Sikkerhed i WordPress

brianbrandt 13 kommentarer

Hacket wordpress blog

Hacket wordpress blog

Sikkerhed i WordPress er vigtig, da den sidste stykke tid har det taget til med hackere der går ind i en WordPress installation og indsætter noget grim kode, indsætter en ny forside eller simpelthen lægger en blog ned.

Dette kan have katastrofale følger for ens hjemmeside og skyldes ofte at man ikke har taget højde nok for sin sikkerhed i WordPress. For det kan nemlig i 99% af tilfældende undgåes, hvis man opretholder en hvis sikkerhed og tager sig nogle forbehold.

Lad os prøve at kigge på dem.

Sikkerhed ved installationen af WordPress

Lad også først tage de ting du kan gøre ved installationen af WordPress.

Brug nyeste version

Som nummer 1 skal du sikre at den version af WordPress du installerer er den sidste nye. Den finder du altid på hjemmesiden WordPress.org. Derinde kan du også finde den nyeste danske version.

Wp-config.php filen

Når du installerer, skal du for optimal sikkerhed i WordPress selv manuelt ind og skrive noget i din wp-config.php fil. (dog ikke hvis du bruger en 1-click installation fra ex et cPanel eller igennem Suftown).

I denne fil skal du angive en Security Key, som er vigtigt at du laver en lang kode for. Du behøver nødvendigvis ikke at bruge den key generator som WordPress tilbyder, bare sørg for at skrive noget volapyk i den. Det er disse jeg taler om:

define(‘AUTH_KEY’, ‘putsdfdfyoddrddfdfiesdfsdferdfdphrasedfhere’);
define(‘SECURE_AUTH_KEY’, ‘putsddfdfddfddfdsdfdfffndfdfsdfphrasedfhere’);
define(‘LOGGED_IN_KEY’, ‘dffdfdfsdfphrsdsfffassfdfesddfhere’);
define(‘NONCE_KEY’, ‘putsdfurdfdfsdfnsdfddfuesdfdfdphrase here’);

I denne fil kan du også næsten nederst i filen angive en database prefix, det ser således ud:

$table_prefix  = ‘wp_’;

Her er det vigtigt at du indsætter noget ekstra efter underscore. Så det kommer til at se sådan her ud:

$table_prefix  = ‘wp_minblog’;

Ny bruger og stærkt kodeord

Det næste sikkerhed trick du skal sørge for, er efter installationen at oprette en ny bruger, med et stærkt kodeord. WordPress fortæller dig endda om dit kodeord er stærkt eller svagt. Sørg for at bruge forskellige tegn, både bogstaver og tal.

stærk kodeord wordpress

stærk kodeord wordpress

Slet standard admin bruger

Når du har oprettet en ny bruger, med admin rettigheder, skal du slette den “admin” profil der som standard bliver oprettet. Det gør det sværere for en hacker at hacke din profil, da de så ikke altid kender brugernavnet. (sørg derfor også for at bruge et kaldenavn ude på bloggen).

Sikkerhed efter WordPress installation

Du har mulighed for at ændre en del af ovenstående sikkerhedsforanstaltninger ved hjælp af et par plugins. Med dette følgende plugin kan du ændre din database prefix (Den vi ovenfor omdøbte til wp_minblog) samt en lang række andre sikkerheds tiltag.

WordPress sikkerhed plugin

Den scanner også din WordPress installation for at se om den nu lever op til de sikkerhedsindstillinger der bør være. Ofte kan det være at ens filer har en forkert rettighedsindstilling.

Skjul din WordPress version

Det næste du bør gøre, er at skjule hvilken version din blog kører med. Mange wordpress theme designere har fået den idé at det er smart at vise versionen. Det gør kun tingene nemmere for en hacker at bryde din sikkerhed. (Designerne skal dog forsvares, da nogle plugins kræver at ens version er angivet – men det bør plugin programmøren have overvejet inden). Det kan du gøre ved at tilføje følgende kode til din functions.php fil ( WordPress version bliver også skjult i dit RSS Feed ) :

function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');


Slet install.php

Når WordPress er installeret er install.php ikke længere nødvendig. Derfor anbefales det at slette den. Hvis din database af en eller anden årsag er utilgængelig hos dit hosting selskab, vil WordPress gå ud fra at det ikke er installeret endnu og vil vise WordPress´s installations setup side til ALLE som besøger din side. Og så kan hvem som helst udfylde setup formularen og overtage dit website fuldstændigt. Så derfor slet install.php filen, den ligger i /wp-admin/ mappen.

 

Hold din WordPress version opdateret hele tiden.

Wordpress kommer jævnligt med små opdateringer, som ofte er for at lukke sikkerhedshuller i WordPress der er blevet opdaget. Efter version 2.7 kom, er det blevet meget nemmere at holde sin blog opdateret, da du kan gøre det med et par enkelte klik. Du får endda en besked i toppen af din blog administration om, at der nu er en ny version. Så opdater din blog for optimal WordPress sikkerhed.

Opdater WordPress

Opdater WordPress

Sikkerhed med .htaccess og robots.txt filer

Dette er måske lidt teknisk for de fleste, men ved at skrive lidt forskellige linier i filerne .htaccess og robots.txt kan man også sørge for at opretholde en god sikkerhed på din WordPress blog.

.htaccess filen

Hvis du har lavet “permalinks” på din blog, har du allerede en .htaccess fil i roden af dit bibliotek på dit webhotel. Den fil bør du hente ned på din computer og tilføj denne linie til:

Options All -Indexes

Men det bør ikke være det eneste, du kan nemlig også indsætte denne følgende linie for at undgå folk kan hacke din wp-config.php fil og derved finde login informationer til din database:

# SECURE WP-CONFIG.PHP

<Files wp-config\.php>

Order Deny,Allow

Deny from all

</Files>

Du bør lave en .htaccess fil mere og indsætte den i biblioteket /wp-admin.

Robots.txt filen

Denne fil bruges som regel til at sørge for at søgemaskinerne ikke indekserer bestemt områder af dit website. Det er også præcis hvad vi gerne vil. Ved at tilføre følgende linie lukker du af for at søgemaskinerne indekserer dine administrationsfiler:

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/

Opsummering omkring sikkerhed

Der findes mange andre ting du kan gøre for at opretholde en god sikkerhed i WordPress, men laver du ovenstående sikkerhedsindstillinger, så undgår du de fleste problemer fra automatiserede Bots der scanner internettet for WordPress sites med sikkerhedshuller de kan udnytte. Men der findes ikke sådan noget som 100% sikker, hvis en hacker virkelig gerne vil hacke lige netop din blog så skal det nok lykkes ham.

Så for at opsummere, skal du gøre følgende:

  • Brug altid nyeste version af WordPress
  • Lav en unik security key
  • Lav en unik database prefix
  • Lav en ny bruger med et stærkt kodeord
  • Slet standard brugeren admin
  • Skjul din WordPress version
  • Slet din install.php fil
  • Tilfør lidt ekstra linier i din .htaccess og robots.txt fil

Lyder alt dette for uoverkommeligt, men du vil stadig gerne have sikkerheden i top på din WordPress blog, så tilbyder WPDK at vedligeholde din blog. Her kan du få en aftale, hvor vi sørger for sikkerheden, laver backup af din database, og holder din blog og plugins opdateret til nyeste version.



Discussion

  • Claus D Jensen

    Hej Brian,

    God post!

    Ang at slette Admin profilen; Kan man det? Jeg kan kun redigere den, ikke delete…?

    Mvh
    Claus 😀

    10-06-09
    • brianbrandt

      Du skal lige logge ud, og logge ind som den nye bruger du har oprettet. Man kan ikke slette sig selv når man er logget ind. 🙂

      10-06-09
  • Claus D Jensen

    1000 tak, Brian!

    Det er nu ordnet!! 😀

    10-06-09
  • Vayu

    Hej Brian.

    Flot ny hjemmeside og tak for de gode sikkerheds oplysninger.

    Når jeg tilføjer de 2 linjer i .htaccess filen, så går siden ned.

    Hvad kan det skyldes?

    Min .htaccess fil ser sådan ud:

    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    Options All -Indexes

    deny from all

    # END WordPress

    Tak,

    Vh
    Vayu

    10-06-09
    • brianbrandt

      Du skal ikke tilføje den efter, men før det hele.
      Og så ved jeg ikke lige helt om “deny from all” skal indsættes der.

      Det bør se således ud:

      Options All -Indexes

      # BEGIN WordPress

      RewriteEngine On
      RewriteBase /
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteCond %{REQUEST_FILENAME} !-d
      RewriteRule . /index.php [L]
      # END WordPress

      10-06-09
      • Vayu

        Mange tak for svar Brian, men det virkede desværre heller ikke. Siden går stadig helt ned, når jeg gør som du beskrev. 🙂

        10-06-09
  • Kim Malmberg

    Hej Brian

    Fed artikel

    Jeg får ikke lov til at ændre i databasen wp_ med det forslåede plugin,skal skal jeg vil gøre det via phpmyadmin ?

    10-06-09
    • brianbrandt

      Hvilket webhotel kører du på, siden du ikke får lov ?

      Hvis du selv kan finde ud af at gøre det i phpmyadmin, så er det også en mulighed – men hvis du ikke ved hvad du skal gøre, så vil jeg ikke anbefale den vej…

      10-06-09
      • Kim Malmberg

        Gigahost

        10-06-09
  • Hold din Wordpress blog opdateret eller dø!

    […] Brandt fra wpdk.dk har lavet en glimrende guide til hvordan du opnår bedre sikkerhed i WordPress. Synes du om dette indlæg? Herunder kan du dele indlægget med andre eller få kommentarerne […]

    10-06-09
  • Alvorligt hackerangreb på Wordpress - læs hvordan du finder og fjerner | WPDK

    […] hackere på spil. De udnytter forskellige huller i din servers sikkerhed, eller huller i din WordPress sikkerhed. Det er klart det værste eksempel jeg endnu har […]

    10-06-09
  • Sikkerhed i WordPress | Stegemüllers vindue mod verden

    […] søgte på “WordPress +Sikkerhed” og kom blandt andet til denne side, der beskriver hvor galt det kan gå – og hvordan man undgår […]

    10-06-09
  • Kreativ eller idéforladt? | Stegemüllers vindue mod verden

    […] faldt over et logo med en kaffekop og WordPress-logoet, som jeg synes, er fantastisk flot – og siden har jeg haft lyst til at skabe noget lignende. […]

    10-06-09
  • Der er lukket for kommentarer