Sikkerhed i WordPress

Hacket wordpress blog

Sikkerhed i WordPress er vigtig, da den sidste stykke tid har det taget til med hackere der går ind i en WordPress installation og indsætter noget grim kode, indsætter en ny forside eller simpelthen lægger en blog ned.

Dette kan have katastrofale følger for ens hjemmeside og skyldes ofte at man ikke har taget højde nok for sin sikkerhed i WordPress. For det kan nemlig i 99% af tilfældende undgåes, hvis man opretholder en hvis sikkerhed og tager sig nogle forbehold.

Lad os prøve at kigge på dem.

Sikkerhed ved installationen af WordPress

Lad også først tage de ting du kan gøre ved installationen af WordPress.

Brug nyeste version

Som nummer 1 skal du sikre at den version af WordPress du installerer er den sidste nyeste. Den finder du altid på hjemmesiden WordPress.org. Derinde kan du også finde den nyeste danske version.

Wp-config.php filen

Når du installerer, skal du for optimal sikkerhed i WordPress selv manuelt ind og skrive noget i din wp-config.php fil. (dog ikke hvis du bruger en 1-click installation fra ex et cPanel eller igennem Suftown).

I denne fil skal du angive en Security Key, som er vigtigt at du laver en lang kode for. Du behøver nødvendigvis ikke at bruge den key generator som WordPress tilbyder, bare sørg for at skrive noget volapyk i den. Det er disse jeg taler om:

define(‘AUTH_KEY’, ‘putsdfdfyoddrddfdfiesdfsdferdfdphrasedfhere’);
define(‘SECURE_AUTH_KEY’, ‘putsddfdfddfddfdsdfdfffndfdfsdfphrasedfhere’);
define(‘LOGGED_IN_KEY’, ‘dffdfdfsdfphrsdsfffassfdfesddfhere’);
define(‘NONCE_KEY’, ‘putsdfurdfdfsdfnsdfddfuesdfdfdphrase here’);

I denne fil kan du også næsten nederst i filen angive en database prefix, det ser således ud:

$table_prefix  = ‘wp_’;

Her er det vigtigt at du indsætter noget ekstra efter underscore. Så det kommer til at se sådan her ud:

$table_prefix  = ‘wp_minblog’;

Ny bruger og stærkt kodeord

Det næste sikkerhed trick du skal sørge for, er efter installationen at oprette en ny bruger, med et stærkt kodeord. WordPress fortæller dig endda om dit kodeord er stærkt eller svagt. Sørg for at bruge forskellige tegn, både bogstaver og tal.

stærk kodeord wordpress

Slet standard admin bruger

Når du har oprettet en ny bruger, med admin rettigheder, skal du slette den “admin” profil der som standard bliver oprettet. Det gør det sværere for en hacker at hacke din profil, da de så ikke altid kender brugernavnet. (sørg derfor også at brug et kaldenavn ude på bloggen).

Sikkerhed efter WordPress installation

Du har mulighed for at ændre en del af ovenstående sikkerhedsforanstaltninger ved hjælp af et par plugins. Med dette følgende plugin kan du ændre din database prefix. (Den vi ovenfor omdøbte til wp_minblog).

WordPress sikkerhed plugin

Den scanner også din WordPress installation for at se om den nu lever op til de sikkerhedsindstillinger der bør være. Ofte kan det være at ens filer har en forkert rettighedsindstilling.

Skjul din WordPress version

Det næste du bør gøre, er at skjule hvilken version din blog kører med. Mange wordpress theme designere har fået den idé at det er smart at vise versionen. Det gør kun tingene nemmere for en hacker at bryde din sikkerhed. (Designerne skal dog forsvares, da nogle plugins kræver at ens version er angivet – men det bør plugin programmøren have overvejet inden). Det er som regel denne linie du skal fjerne i din “header.php” fil:

<meta content=”WordPress &lt;?php bloginfo(’version’); ? /&gt;” name=”generator” />

Hold din WordPress version opdateret hele tiden.

Wordpress kommer jævnligt med små opdateringer, som ofte er for at lukke sikkerhedshuller i WordPress der er blevet opdaget. Efter version 2.7 kom, er det blevet meget nemmere at holde sin blog opdateret, da du kan gøre det med et par enkelte klik. Du får endda en besked i toppen af din blog administration om, at der nu er en ny version. Så opdater din blog for optimal WordPress sikkerhed.

Opdater WordPress

Sikkerhed med .htaccess og robots.txt filer

Dette er måske lidt teknisk for de fleste, men ved at skrive lidt forskellige linier i filerne .htaccess og robots.txt kan man også sørge for at opretholde en god sikkerhed på din WordPress blog.

.htaccess filen

Hvis du har lavet “permalinks” på din blog, har du allerede en .htaccess fil i roden af dit bibliotek på dit webhotel. Den fil bør du hente ned på din computer og tilføj denne linie til:

Options All -Indexes

Men det bør ikke være det eneste, du kan nemlig også indsætte denne følgende linie for at undgå folk kan hacke din wp-config.php fil og derved finde login informationer til din database:

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

Du bør lave en .htaccess fil mere og indsætte den i biblioteket /wp-admin.

Robots.txt filen

Denne fil bruges som regel til at sørge for at søgemaskinerne ikke indekserer bestemt områder af dit website. Det er også præcis hvad vi gerne vil. Ved at tilføre følgende linie lukker du af for at søgemaskinerne indekserer dine administrationsfiler:

Disallow: /wp-*

Opsummering omkring sikkerhed

Der findes mange andre ting du kan gøre for at opretholde en god sikkerhed i WordPress, men laver du ovenstående sikkerhedsindstillinger, så tror jeg ikke du får problemer med hackere. Så skal det i hvert fald være fordi hackeren virkelig gerne vil hacke lige netop din blog.

Så for at opsummere, skal du gøre følgende:

• Brug altid nyeste version af WordPress
• Lav en unik security key
• Lav en unik database prefix
• Lav en ny bruger med et stærkt kodeord
• Slet standard brugeren admin
• Skjul din WordPress version
• Tilfør lidt ekstra linier i din .htaccess og robots.txt fil

Lyder alt dette for uoverkommeligt, men du vil stadig gerne have sikkerheden i top på din WordPress blog, så tilbyder WPDK at vedligeholde din blog. Her kan du få en aftale, hvor vi sørger for sikkerheden, laver backup af din database, og holder din blog og plugins opdateret til nyeste version. Læs mere om WordPress vedligeholdelsesaftalen.

Ingen relaterede indlæg.