Hvad er bedre end en velbygget hjemmeside? En velbygget hjemmeside med robust sikkerhed.
Hold dig til mig, da jeg vil afdække nogle af de bedste sikkerhedspraksisser for dit WordPress-websted. Ikke kun er de begyndervenlige, men disse øvelser er meget overkommelige, hvis ikke helt gratis.
I slutningen af denne artikel har du en handlingsplan for at beskytte dit websted mod alle former for cybertrusler. Så spænd op og lad os komme i gang!
Indholdsfortegnelse
Er dit WordPress-websted sikkert?
Selvom WordPress anses for at være det mest populære CMS til dato, kommer dette omdømme med nogle konsekvenser. Brugt af over 35 % af websteder på internettet bliver WordPress til et yndet mål for malware-angreb. Alene i 2018 rapporterede Sucuri, at omkring 23.000 WordPress-websteder blev ofre for sikkerhedsbrud.
Betyder det, at WordPress har et frygteligt sikkerhedssystem?
Slet ikke! Tværtimod er hovedårsagen til brud på hjemmesidens sikkerhed brugernes manglende sikkerhedsbevidsthed.
Som et velrenommeret CMS gør WordPress sit ved at udgive sikkerhedsrettelser og softwareopdateringer regelmæssigt. På trods af det, vil disse opgraderinger gøre lidt forskel, medmindre du ved, hvad du skal gøre ud af dem.
Kort sagt, du spiller en væsentlig rolle i forhold til at sikre din hjemmeside.
Nu hvor du kender din rolle og dit ansvar som webmaster, er det tid til at undersøge, hvad du kan gøre for at forbedre dit websteds sikkerhed. Tag et kig på den bedste sikkerhedspraksis nedenfor, og prøv at implementere dem på dit websted.
Brug stærke brugernavne og adgangskoder
Oprettelse af stærke login-legitimationsoplysninger kan være den nemmeste sikkerhedspraksis, nogen kan udføre, men alligevel undlader mange brugere at gøre det. Tro det eller ej, 23,2 millioner konti stadig bruge “123456” som deres adgangskode. Det samme problem gælder for brugernavne, hvor mange brugere bruger standardbrugernavne som “admin” og “administrator”.
Hvis du har brug for hjælp til at finde stærke adgangskoder, er der masser af kodeordsgeneratorer derude kan du bruge gratis. Hvad angår brugernavne, kan du inkorporere tal og specialtegn i nøgleordene for at gøre dem mere unikke.
Brug af svage login-legitimationsoplysninger vil gøre dit websted sårbart over for brute force-angreb. Denne type cyberangreb bruger en trial-and-error-tilgang til at gætte dine loginoplysninger. Derfor er det bedst at undgå at bruge almindelige søgeord til dine loginoplysninger.
Hvis du har for vane at glemme adgangskoden, kan du overveje at bruge LastPass at huske og bruge det med et enkelt klik. Hvad angår brugernavne, kan du inkorporere tal og specialtegn i nøgleordene for at gøre dem mere unikke.
Skjul WordPress-login
Dette enkle trick kan beskytte dine WP-websteder mod angribere, der er rettet mod brute force-angreb. Brug WPS Skjul login gratis plugin til at ændre login-URL til noget unikt.
Aktiver to-faktor-godkendelse
Når du har sikret dine admin-loginoplysninger, kan du forbedre login-processen yderligere ved at aktivere to-faktor-godkendelse. Denne sikkerhedsproces skaber et ekstra lag af beskyttelse, der kræver, at brugere får en unik kode fra en godkendelsesapp. Ved at implementere det på din hjemmeside er det kun brugere med de korrekte loginoplysninger og kode, der kan logge ind på deres konto.
WordPress har masser af to-faktor autentificering plugins at vælge imellem. Et par af de bedste inkluderer Google Authenticator, To-faktor-godkendelseog To-faktor.
Skift WordPress-databasepræfiks
Hjemmesidens database er det mest foretrukne mål for SQL-injektionsangreb. Disse typer cyberangreb tvinger databasen til at udføre ondsindet kode, hvilket giver hackere mulighed for frit at ændre eller fjerne dataene i den. Som SQL-injektionsangreb omfatter ca 80 % af hackingforsøg lanceret om måneden, bør du ikke tage let på denne trussel.
En af de faktorer, der gør din database tilbøjelig til SQL-injektionsangreb, er brugen af wp_ standard databasepræfiks. Ved at bruge en forudsigelig database giver præfiks hackere mulighed for at gætte dine tabelnavne og skabe kaos i din database. Derfor anbefaler jeg stærkt, at du ændrer det ved hurtigst mulige lejlighed.
Her er en detaljeret guide om, hvordan du ændrer dit WordPress-databasepræfiks. Du kan også prøve Skift Table Prefix plugin.
Deaktiver PHP-fejlrapportering
PHP-fejlrapporteringsfunktionen hjælper dig med at lokalisere fejl i PHP-filerne meget hurtigere. Det giver dog også andre mennesker mulighed for at se dit websteds sårbarheder. Derfor anbefaler jeg dig at deaktivere denne funktion helt.
WordPress deaktiverer som standard fejlrapporteringsfunktionen. Hvis det af en eller anden grund er aktiveret, bør du deaktivere det manuelt ved at ændring af filen wp-config.php. Afhængigt af din webhostingtjeneste tillader flere hostingudbydere dig også at administrere denne indstilling fra deres kontrolpanel.
Hold WordPress opdateret
For at holde trit med de stadigt stigende typer af cyberangreb udgiver WordPress jævnligt opdateringer sammen med de seneste sikkerhedsrettelser. Denne forbedring gælder ikke kun for WordPress-kernen, men også plugins og temaer. Når det er sagt, er brug af forældet software en opskrift på katastrofe.
Mens WordPress automatisk implementerer mindre softwareopdateringer, skal du stadig udføre større opdateringer manuelt. Så sørg for at lede efter nye opdateringer i afsnittet Opdateringer i dit WordPress-adminpanel regelmæssigt for at undgå sikkerhedssårbarheder på dit websted.
Der er også et gratis plugin Nem opdateringsmanagersom du kan bruge til at styre, hvordan du vil opdatere din WordPress-kerne, temaer og plugins.
Deaktiver bibliotekssøgning
Directory browsing kan give dig hurtig adgang til webstedets struktur og individuelle mapper. Det kan dog blive til et tveægget sværd, hvis andre mennesker også kan få adgang til det. Hackere bruger det ofte til at finde sårbare filer, plugins og temaer og bruger dem derefter til at få adgang til dit websted.
Hvis du hoster dit WP-websted på en premium-platform, behøver du muligvis ikke bekymre dig, da de vil tage sig af disse optimeringer. Men hvis du selv hoster eller har brug for at deaktivere det manuelt, så tjek dette artikel at vide, hvordan man deaktiverer katalogbrowsing i WordPress.
Fjern WordPress versionsnummer
WordPress udgiver løbende opdateringer for at rette op på den tidligere versions sikkerhedssårbarheder. Ældre versioner er normalt plaget med flere sårbarheder. Derfor er det ikke den bedste idé til dit websikkerhedssystem at gøre din WordPress-version offentlig.
Som standard er din WordPress-version synlig nederst til højre på dit adminpanel og sidekilden. Det vises også på mindre indlysende steder som webstedets RSS, CSS og scripts. Der er en fantastisk artikel der giver en trin-for-trin guide til, hvordan du fjerner WordPress-versionen fra disse steder.
Deaktiver filredigering
WordPress’ indbyggede fileditor lader dig ændre plugin og temascripts meget lettere. På trods af det kan denne funktion bringe din hjemmeside i fare, hvis den falder i de forkerte hænder. Af denne grund er det bedst at deaktivere filredigering helt. Du kan gøre det ved at tilføje nedenfor i filen wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Udfør regelmæssige sikkerhedskopier
At lave backups er lige så vigtigt som at sikre hjemmesiden. I værste fald kan sikkerhedskopierne spare dig for at skulle genopbygge webstedet fra bunden.
Processen kan virke trættende, men der er mange backup-plugins som VaultPress og BlogVault der kan gøre det problemfrit. Protip, brug plugin’et, der har en automatisk sikkerhedskopieringsfunktion for at spare din tid og undgå, at forældede sikkerhedskopier tilstopper dit system.
Hvis du ikke kan lide at bruge for mange plugins, kan du overveje at bruge iThemes Security Pro, som tager sig af frem for alt og mere.
Stop spam og negativ SEO
Spam er overalt, og ingen kan lide det.
Hvis du kører et populært websted og ikke har et ordentligt spamforebyggelsessystem, tiltrækker du muligvis tusindvis af spammere hver dag. At have for meget spam er dårligt for SEO og brugeroplevelsen. Forestil dig, at du har hundredvis af irrelevante kommentarer på et blogindlæg.
Sig nej til spam ved at bruge CleanTalk anti-spam løsning.
Brug WAF
En af de bedste investeringer, du kan foretage for at sikre dit websted, er ved at bruge WAF (Web Application Firewall). Det hjælper med at sikre dit websted mod OWASP top 10 sårbarheder, kendte og ukendte sikkerhedsfejl, ondsindet kode, DDoS-angreb og meget mere.
Der er et par muligheder – SUCURI, Malcare, Cloudflare.
Administrer temaer og plugins
En af de største fordele ved at bruge WordPress er dens store samling af plugins og temaer. Ironisk nok poserer WordPress plugins og temaer som største kilde til sårbarhed der kan bringe dit websted i fare. Så du bør træffe dit valg klogt og omhyggeligt administrere dem, du har installeret.
Den nemmeste måde at forhindre hackere i at få adgang til dit websted via defekt software er ved at bruge plugins og temaer med fremragende anmeldelser og vurderinger. Disse er gode indikatorer, der vil fortælle dig, at de er velholdte og fungerer korrekt. Sørg desuden for at tjekke for opdateringer med jævne mellemrum for at forbedre deres ydeevne.
Afslutter
Da cybertrusler over hele kloden ikke planlægger at trække sig tilbage meget snart, er det vigtigt at sikre dit WordPress-websted mod potentiel fare. Heldigvis er der masser af nemme, men effektive sikkerhedsmetoder, du kan udføre for at forbedre dit websteds overordnede sikkerhed.
Denne artikel beviser, at du ikke behøver et stort budget eller avanceret teknisk viden for at udføre nogle af de bedste sikkerhedspraksis. Spørgsmålet er, er du klar til udfordringen?
Vil du modtage betalinger via din hjemmeside? Her er de bedste plugins til at acceptere betaling på WordPress-websteder.
Relaterede:
Sådan bruger du Google Cloud SQL med WordPress.