4 tips för bättre säkerhet i WordPress

Här följer 4 grundläggande tips för hur du kan se till att skydda din WordPress-sajt från att bli hackad. WordPress är en favoritmåltavla för hackare eftersom verktyget är så framgångsrikt och driver mer än 25% av alla webbsidor på internet. Om du har en webbplats med ganska lite trafik utsätts du förmodligen för 5-20 fientliga loginförsök per dag och om din webbplats är välkänd och har mycket trafik kan det röra sig om mellan 50 och 200 fientliga loginförsök per per timme.

I ett blogginlägg på korn19.ch beskrivs det osannolikt stora antalet loginförsök i WordPress på en sajt som inte ens drivs av WordPress! Siffrorna stämmer ganska bra med min egen erfarenhet.

Förutom att det förargligt att bli hackad kan det också ofta bli dyrt i form av den tid som krävs för att återställa en hackad webbsida, särskilt om du inte har rutiner för backup och hantering av webbplatsens filer.

Tips 1. Begränsa antalet inloggningsförsök

Login lockdown förbättrar säkerheten i din WordPress-installation.

En märklig aspekt av säkerheten i WordPress är att det faktiskt går att försöka logga in hur många gånger som helst. Det är julafton för en hackare om han kan skriva ett skript som systematiskt provar alla tänkbara kombinationer. Därför är den allra främsta säkerhetsåtgärden du kan vidta att stänga ner möjligheten till obegränsat antal inloggningsförsök. Det mest populära och det mest etablerade tillägget för det är Login Lockdown som du kan läsa mer om i Smashing Magazines artikel här. Tilläggets default-inställning begränsar misslyckade loginförsök som kan göras från samma IP-adress under en 5-minutersperiod, därefter stängs användaren av för 1 timme.

Den här skyddet finns också i de säkerhetstillägg om vi tipsar om i sammanfattningen nedan.

Tips 2. Dölj WordPress versionsnummer

Om du är en hackare och vet vilken version av WordPress som används på en viss webbplats är det ganska enkelt för dig att gå till WordPress.org och leta upp vilka säkerhetsbrister som upptäckts och åtgärdats i nästföljande version av WordPress. På det sättet får hackaren en praktisk och överskådlig användarmanual i vilka sårbarheter som är lämpliga att angripa på din webbplats.  Därför är inte optimalt att WordPress som default skriver ut exakt vilken version av WordPress som används i webbsidans meta-taggar:

<meta name=”generator” content=”WordPress 4.4″>

Dölj versionnumret i källkoden till WordPress för förbättrad säkerhet.

För att se till att denna information inte skrivs ut i webbsajtens källkod kan du lägga till följande i din functions.php

remove_action('wp_head', 'wp_generator');

Även denna säkerhetsåtgärd tas automatiskt om hand av de mer omfattande säkerhetstillägg som vi kommer att nämna i sammanfattningen.

Tips 3. Användarnamn och lösenord

Det här är både det långtråkigaste och enklaste tipset. Även om du (och alla andra) avskyr att fixa och trixa med användarnamn och lösenord så är det något som vi använder, åtminstone kommer det att vara så fram till dess att webbplatsen kan skanna av din iris eller ta ett blodprov och göra en DNA-analys på dig. Och det ligger förmodligen något in i framtiden. Alltså återstår inget annat än att acceptera och tugga i sig att vi behöver hantera användarnamn och lösenord.

Använd inte de vanligaste användarnamnen som är lätta att gissa.

Källa: http://www.korn19.ch/coding/wordpress_logins.php

Använd därför användarnamn och lösenord som är svåra att gissa eller matematisk räkna ut. Du vet redan vad jag kommer att skriva härnäst eller hur? Använd långa lösenord, använd stora och små bokstäver, specialtecken samt siffror. Användarnamnen är också viktiga. De vanligaste användarnamnen, åtminstone att döma av den statistik hackarna lämnar bakom sig med sina falska loginförsök är admin eller domännamnet (på den här sajten skulle det t ex vara popolo). Andra vanliga användarnamn är administrator, support, root, test, user, user2 osv. Använd inte användarnamn av den typen.

Ett tillägg som du kan använda för att motverka det här är Restrict Usernames.

Tips 4. Ändra login-adressen

WordPress använder adressen ”wp-admin” för att du ska kunna logga in (minwebb.se/wp-admin). Denna adress är en genväg till adressen wp-login.php (minwebb.se/wp-login.php). Det är alltså lätt för en hackare att hitta din inloggningssida och mata på med inloggningsförsök. Det kanske inte gör så mycket om du har begränsat antalet försök som en användare kan göra. Men även om en hackare inte kommer att kunna ”bryta sig in” på din webbplats kan han (eller hon) fortfarande mata på med så många inloggningsförsök att det sänker din webbplats genom överbelastning. Ett bra sätt att skydda sig mot det är att ändra inloggningsadressen till något unikt som inte är alltför lätt att gissa sig till.

Ändra loginadressen för din WordPress-sajt för att förbättra säkerheten.

För att fixa det här kan du använda tillägget Custom Login URL. Även den här funktionen täcks in av de mer omfattande säkerhetstilläggen som vi nämner i sammanfattningen.

 Sammanfattning

Du har nu fått 4 tips på saker som är viktiga och relativt enkla att åtgärda för att förhindra att en obehörig användare (en hackare) kan logga in på din WordPress-sajt och ställa till med skada.

Det finns massor med andra åtgärder man kan göra. Tipsa gärna i kommentarsfältet nedan om du tycker något viktigt inte nämnts här.

Det är svårt att rangordna vad som är viktigast och i vilken ordning, men något som nästan är ännu viktigare än det som nämnts ovan är att du tar regelbunden backup på din webbplats. Syftet är att det ska gå att återställa din webbplats med minimal ansträngning om du skulle drabbas av ett haveri.

Vilka är då de ”omfattande säkerhetstillägg” som jag tjatat om artikeln igenom? Det finns hur många som helst och alla vill gärna att du ska köpa en betald ”Pro” version av dem. Men tre som vi haft tillfälle att prova och tycker fungerar bra även i gratisversionen är följande:

De här tre tilläggen är ganska lika i funktionalitet och utbytbara. Det finns otroligt många inställningar att göra och det kan lätt kännas överväldigande. Det tillägg som är renast och enklast är iThemes Security och det som är mest ”etablerat” är WordFence. Installera något av dem, vet du inte vilket du ska välja får du helt enkelt singla slant.  Din WordPress-sajt kommer att tacka dig! Och om du skulle känna att du blir överväldigad av alla inställningar och  inte har tid eller möjlighet att sätta dig in i vad de gör och hur de fungerar – lämna helt enkelt default-inställningarna som de är tills vidare.

UpDraft är ett av många bra tillägg för säkerhetskopiering av WordPress.

En liten parantes om backup – att tänka efter före

Viktigast är som vanligt att tänka efter före, ha torrt på fötterna och att ha bälte, hängslen och gärna ett par galonbyxor. Vad det betyder på vanlig svenska (nåja vanlig IT-svenska) är säkerhetskopiering. Ett av många bra tillägg som hjälper dig att se till att du har bra backup är Updraft Plus. Det låter dig enkelt göra backup på databasen, de uppladdade filerna (mediabiblioteket) och även själva WordPress och dess tillägg. Du kan spara backupen på din webbserver eller, vilket är ännu bättre, på en extern plats som t ex Dropbox, Google Drive, One Drive osv. Som webbyrå skulle vi helst se att du använder git-versionshantering för alla filer som ingår på sajten med en tjänst som t ex github eller bitbucket, men vi inser att det kan vara svårt om du själv administrerar din webbplats. Har du däremot en ”riktig” webbutvecklare eller webbyrå involverad i hanteringen av webbplatsen bör du ställa det som krav. Om WordPress och tilläggen hanteras genom versionshantering är det oftast väldigt enkelt (med ett terminalkomando) att återställa en skadad sajt till den senaste ”riktiga” versionen. Det sparar mycket tid, pengar och huvudvärk.