Sikkerhed i WordPress

13-07-12 brianbrandt 0 kommentarer

Nu er ferien snart over os, og dem der har været så uheldige at komme hjem til et gennemrodet hus kender alt for godt følelsen af, hvor ubehageligt og klamt det føles.

På samme måde er det med din WordPress løsning, når man opdager, der har været hackere inde og rode rundt i ens løsning.

Desværre ser vi efterhånden flere og flere ældre WordPress løsninger, der bliver ofre for hackerangreb. Og hvorfor skal det lige gå ud over WordPress løsningerne, ja svaret er egentlig ikke så svært, når man ikke sikrer sig eller i værste fald efterlader døren på klem, har hackere mere eller mindre fri adgang. Jeg vil her gennemgå nogle forskellige ting, der er med til at sikre din WordPress løsning for hackerangreb, både hvad du kan gøre på forhånd, men også hvad du kan gøre, hvis skaden allerede er sket.

Installation og opsætning af WordPress

Allerede når du installere en ny WordPress løsning, er der ting, du skal være opmærksom på.

Download den nyeste version af WordPress på dansk her. 

Ændre standardnavnene i WordPress

WordPress bruger som standard et Table Prefix der hedder wp_ og det er der rigtigt mange WordPress løsninger, der kører med idag, dvs. det er helt sikkert også noget, hackeren er klar over. Ved at ændre navnet på det, har vi allerede gjort det en lille smule besværligt for hackeren. Husk evt. at bruge en bindestreg eller underscore efter dit navn, så du tydeligt kan se forskel, hvis du skal ind og kigge i din database senere.

Den anden ting du skal have klar i opsætningen af din WordPress løsning er dit administrator login. Her præsenterer WordPress dig igen for et brugernavn admin og det brugernavn er der igen rigtig mange der bruger til login på deres løsning, så det skynder vi os også lige at få ændret til vores eget.
Når du indtaster dit kodeord, kommer der en lille indikator, der fortæller dig, hvor stærkt dit kodeord er og her gælder det selvfølgelig også om at få lavet er stærkt kodeord, som både består af store og små plus tal.

Nu er vores WordPress løsningen installeret og kører på den nyeste version af WordPress og bare med denne opsætning, er du faktisk sikret et rigtig godt stykke, bare så længe du sørger for at holde din WordPress løsning opdateret. Det der som regel går galt med WordPress løsninger er ikke, at de ikke er sikret nok fra starten, men at de ikke opdateres jævnligt. For ligesom der kommer nye opdateringer til WordPress, kommer der jo selvfølgelig også nye hacks og virusser for at gøre livet surt for os WordPress brugere. Tænk lidt på din WordPress opdatering som opdateringer til dit Antivirus program, jo færre gange du glemmer at få den opdateret, jo større chance er der også for at fange en grim virus på din computer.
Nu er det  ikke alle, der har tid eller mulighed for at sidde og kontrollere, om der er kommet en nye opdateringer til WordPress, og er man en af dem, så kan man jo evt. få WordPress til at fortælle dig, at der er kommet nye opdateringer med dette lille plugin Update Notifier.

Opdateringer af Plugins

Det er vigtigt at holde WordPress opdateret, men det er bestemt også vigtigt at holde sine plugins opdateret.  Desværre ser vi mange gange, at man har været inde og lave om i pluginet, og på den måde kan det ikke opdateres næste gang, der ligger en ny opdatering. Så sørg for at du kan opdatere dine plugins, og der ikke har været lavet hvad vi kalder kernehacks på dem, altså været nogen inde og laver om i programmeringen af pluginet.

Opgrader sikkerheden i din WordPress løsning

Ligesom der findes mange forskellige muligheder for at øge sikkerheden på dit hus, findes der heldigvis også en masse muligheder for at sikre sin WordPress løsning. Jeg vil her gennemgå nogle af dem vi bruger og har kendskab til. Ligger du inde med nogen, som du har haft god erfaring med, er du selvfølgelig velkommen til at bidrage.

Nr. 1 vil og skal altid være backup, backup, backup for på den måde har vi altid mulighed for at vende tilbage til en version, der fungerer, og vi kan køre videre på.  Den sikreste og bedste måde at tage en backup af sin WordPress løsning er manuelt at gå ind og lave en kopi af sine filer og manuelt tage en kopi af sine databasefiler.  Er man ikke en haj til manuelt at gøre dette, kan man også bruge værktøjer som Backupwordpress.

Er I mange brugere på den samme WordPress løsning, kan det også være en god ide at holde øje med, hvem der laver hvad og hvor og det kan I gøre med Audit Trail og User Role Editor. Audit Trail sørger for at holde logs på alle de ting, der bliver lavet på systemet og User Role Editor kan bestemme, hvem der har adgang til hvad på løsningen.

Et andet effektivt sikkerhedsplugin er Better WP security der kort forklaret går ind og laver om på mange af de standard opsætninger WordPress kører med. Du kan læse meget mere om Better WP security her.
Husk igen at tage en backup af din løsning inden du går igang med at installere de forskellige plugins, da du i værste fald kan risikere din side bryder ned.

Hvordan kan jeg se, om jeg er blevet hacket, og hvad skal jeg gøre?

Mange WordPress løsninger kan faktisk allerede være hacket, uden at man kan se det. Hackeren lægger en skjult kode ind i alle dine filer og har på den måde en dør til at stå åben, til når der skulle blive brug for at rode rundt i din løsning. En tydelig indikator på at der er lagt skjult kode ind i din løsning er eksempelvis, hvis du finder kode a la det her i dine php filer.

Eksemplet vi har vist her er fra en løsning, hvor vi måtte ind manuelt og fjerne det skjulte kode fra alle php filer, ikke kun selve temafilerne, men også alle systemfilerne. En af grundene til at denne løsning var blevet hacket var, at der var lavet kernehacks (programmeret direkte i pluginet) i en eller flere pluginmoduler, og de kunne derfor ikke opdateres.

Hvis din løsning er mere end 2-3 år gammel, og du ikke løbende har holdt den opdateret, kan det være meget svært at rette på, og man kan være nødsaget til at få lagt løsningen over på en ny WordPress platform. Hvis du så alligevel skal til at investere tid og penge i en ny løsning så sørg for, at den overholder alle de ovennævnte ting.

Hos WPDK kan vi hjælpe dig med at komme videre, hvis du skulle være så uheldig, at der har været nogen inde og rode i din løsning, eller hvis du bare gerne vil have din løsning kigget igennem. Mange gange kan vi ved hjælp af nogle få skridt få gjort din løsning fremtidssikret.