Hva er mer tilfredsstillende enn en velfungerende nettside? En velfungerende nettside med et solid sikkerhetsfundament.
La meg guide deg gjennom noen av de mest effektive sikkerhetstiltakene for din WordPress-side. Disse tiltakene er ikke bare enkle å implementere for nybegynnere, men også svært kostnadseffektive, og i mange tilfeller helt gratis.
Når du er ferdig med denne artikkelen, vil du ha en klar handlingsplan for å beskytte nettsiden din mot alle typer digitale trusler. Så, gjør deg klar, og la oss begynne!
Er din WordPress-side tilstrekkelig sikret?
Selv om WordPress er anerkjent som det mest populære CMS (Content Management System) i dag, medfører denne posisjonen noen ulemper. Med over 35 % av alle nettsider på internett som bruker WordPress, har det blitt et yndet mål for skadelige angrep. Alene i 2018 rapporterte Sucuri at omtrent 23 000 WordPress-sider ble rammet av sikkerhetsbrudd.
Betyr dette at WordPress har et dårlig sikkerhetssystem?
Absolutt ikke! Tvert imot, hovedårsaken til sikkerhetsbrudd er ofte brukernes manglende bevissthet rundt sikkerhet.
Som en anerkjent CMS-plattform, tar WordPress sin del av ansvaret ved å jevnlig publisere sikkerhetsoppdateringer og programvareforbedringer. Likevel, disse oppgraderingene vil ha liten effekt hvis du ikke vet hvordan du skal bruke dem.
Kort sagt, du spiller en avgjørende rolle i å holde nettsiden din trygg.
Nå som du er klar over din rolle som webansvarlig, er det på tide å utforske hva du kan gjøre for å styrke sikkerheten til nettsiden din. Ta en titt på de anbefalte sikkerhetstiltakene nedenfor, og prøv å anvende dem på din egen side.
Brukere med sterke brukernavn og passord
Å etablere sterke innloggingsdetaljer er kanskje det enkleste sikkerhetstiltaket å gjennomføre, men likevel er det mange brukere som forsømmer dette. Utrolig nok bruker 23,2 millioner kontoer fortsatt «123456» som passord. Det samme gjelder brukernavn, der mange velger standardnavn som «admin» eller «administrator.»
Hvis du sliter med å generere sterke passord, finnes det mange gratis passordgeneratorer tilgjengelige. Når det gjelder brukernavn, kan du gjøre dem mer unike ved å inkludere tall og spesialtegn.
Bruken av svake innloggingsdetaljer gjør nettsiden din sårbar for «brute force»-angrep. Disse angrepene bruker en prøv-og-feil metode for å gjette dine innloggingsdetaljer. Det er derfor avgjørende å unngå vanlige ord som innloggingsinformasjon.
Hvis du ofte glemmer passordene dine, kan du vurdere å bruke LastPass for å lagre dem og logge inn med ett klikk. Når det gjelder brukernavn, kan du bruke tall og spesielle tegn for å gjøre dem mer unike.
Skjul WordPress-påloggingssiden
Dette enkle trikset kan beskytte WordPress-siden din mot angripere som bruker brute force-metoden. Bruk WPS Hide Login, en gratis plugin, for å endre innloggingsadressen til noe unikt.
Aktiver tofaktorautentisering
Etter at du har sikret administratorinnloggingsinformasjonen, kan du forbedre påloggingsprosessen ytterligere med tofaktorautentisering. Denne sikkerhetsprosedyren legger til et ekstra lag med beskyttelse ved å kreve en unik kode fra en autentiseringsapp. Ved å implementere dette, kan kun brukere med riktig innloggingsinformasjon og kode logge inn på kontoen sin.
Det finnes mange tofaktorautentiseringsplugins for WordPress. Noen av de mest populære inkluderer Google Authenticator, Two Factor Authentication, og Two-Factor.
Endre WordPress-databasens prefiks
Nettsidens database er et yndet mål for SQL-injeksjonsangrep. Disse angrepene tvinger databasen til å kjøre skadelig kode, slik at hackere kan endre eller fjerne data fritt. Siden SQL-injeksjonsangrep utgjør omtrent 80 % av alle hackingforsøk per måned, bør du ta denne trusselen alvorlig.
En av faktorene som gjør databasen din sårbar for SQL-injeksjonsangrep, er bruken av standard databaseprefikset «wp_». Et forutsigbart prefiks gjør det lettere for hackere å gjette tabellnavnene dine og forårsake kaos i databasen din. Derfor anbefales det sterkt å endre dette så snart som mulig.
Her er en detaljert guide om hvordan du endrer WordPress-databasens prefiks. Du kan også bruke Change Table Prefix-plugin.
Deaktiver PHP-feilrapportering
PHP-feilrapportering hjelper deg med å identifisere feil i PHP-filene dine raskere. Imidlertid kan det også avsløre sårbarheter på nettsiden din for andre. Derfor anbefales det å deaktivere denne funksjonen helt.
WordPress deaktiverer feilrapporteringsfunksjonen som standard. Hvis den er aktivert, må du deaktivere den manuelt ved å endre filen wp-config.php. Avhengig av hosting-leverandøren din, kan du også administrere denne innstillingen fra kontrollpanelet.
Hold WordPress oppdatert
For å holde tritt med det økende antallet digitale angrep, gir WordPress ut regelmessige oppdateringer som inkluderer de nyeste sikkerhetsforbedringene. Dette gjelder ikke bare WordPress-kjernen, men også plugins og temaer. Det å bruke utdatert programvare øker risikoen for sikkerhetsproblemer.
Mens WordPress automatisk installerer mindre oppdateringer, må større oppdateringer utføres manuelt. Sørg derfor for å se etter nye oppdateringer i «Oppdateringer»-seksjonen i WordPress administrasjonspanelet regelmessig for å unngå sårbarheter.
Det finnes også en gratis plugin, Easy Updates Manager, som gir deg kontroll over hvordan WordPress-kjernen, temaene og plugins oppdateres.
Deaktiver katalogsurfing
Katalogsurfing kan gi deg rask tilgang til strukturen og de individuelle katalogene på nettsiden. Dette kan imidlertid være risikabelt hvis andre også har tilgang. Hackere bruker det ofte for å finne sårbare filer, plugins og temaer, og utnytter dem deretter for å få tilgang til nettsiden din.
Hvis du hoster WordPress-siden din på en førsteklasses plattform, er det mulig du ikke trenger å bekymre deg for dette, da de tar seg av optimaliseringene. Hvis du derimot er selvhoster eller må deaktivere dette manuelt, kan du lese denne artikkelen om hvordan du deaktiverer katalogsurfing i WordPress.
Fjern WordPress-versjonsnummeret
WordPress lanserer kontinuerlig oppdateringer for å fikse sårbarheter fra tidligere versjoner. Eldre versjoner har ofte flere sårbarheter. Derfor er det ikke optimalt for sikkerheten å gjøre WordPress-versjonen din offentlig tilgjengelig.
Som standard er WordPress-versjonen din synlig nederst til høyre i administrasjonspanelet og i kildekoden. Den vises også på mindre synlige steder som RSS-feeden, CSS-en og skript. Det finnes en god artikkel som gir en steg-for-steg guide for hvordan du fjerner WordPress-versjonen fra disse stedene.
Deaktiver filredigering
WordPress» innebygde filredigeringsfunksjon gjør det enkelt å endre plugin- og temaskript. Denne funksjonen kan imidlertid være risikabel hvis den havner i feil hender. Det er derfor best å deaktivere filredigering fullstendig. Dette kan gjøres ved å legge til følgende linje i wp-config.php-filen:
define('DISALLOW_FILE_EDIT', true);
Utfør regelmessige sikkerhetskopier
Sikkerhetskopiering er like viktig som å sikre selve nettsiden. I verste fall kan sikkerhetskopier spare deg fra å måtte gjenoppbygge hele nettsiden fra bunnen av.
Prosessen kan virke tidkrevende, men det finnes mange backup-plugins, som VaultPress og BlogVault, som kan gjøre jobben enkel. Pro-tips: Bruk en plugin med automatisk sikkerhetskopieringsfunksjon for å spare tid og unngå utdaterte sikkerhetskopier.
Hvis du foretrekker å ikke bruke mange plugins, kan du vurdere å bruke iThemes Security Pro, som tar seg av det meste av sikkerhetsarbeidet.
Stopp spam og negativ SEO
Spam er overalt, og ingen liker det.
Hvis du driver en populær nettside og mangler et godt spamforebyggingssystem, kan du tiltrekke deg tusenvis av spammere daglig. For mye spam er dårlig for SEO og brukeropplevelsen. Tenk deg å ha hundrevis av irrelevante kommentarer i et blogginnlegg.
Si nei til spam ved å bruke CleanTalk anti-spam-løsning.
Bruk WAF (Web Application Firewall)
En av de beste investeringene du kan gjøre for å sikre nettsiden din, er å bruke en WAF (Web Application Firewall). Den bidrar til å beskytte nettsiden mot OWASP Top 10-sårbarheter, kjente og ukjente sikkerhetsfeil, skadelig kode, DDoS-angrep og mye mer.
Det finnes flere alternativer – SUCURI, Malcare, og Cloudflare.
Administrer temaer og plugins
En av de største fordelene med å bruke WordPress er det enorme utvalget av plugins og temaer. Ironisk nok utgjør WordPress plugins og temaer en betydelig kilde til sårbarheter som kan sette nettsiden din i fare. Du bør derfor velge med omhu og administrere de du har installert nøye.
Den enkleste måten å hindre hackere fra å få tilgang til nettsiden din via feil programvare, er å bruke plugins og temaer med gode anmeldelser og vurderinger. Dette er gode indikatorer på at de er godt vedlikeholdt og fungerer som de skal. Sørg også for å se etter oppdateringer regelmessig for å forbedre ytelsen.
Konklusjon
Siden digitale trusler ikke ser ut til å avta med det første, er det viktig å beskytte din WordPress-nettside mot potensiell fare. Heldigvis finnes det mange enkle, men effektive sikkerhetstiltak du kan iverksette for å forbedre nettsidens generelle sikkerhet.
Denne artikkelen viser at du ikke trenger et stort budsjett eller avansert teknisk kunnskap for å implementere de beste sikkerhetstiltakene. Spørsmålet er, er du klar for utfordringen? Ønsker du å motta betalinger via nettsiden din? Her er de beste pluginene for å motta betalinger på WordPress-nettsider.
Relatert:
Slik bruker du Google Cloud SQL med WordPress.