5½ enkla tips för en säkrare WordPress-hemsida

WordPress är en av nätets allra populäraste plattformar för att bygga hemsidor och bloggar, mycket tack vare dess flexibilitet och enkelhet. Tyvärr innebär det även att den får mycket uppmärksamhet av nätets mer ljusskygga figurer, som gärna vill hacka och använda stora mängder hemsidor för sina egna ändamål. Här kommer 5 och ett halvt enkla […]

Publicerat
Inlägg SEO

WordPress är en av nätets allra populäraste plattformar för att bygga hemsidor och bloggar, mycket tack vare dess flexibilitet och enkelhet. Tyvärr innebär det även att den får mycket uppmärksamhet av nätets mer ljusskygga figurer, som gärna vill hacka och använda stora mängder hemsidor för sina egna ändamål. Här kommer 5 och ett halvt enkla tips som minskar risken för att din hemsida drabbas.

 

Det mest grundläggande tipset räknar jag bara som ett halvt tips eftersom de flesta troligtvis redan är medvetna om det. Det är att alltid hålla WordPress och alla installerade tillägg uppdaterade till senaste versionerna för att täppa till säkerhetshål. I viss mån sköts detta automatiskt när det gäller WordPress och mindre säkerhetsuppdateringar installeras utan att man behöver göra något. Det gäller dock inte för större uppdateringar som man manuellt måste godkänna. Tänk på att alltid ha en backup av hemsidan och databasen som du kan återställa om något skulle gå fel vid uppdateringen.

 

1. Minimera antalet installerade tillägg.

Ju färre tillägg desto färre potentiella säkerhetshål och, som bonus, snabbare laddningstider. Fråga dig själv om det finns något annat sätt att lösa ett problem eller lägga till en funktion än att använda ett tillägg.

 

2. Ändra databasprefix.

I WordPress finns filen wp-config.php som bland annat innehåller inställningarna för databaskopplingen. I denna kan man ange vilken prefix tabellerna i databasen använder, vilket är “wp_” som standard. Ändrar man den till något annat så hindrar man effektivt en stor mängd attacker som försöker ändra saker direkt i databasen genom klurigt modifierade sidadresser, så kallade SQL-injektioner.

Detta är enklast att göra när man först installerar WordPress, men det går även att göra i efterhand. Då är det dock lite klurigare, men genom att använda tillägg som iThemes Security förenklar man proceduren betydligt. Ändra inte i wp-config.php om du inte är säker på vad du gör. Kom ihåg att ta bort tillägg som du inte längre behöver.

 

3. Blockera XML-RPC.

XML-RPC är en funktion som möjliggör att man ändrar sidor och annat genom externa applikationer. Om du inte använder XML-RPC eller någon plugin som använder det finns det ingen anledning att ha det aktiverat. Även här finns det tillägg som inaktiverar det, men för att minimera antalet tillägg är det bättre att göra det på egen hand.

Gå tillbaka till filen wp-config.php och lägg till följande rad i slutet av filen:

add_filter('xmlrpc_enabled', '__return_false');

Öppna sedan filen .htaccess och lägg till följande rader i början av den:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Gå sedan till sidan Inställningar > Diskussion i kontrollpanelen i WordPress och ändra inställningarna för diskussioner så att de två första checkboxarna är avmarkerade. Så här:

Wordpress-inställningar

 

4. Tvåstegsautentisering

Med tvåstegsautentisering blockerar du effektivt oauktoriserade försök att logga in i kontrollpanelen. Kort förklarat innebär denna metod att man lägger till ett extra steg i inloggningsproceduren, till exempel genom att ett SMS med en säkerhetskod skickas till din mobil. För att slutföra inloggningen måste du sedan mata in den koden på hemsidan.

Ett smidigt sätt är att använda en app på telefonen som automatiskt genererar nya koder hela tiden så att du inte behöver skicka SMS. Ett exempel på en sådan app är Google Authenticator. Efter att du installerat den på din mobil kan du installera ett tillägg i WordPress som tvingar inmatning av en genererad kod när du loggar in, till exempel denna: Google Authenticator plugin

Du kan använda detta helt separat från ditt Google-konto, även om det är rekommenderat att använda det där också.

 

5. Generella säkerhetstillägg

WordPress är numera ett ganska komplicerat system med många funktioner som alla riskerar att ha säkerhetsluckor. Ett mer generellt skydd mot detta får man genom tillägg som Sucuri Security och Wordfence. Dessa tillägg täpper till en mängd olika vanliga attackmetoder som används för att utnyttja säkerhetshål som ännu inte upptäckts och fixats av WordPress utvecklare.

De har även funktioner för att kontrollera så att inga WordPress-filer har modifierats och bakdörrar lagts in – och mycket mer. Det är rekommenderat att installera minst ett sådant tillägg. Tänk dock på att de kan vara ganska prestandakrävande och förutsätter att din webbserver är tillräckligt kraftig så att hela hemsidan inte slöas ner.

 

Om du följer de här stegen har du ökat säkerheten på din hemsida och minskat risken för hackerattacker avsevärt, vilket alla som råkat ut för nog håller med om är värt besväret. Lycka till!