En rask gjennomgang av iThemes Security Pro for WordPress
WordPress er et populært CMS (Content Management System) som gjør det mulig for selv de med begrenset teknisk kunnskap å sette opp en nettside i løpet av få minutter. Dessverre betyr denne brukervennligheten også at nettsiden din kan bli et lett mål for kyndige cyberkriminelle.
Selv om selve WordPress-kjernen er relativt sikker (ansvarlig for kun 0,5 % av sårbarhetene), er det ofte temaer og plugins som utgjør den største sikkerhetsrisikoen.
Paradoksalt nok er det nettopp disse tilleggene som gjør WordPress så fleksibelt og brukervennlig.
Trenger du et kontaktskjema? Installer en plugin. Ønsker du flytende delingsknapper for sosiale medier? Det finnes flere plugins for det. Vil du implementere en mørk modus? Jada, det finnes en plugin for det også.
Kort sagt: plugins gjør livet med WordPress enklere, men de er også den viktigste årsaken til sikkerhetsproblemer, og står for hele 97,1 % av sårbarhetene. De resterende 2,4 % kan tilskrives de populære WordPress-temaene.
Derfor er det viktig å ha gode sikkerhetstiltak på plass, spesielt med tanke på at rundt 30 000 nettsider blir hacket hver dag.
Det er en vanlig misforståelse å tro at man er for liten til å bli et mål. Faktisk blir små og mellomstore bedrifter hacket oftere enn store selskaper, ofte på grunn av manglende sikkerhetsinfrastruktur.
La oss se nærmere på iThemes Security Pro for å forstå hvordan det kan bidra til å beskytte nettsiden din.
Komme i gang
Startpakken koster $80 per år, og alle abonnementer kommer med en 30-dagers pengene-tilbake-garanti. For å komme i gang, må du opprette en iThemes-konto, betale for abonnementet og laste ned pluginen.
Gå deretter til WordPress-administrasjonspanelet for å laste opp og aktivere iThemes Security Pro fra plugin-seksjonen.
Klikk deretter på Innstillinger for å starte konfigurasjonsprosessen.
Oppsettet er svært detaljert med mange alternativer som gir deg muligheten til å finjustere de fleste innstillinger. Du kan også velge å hoppe over innstillingene for å bruke standardbeskyttelse.
iThemes Security Pro – Funksjoner
Her er en oversikt over noen av de viktigste funksjonene som kan være nyttige for å sikre en WordPress-nettside.
Sikkerhet for innlogging
Dette er et stort sikkerhetshull som ofte blir utnyttet. Her kan du håndheve strengere regler for registrering, som for eksempel tofaktorautentisering, sterke passord og passordløs innlogging.
Selv om det finnes separate plugins for de fleste funksjoner i WordPress, er det en fordel å ha alt samlet i én plugin for å redusere risikoen for angrep.
iThemes beskytter også mot brute-force-angrep (omtalt senere), som ofte utnytter brukernavn og passord som er enkle å gjette.
Et sterkt passord er ikke alltid nok. En vedvarende rekke mislykkede innloggingsforsøk kan overbelaste ressurser og gjøre nettsiden ubrukelig for reelle brukere.
Det beste er å begrense antall passordforsøk.
iThemes Security Pro tar det et skritt videre med «Network Brute Force»-funksjonen som bidrar til å bekjempe dårlige aktører. Du kan også aktivere reCAPTCHA for å beskytte nettsiden din mot spam.
Til slutt vil «Magic Links» hjelpe deg med å logge inn dersom andre metoder er låst under et angrep.
Grupper
Dette er en utmerket funksjon for å bruke spesifikke vilkår for en bestemt gruppe brukere. Du kan for eksempel opprette en gruppe for redaktører og kreve at de bruker sterkere passord ved registrering.
Det finnes også andre måter å overvåke en spesifikk gruppe brukere.
På samme måte kan du fjerne restriksjoner som tofaktorautentisering for privilegerte ansatte.
Det er enkelt å legge til standard WordPress-grupper (redaktører, forfattere, abonnenter osv.), men du kan også opprette en egendefinert kategori for en selektiv gruppe brukere for å gi dem spesielle rettigheter.
Det finnes også en funksjon for å legge til autoriserte verter for å unngå å bli utestengt fra din egen nettside. Husk å bruke dette alternativet bare hvis du har en dedikert IP-adresse.
Tvungen utlogging og passordendring
iThemes Security Pro-dashbordet er svært nyttig for å sikre nettsiden din under angrep.
Du kan se aktive brukere, kreve umiddelbar tilbakestilling av passord og tvinge utlogging fullstendig eller selektivt.
Du kan også bruke denne funksjonen til å sikre best mulig sikkerhetspraksis for nettsiden din generelt. Du kan for eksempel angi en passordalder, slik at brukerne blir tvunget til å endre passordet sitt etter en viss periode.
I det samme panelet finner du også muligheten for å aktivere tofaktorautentisering via mobilapper, e-post eller autentiseringskoder.
Dette fungerer med alle autentiseringsapper som støtter TOTP (Time-Based One-Time Passwords), som for eksempel Google Authenticator og Authy.
Brute Force-beskyttelse
Dette er et område hvor iThemes Security Pro virkelig utmerker seg. Her finner du ulike verktøy for å beskytte nettsiden din mot gjentatte forsøk på å logge seg inn.
Du kan for eksempel utestenge brukere etter et bestemt antall mislykkede innloggingsforsøk. Du kan også angi en utestengelsesperiode for å forhindre at angripere fortsetter å prøve.
Det er ikke tilstrekkelig å bare utestenge brukere for en viss periode, så du kan også permanent utestenge gjentakende lovbrytere etter et bestemt antall utestengelser.
iThemes gir også muligheten til å blokkere IP-adresser eller verter etter mislykkede forsøk. Du kan sette en lav terskel for å maksimere sikkerheten.
Det finnes også et alternativ for å angi antall feil oppføringer og utestengelsesintervall for reCAPTCHA.
Oppdateringer og nettsjekk
Et annet viktig område å tenke på er utdaterte plugins og temaer.
Du kan aktivere automatiske oppdateringer fra WordPress-administrasjonspanelet, men iThemes Security samler alle funksjoner under ett tak.
Du kan administrere oppdateringer for temaer, WordPress-kjernen og plugins fra «Versjonsadministrasjon»-delen.
Pluginen støtter også muligheten til å forsinke oppdateringer for både plugins og temaer. Det anbefales vanligvis å installere oppdateringer umiddelbart.
Du kan også aktivere «Site Check», som varsler deg ved vesentlige endringer i WordPress-databasen.
Du kan inkludere/ekskludere spesifikke filstier fra filendringsskanningen, og du kan velge automatiske skanninger som utføres to ganger om dagen.
Konklusjon
Dette var en kort gjennomgang av iThemes Security Pro. Funksjonene gjør dette til en anbefalt plugin for både privat og profesjonell bruk.
Hvis du ønsker alternativer, kan du prøve SUCURI eller Malcare.
Det er viktig å huske at sikkerhet ikke kun ligger i hendene på nettsideeieren. Enkelte forhold krever oppmerksomheten til en webhost. Du bør sjekke webhostens sikkerhetstiltak for å forsikre deg om at de er forberedt på worst-case scenario.