WordPress, sikkerhed & hacking

Et meget omtalt emne i dag, når man taler om CMS systemer og især WordPress er sikkerheden i at vælge denne løsning.

Lad mig lige starte med at sige, at der er mange tiltag, du kan benytte dig af for at forhøje sikkerheden på din WordPress side, og jeg vil senere i artiklen fortælle lidt om nogle af disse tiltag.

Som du måske ved er WordPress det ubestridt mest anvendte CMS system i verden, og driver pr. 2021 41 % af alle verdens hjemmesider. Dette gør selvfølgelig også, at WordPress løsninger til et oplagt mål for hackere, fordi en meget stor andel af verdens hjemmesider deler nogle af de samme svagheder i forhold til sikkerhed. Derfor bliver det attraktivt for en hacker at finde disse svagheder da de kan udnyttes flere steder.

For det er ikke, fordi et lukket CMS system, som evt. er udviklet af et bureau og kun bliver brugt af dette bureau er sikrere end WordPress, tværtimod, WordPress er det foretrukne CMS system af en grund: Der arbejdes på sikkerhed døgnet rundt, men der er aldrig noget, som er 100 % sikkert i dag.

Hurtige hacker statistikker

  1. Der sker et hacker angreb på verdensplan omkring hver 39. sekund
  2. 66 % af virksomheder, der har været udsat for hackerangreb, har ikke følt sig rustet til at komme tilbage igen
  3. I 2019 havde bare USA (hvor WordPress også er udviklet) et budget på næsten 15 mia. $ til internetsikkerhed
  4. Der er ansat 715.000 internetsikkerheds eksperter bare i USA, og man regner med, at der på verdensplan vil komme 3.5 millioner nye jobs inden for internetsikkerhed i 2021 på verdensplan

Du kan læse alle facts om CMS hacking her.

Hacking er ikke noget nyt, men man kan heller ikke sige det er på vej væk, tværtimod bliver hackere klogere og klogere, og derfor er det vigtigt at gøre alt, hvad man kan for at minimere risikoen for et angreb.

Men hvad kan man så gøre for at minimere risikoen for at blive udsat for angreb på sin WordPress side?

Hvad kan man gøre?

Sikker hosting

Et af de første ting, du kan se på i forhold til sikkerhed, er, hvor din hjemmeside er hostet, for der er meget stor forskel på hvor proaktive hosting udbydere er i forhold til internetsikkerhed og tiltag herom. Hos Offbeat Media anbefaler vi vores kunder at gøre brug af vores samarbejdspartner Jysk IT Partner, når det kommer til hosting af deres hjemmeside, da sikkerheden her er meget høj.

Der bliver også her lavet gratis daglig backup af din hjemmeside, hvorfra din hjemmeside kan genskabes for en uge tilbage, hvis uheldet skulle være ude, ikke kun i forhold til sikkerhedsbrud, men generelt fejl som kan have lavet nedbrud på din hjemmeside, hvilket også er meget relevant når det kommer til sikkerhed.

Skifte væk fra admin brugernavn og hav en sikker kode

Den største grund til at hjemmesider bliver hacket er svage adgangskoder, for kender man bare lidt til personen bag en hjemmeside eller webshop er det let lige at gå ind og prøve nogle passwords af som fødeby, kæledyrs navn, ægtefælles navn, fødselsdato osv. Man kan også med en hurtig google søgning finde en liste over de mest udbredte adgangskoder på nettet, og derfor er det vigtigt at benytte sig af en stærk adgangskode, vi anbefaler at hvis man selv opretter en kode bruger én af de koder WordPress selv genererer fordi disse er meget stærke adgangskoder. De er selvfølgelig ikke lette at huske men så kan man skrive dem ned og når man logger ind trykke husk mig, så man ikke selv skal indtaste den hver gang.

Det er også meget udbredt at ens administrator bruger har brugernavnet admin, hvilket også er at anbefale at ændre, da det er lettere for en hacker kun at skulle gætte koden fremfor både brugernavn og kode, i samme ombæring er det en god idé at have brugere uden administrator rettigheder til at skrive blogindlæg fra, især hvis man har tænkt sig at vise forfatternavn på blogindlæg da disse viser brugernavnet som er brugt til login, medmindre man har oprettet alias til de forskellige brugere.

Skifte login-URL

Mange mennesker verden over, og højest sandsynligt alle hackere ved at som standard vil man komme til login siden til et WordPress kontrolpanel hvis man tilføjer /wp-admin til en url af en side bygget i WordPress.

Derfor kan det måske være en god idé at ændre dette for din egen side så en hacker skal lede længere efter din loginside

Blokér for mange fejl forsøg

Nogle hackere kunne også finde på at skaffe sig adgang via brute force attacks, som er metoden hvor en hacker forsøger sig med et uendeligt antal af forskellige kombinationer af bogstaver og tegn indtil de får adgang til din side.

Derfor er det måske også en idé at konfigurere din WordPress side til at banlyse en bruger fra din side hvis han/hun/den har indtastet forkert password et vis antal gange

Plugins og temaer

Det er også vigtigt at holde plugins, temaer og for den sags skyld din WordPress version opdateret jævnligt da mange af disse opdateringer indeholder sikkerhedsmæssige opgraderinger.

I samme ombæring er det også vigtigt at være kritisk overfor hvilke plugins og temaer, du anvender til din side, da der findes mange gratis plugins som ikke holdes opdateret og kan være en lettere vej for en hacker at komme ind på din side.

Vi anvender Divi premium tema i alle sider, vi laver og ved der arbejdes på sikkerheden her dagligt. Du kan læse mere om mulighederne med Divi her.

Derudover er en god indikation for om plugins er sikre at kigge på, hvornår den sidst er opdateret, og hvor mange aktive installationer, der findes af pluginnet. Jo nyere opdateringsdato og jo flere downloads, jo bedre.

Sikkerhedsplugin

Hos Offbeat Media installerer vi og laver en opsætning af en gratis version af Wordfence på alle hjemmesider, vi laver for vores kunder for at sikre siderne. Wordfence er et sikkerhedsplugin som indeholder en endpoint firewall, samt sikring mod bruteforce attacks og muligheden for at blokere specifikke ip adresser fra din side.

Wordfence har også en indbygget malware scanner, som kan bruges til at tjekke dit site for malicious software hvis uheldet allerede skulle have været ude og der er fra resultaterne i scanneren mulighed for at slette de korrupte filer direkte fra Wordfence eget panel i kontrolpanelet, så du behøver ikke engang FTP adgang for at slette disse filer.

Du kan læse mere om Wordfence her.

Sikker forbindelse

En anden ting som i dag nærmest er en selvfølge, men nævner det nu alligevel. Alle hjemmesider i dag burde leveres over en sikker HTTPS forbindelse, og de fleste hosting udbydere leverer gratis SSL certifikater sammen med deres hostingpakker.

Er din WordPress side allerede hacket? Fortvivl ikke

Vi har hos Offbeat Media allerede hjulpet flere under med at rydde op i en hacket WordPress side og efterfølgende fået Google til at åbne op for disse sider igen så besøgende ikke bliver mødt af en rød skærm hvor der står siden er inficeret af malware.

Så har du brug for hjælp til enten opsætning af sikkerhed til din side, eller udbedring af et allerede hacket site så kontakt mig gerne på tobias@offbeatmedia.dk

Uanset hvad, er du altid meget velkommen til at kontakte os, hvis du har brug for rådgivning eller mere viden om, hvordan du kommer godt i gang med din næste WordPress hjemmeside.

Du finder vores kontaktoplysninger her – god dag til dig 🙂 

 

Tobias
Team Offbeat Media

Tobias Nørbygard

Tobias Nørbygard

Webudvikler