Sikkerhed på wordpress sider er noget besværligt noget, ærligtalt, wordpress er gigantisk så alt hack er rettet imod wordpress, wordpress folkene gør en masse for at holde hackerne ude, men da wordpress er open source og har 3. parts plugins er der meget lidt de kan gøre.
Her er 9 gode råd som gør dig 99,999% sikker, også finder hackeren en anden side at lege med.
Der er nogen forskellige ting man kan gøre, overordnet, du kan gøre det sværere for wordpress hackeren at bryde ind, du kan gøre det sværere at finde et modul at hacke og du kan gøre det sværere når først hackeren er inde. Jeg viser alle tingene her.
Kodeord til wordpress
Det er vigtigt at have et godt kodeord, det kan ikke siges mere nøjagtigt. 99% af alle wordpress hacks sker fordi kodeordet er dårligt. Hvis du kan huske dit kodeord, så skal det laves om, hvis dit kodeord er under 15 tegn skal det laves om, hvis dit kodeord indenholde et navn, adresse, telefonnummer noget andet personligt skal det laves om.
- Kodeord er noget din browser husker for dig
- De er mindst 15 tegn
- De har ikke nogen sammenhængene tegn, som giver mening
- De har ikke årstal eller nogen ting du kan huske.
- Et godt kodeord? fx: “Gf8Qk8c1y00!STaY@e9M9(2U”
Opdater wordpress og alle plugins
Det er vigtigt fordi der engang imellem er nogen store fejl i WordPress eller i plugins. Dette er mindre vigtigt end mange gør det til, generelt er det mindre vigtigt at opdatere end mange fortæller, med mindre du har et særligt plugin som lige har et hul, fx revslider til wordpress.
Men det er let at opdatere en wordpress side, så hvorfor ikke gøre det.
Admin bruger
Engang kom alle wordpress sider med en admin bruger, det kan vi ligeså godt udnytte.
Pga. admin brugeren så går de fleste wordpress hackere efter admin brugeren.
Hvis du har en admin bruger og bruger den, så ændre navnet på den til noget som man ikke ville gætte hvis man læser din side, efter det skal du ændre “Kaldenavn” og sætte “Vis navn offentligt som” til at være dit kaldenavn. På den måde ses din bruger-navn ikke offentligt. Dette skal du også hvis din bruger og dit kaldenavn er det samme.
Så opretter du en ny bruger ved navn admin, giv den en fiktiv email adresse, sæt “Rolle” til at være “Abonnent” og giv brugeren en kodeord på mere end 200 tilfældige tegn.
På denne måde giver du wordpress hackeren rigtigt meget at lave, og hvis han(m/k) kommer ind, så kan sker der ikke noget da brugeren kun har rettigheder til at læse indlæg.
Kode tekst editor i backenden
I dit administrator panel kan du rette kode for dit tema og for dine plugins.
Det er under “editor”, men det behøver du ikke, det skal du gøre via ftp i fremtiden.
99% af alle wordpress hackere bruger dette til at ligge din side ned, så lad os deaktiver denne funktion. Du skal ind på din FTP og i hoved mappen ligger en fil der hedder: “wp-config.php” det er her dine database oplysninger ligger.
Her tilføjer du linjen i koden:
define( 'DISALLOW_FILE_EDIT', true );
Den skal bare stå som mit. Se billedet.
Bloker login forsøg
Når en hacker forsøger at hacke dig kan det være hvor han gætter din kode eller hvor han sætter en computer til at gætte din kode – i begge tilfælde er det irriterende for ham kun at måtte gætte 3 gange før han bliver blokeret i 30min eller før han skal skrive en captcha kode.
Det er der heldigvis plugins til, og der er også gratis plugins til det. Jeg bruger: WP Limit Login Attempts.
Backup
Backup er vigtigt, for mig er backup af teksten vigtigst, derfor laver jeg stort set kun backup af databasen, men der er mange som gerne vil have en fuldstændig backup af alle filer som er let at ligge op igen, som om intet var sket.
Backup skal testes, så når det er sat op, så skal du se om backupen virker. Det gør den som regel ikke hvis du har rigtigt brug for den 😉
Jeg ved godt alle de store hosting selskaber skriver de har backup, men jeg har mange gange været udsat for at deres backup ikke virker når det kommer til stykket.
Også er 2x backup er bedre end 1x backup.
Backup skal være eksternt, altså det skal ligge et andet sted end din side. Backup skal være automatisk, fordi der er ingen af os som husker det altid, også er computere så evigt gode til at gøre ting automatisk.
Et par muligheder.
Jeg bruger: WP-DB-Backup til at tage backup af min database. Den kan gøre det automatisk også kan den sende databasen til en email. Husk at slå komprimering til, også skal du også være opmærksom på at en mail max kan fylde 20mb(ca) så din db må ikke fylde mere end det.
Jeg bruger WordPress Backup to Dropbox til at tage backup af hele siden, den gør det automatisk og ugentligt. Den kan også tage backup af din database hvis den fylder mere end de ca. 20MB.
Firewall
En wordpress firewall beskytter imod wordpress hackere som fx leder efter et plugin du måske har installeret også blokere firewall’en hackeren efter han forsøger at få fat i et plugin med et hul i.
fx et meget populært hul er i revslider, her ville hackeren forsøge at skrive kode til: dinside.dk/plugins/revslider/temp/update_extract/… dette gør dine brugere ikke så firewall’en ville fange det og blokere den IP hackeren kommer frem, i 30min.
Jeg bruger WordPress Firewall 2 – men du kender måske et bedre?
Sørg for at slå emails fra, din side bliver tit udsat for denne type angreb og det er irriterende at få mails her gang. WordPress’s “live tilpas tema” funktioner bliver også blokeret af dette plugin.
Cloudflare
Jeg elsker Cloudflare, og det hjælper helt sikkert også. Det er ikke meget, i de test jeg har set beskytter Cloudflare stort set ikke imod normalt angreb som fx mysql injection – men hvis du betaler for det får du en app-firewall, her er der et preset til wordpress sider, det må da hjælpe. Du kan også med deres gratis verison sætte den til at stoppe alle kinesere, russere og ukrainere fra at se din side – eller i hvert fald lade dem skrive en captcha kode før de kan se den.
Du kan fx se min egen guide her: Effektiv firewall til Cloudflare
DDOS hacking?
Der er ikke så meget at gøre ved ddos angreb men se mere her.
Til sidst
Dette gør ikke din side 100% sikker, men med disse råd kan du uden at betale 1 kr til konsulenter gøre din side 99,999% sikker – hvis en hacker stadig vil have fat i dig efter dette, så er han (m/k) meget ihærdig og det er de tit ikke.