top. Det gør det langt sværere for hackere at få adgang til siden, da de både skal gætte brugernavn og adgangskode.

Løsning

Inden du starter på nedstående løsning, så tag en backup. Du kan læse hvordan, i vores guide her.

Hvis du har en admin bruger, er det heldigvis nemt at ændre. Du skal logge på WordPress, gå til menuen ”Bruger” og derefter tilføje en ny bruger. Den nye bruger giver du administrator rettigheder, og kalder noget andet end ”admin”, ”administrator” eller ”user”. Når du har oprettet den nye bruger, kan du slette den gamle. Du behøver ikke bekymre dig om, at dine indlæg oprettet med admin brugeren forsvinder. Når du vælger at slette admin brugeren spørger WordPress, hvad den skal gøre med indholdet. Her kan du vælge at slette alt indholdet, eller tildele det til en anden bruger. Her vælger du så den bruger, du lige har oprettet. Du har nu forøget din WordPress sikkerhed.

Udover ikke at bruge admin som brugernavn, er det også vigtigt at have en stærk adgangskode. Her kan du bruge WordPress egen adgangskode generator, den generere en lang og unik adgangskode med både tal, tegn og bogstaver.

4. Krypter trafikken til dit site med et SSL certifikat

Kryptering er en effektiv måde, at forøge sikkerheden i WordPress. Udover en bedre sikkerhed, rangere Google også sider der bruger https højre.

Hvad er kryptering

Lad os sige du eksempelvis vil dele nogle hemmelige oplysninger med en ven eller veninde på nettet. Du vælger at sende en besked via internettet, og regner med det fungerer som gammeldags post, og at kun dig og din ven læser beskeden. Det er også tilfældet, hvis du sender beskeden krypteret. Hvis du derimod sender den ukrypteret, kan alle i princippet læse din besked.

Hvis din besked er krypteret, bliver den undevejs omdannet til ulæselig tekst, og det er først når den når modtageren, den bliver dekrypteret til læseligt tekst igen. Der er altså ingen på vejen, der kan opsnuse data fra din personlige besked.

Adgangskoder i klartekst

Hvis din forbindelse til WordPress ikke er krypteret, sendes alle formular som udgangspunkt i klartekst. Dvs. evt. følsomme detaljer om dine kunder, deres brugernavn og adgangskoder til din platforme, sammen med deres personlige oplysninger. Derudover sendes også dine adgangskoder til WordPress i klartekst, så hackere omkring dig, vil kunne komme ind i din WordPress admin.

Nedenfor ses en illustration, der viser, hvad en eventuel hacker vil kunne se, hvis paypal.com besøges med hhv. en sikker forbindelse og en usikker forbindelse.

Illustration af sikker forbindelse https sll certifikatLøsning

Få et SSL certifikat. Et SSL certifikat beskytter ikke alene din hjemmeside bedre mod hacking, det beskytter også dine kunder mod at få opsnappet data og hacket deres brugerkontis. Et SSL certifikat er en klar forbedring af sikkerheden i WordPress.

Et SSL certifikat bekræfter, at kommunikationen mellem brugeren og serveren er krypteret, så ingen udefrakommende kan se trafikken, og opsnappe eventuelle følsomme data.
Det betyder for jeres brugere, at de ikke skal være bekymret for at overføre deres personlige data til jer. Dette vil brugeren kunne orientere sig om i browserens adressebar som vist i eksemplet nedenfor.

Https SSL grøn bar Chrome

Opsætning af SSL

Det første du skal gøre, er at tjekke med din hosting udbyder om de understøtter SSL certifikater. Det gør de fleste udbydere heldigvis, og nogle tilbyder det endda som gratis løsning inklusiv certifikat.

Hvis din udbyder ikke understøtter SSL certifikat, er der desværre ikke så meget at gøre. Jeg vil personligt anbefale at komme væk fra den givende udbyder, for hvis de ikke er opdateret til SSL, hvor de ellers ikke opdateret..? Hos SearchPilots tilbyder vi mulighed for SSL certifkat, og opsætning af certifikatet på din WordPress installation.

Hvis din udbyder understøtter SSL certifikat, men du selv skal købe certifikatet, vil jeg anbefale at købe et RapidSSL. Vi har god erfaring med understøttelse på de fleste devices med RapidSSL. Vi køber dem på cheapsslsecurity.com, hvor de findes til en pris fra ca. 100 kr.

I forbindelse med køb af et SSL certifikat, vil du støde ind i følgende begreber:


CSR (certificate request)
CSR er en kodestrimmel der bekræfter din virksomheds domæne, navn, og land. Denne kode oprettes af serveren, hvor dit domæne er hostet. Du finder typisk CSR oplysningerne under et menu punkt der hedder SSL ved din hosting udbyder

En CSR kodelinje ser ud som nedstående eksempel, blot med en masse kode i midten.

CRT (approved certificate)
CRT er dit certifikat, der er oprettet på baggrund af den indsendte CSR kode. Den bekræfter den sikre forbindelse mellem klient og server. Denne kode bliver typisk sendt til dig på mail, og har samme syntaks som CSR filen. Du skal typisk uploade denne til din hosting løsning, under samme menu punkt, hvor du fandt CSR filen
Intermediate certificate
Du får yderligere typisk et intermediate certifikat med, som er roden af dit certifikat. Jeg vil ikke komme længere end på det tekninske. Intermediate certifikat, skal uploades til din hosting løsning på samme måde som CRT certifikatet

Opsætning af https i WordPress

Den nemme vej

Hvis du ikke er så inde i det bagvedliggende kode i WordPress, og ikke ved hvad en .htaccess fil er, findes der heldigvis en nem måde at opsætte dit WordPress site. Du kan hente plugin’et Really Simple SSL, som varetager de samme indstillinger, som jeg gennemgår herunder.

Plugin’et er meget nemt at sætte op, og kræver ikke meget viden om WordPress. Jeg vil stadig anbefale dem der ved lidt mere om WordPress, at ændre indstillingerne manuelt, da du på den måde har mere styr på opsætningen, og nemmere kan fejlsøge, samt sikre at et nedbrud af plugin’et ikke skader siden.

Den manuelle vej

Når du har sat dit SSL certifikat korrekt op, er det tid til at få din WordPress installation til at bruge dit ny anskaffet certifikat.
For at bruge https protokollen på alle dine sider, skal du opdatere din URL. Det gøres under Indstillinger >> Generelt, her skal du opdatere følgende indstillinger:

https indstillinger i WordPress opsætning

Husk at ændre “dinside.dk” til dit domæne navn.

For at videresende http forespørgsler til https forespørgsler kræver det en videresendelsesregel i .htaccess filen, der ligger i roden af dit domæne når du tilgår med ftp

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.dinside.dk/$1 [R,L]
</IfModule>

Husk at erstatte “dinside.dk” med dit eget domæne.

Check for fejl i opsætningen

Det er nu tid til at fejlsøge, det gælder både hvis du er gået den nemme vej, eller den manuelle vej.

Du skal sikre dig, at alle dine sider har den grønne hængelås. Hvis du får et udråbstegn eller et spørgsmålstegn hvor den grønne hængelås skal være, er der noget galt med din opsætning. Det kan skyldes elementer der stadig hentes over http protokollen. Hvis du bruger Chrome, kan du nemt få et overblik over problemet, hvis du højre klikker et sted på din side, og tilgår “Undersøg” og går til fanen “security”


Blandet indhold http på https

Tryk på knappen “View x request in Network Panel”, du bliver nu dirigeret til “Network” fanen. Hvis fanen er tom, så genindlæs siden. Her vil du blive mødt med de elementer, der ikke indlæses over https

http indhold sendt over https

Her er det 4 billeder, der istedet for at blive hentet med https, bliver hentet usikkert over http. Hvis det er billeder du selv har tilføjet, så prøv at redigere siden og tilføj dem igen. Hvis det er et logo eller andet du ikke selv har tilføjet, så prøv i dine tema indstillinger, og sikre at der står https foran alle adresser der er angivet.

Når du har rettet alle fejlene, har du nu en hjemmeside med krypteret forbindelse.

5. Bekæmp spam kommentar

Spam kommentar er i sig selv ikke farlige, men det kan skade din website omdømme, hvis du ikke gør noget ved det.

Løsning

Heldigvis findes der et effektivt gratis værktøj til at bekæmpe spam. Det er et plugin kaldet Akismet, og er som standart installeret med WordPress, så det eneste du skal gøre, er at sætte det op.
Gå til Indstillinger >> Akismet.
Her bliver du mødt af en simpel oversigt over funktionerne. Det vigtige her, er at du skal bruge en API-nøgle. For at få den, skal du oprette dig som bruger på Akismet.com, herefter vil du få adgang til API nøglen. API nøglen skal du kopiere fra Akismet hjemmeside over i feltet i indstillinger og tryk gem. På den måde er du allerede godt på vej til at bekæmpe spam på din side.

6. Begræns antal login forsøg

Et tiltag der er yderst effektivt overfor systematisk hackerangreb, er en begrænsning af loginforsøg. Det er derved ikke muligt bare at skyde en masse gæt efter din adgangskode. Det forøger din WordPress sikkerhed betragteligt.

Løsning

Der findes et godt plugin, der kan klare lige præcis denne opgave, den hedder: “WP Limit Login Attempts“. Aktiver plugin’et og følg den nemme opsætning.

Afrunding af WordPress sikkerhed

Hvis du har fulgt denne guide, er du allerede langt med at forøge WordPress sikkerhed på din hjemmeside. Jeg vil anbefale alle, at tage sikkerheden meget seriøst, da automatiske hacker robotter bliver mere og mere udbredt.

Vi hos SearchPilots oplever flere og flere hjemmesider der er blevet hacket. Det betyder dog ikke at WordPress brugerne er blevet bedre til sikkerhed tværtimod. Vi oplever flere og flere ikke opdateret sider, med dårlig WordPress sikkerhed integreret.

Hvis du har spørgsmål til guiden eller generelle kommentar, hører vi gerne fra dig i kommentarfeltet herunder. 🙂

Delinger 36

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Om os

SearchPilots er et bureau beliggende i Aarhus. Vi beskæftiger os med hjælp til WordPress, Simplero, Google Adwords, Facebook annoncering og søgemaskineoptimering.

Vi har flere års erfaring fra branchen, og vi ved hvad der virker.

Troværdighed er en af vores kerneværdier, og grundlaget for et rigtig godt samarbejde med os.

Læs mere om os.

Skriv til os

Følg os på Twitter