Hvad kan du selv gøre for sikkerheden på dit WordPress website ?

20-09-13 brianbrandt 0 kommentarer

Sikkerhed i WordPress er vigtig, da det det sidste stykke tid har taget til med hackere der går ind i en WordPress installation og indsætter noget grim kode, indsætter en ny forside eller simpelthen lægger en blog ned.

Dette kan have katastrofale følger for ens hjemmeside og skyldes ofte at man ikke har taget højde nok for sin sikkerhed i WordPress. For det kan nemlig i 99% af tilfældende undgåes, hvis man opretholder en hvis sikkerhed og tager sig nogle forbehold.

Lad os prøve at kigge på dem.

Sikkerhed ved installationen af WordPress

Lad også først tage de ting du kan gøre ved installationen af WordPress.

Brug nyeste version

Som nummer 1 skal du sikre at den version af WordPress du installerer er den sidste nye. Den finder du altid på hjemmesiden WordPress.org. Derinde kan du også finde den nyeste danske version.

Wp-config.php filen

Når du installerer, skal du for optimal sikkerhed i WordPress selv manuelt ind og skrive noget i din wp-config.php fil. (dog ikke hvis du bruger en 1-click installation fra ex et cPanel eller igennem Suftown).

I denne fil skal du angive en Security Key, som er vigtigt at du laver en lang kode for. Du behøver nødvendigvis ikke at bruge den key generator som WordPress tilbyder, bare sørg for at skrive noget volapyk i den.

Det er disse jeg taler om:

define(‘AUTH_KEY’, ‘putsdfdfyoddrddfdfiesdfsdferdfdphrasedfhere’);

define(‘SECURE_AUTH_KEY’, ‘putsddfdfddfddfdsdfdfffndfdfsdfphrasedfhere’);

define(‘LOGGED_IN_KEY’, ‘dffdfdfsdfphrsdsfffassfdfesddfhere’);

define(‘NONCE_KEY’, ‘putsdfurdfdfsdfnsdfddfuesdfdfdphrase here’);

 

I denne fil kan du også næsten nederst i filen angive en database prefix, det ser således ud:

$table_prefix = ‘wp_’;

Her er det vigtigt at du indsætter noget ekstra efter underscore. Så det kommer til at se sådan her ud:

$table_prefix = ‘wp_minblog’;

 

Ny bruger og stærkt kodeord

Det næste sikkerheds trick du skal sørge for, er efter installationen at oprette en ny bruger, med et stærkt kodeord. WordPress fortæller dig endda om dit kodeord er stærkt eller svagt. Sørg for at bruge forskellige tegn, både bogstaver og tal.

 

Stærkt kodeord WordPress

Stærkt kodeord WordPress

 

Slet standard admin bruger

Når du har oprettet en ny bruger, med admin rettigheder, skal du slette den “admin” profil der som standard bliver oprettet. Det gør det sværere for en hacker at hacke din profil, da de så ikke altid kender brugernavnet.

(sørg derfor også for at bruge et kaldenavn ude på bloggen).

 

Sikkerhed efter WordPress installation

Du har mulighed for at ændre en del af ovenstående sikkerhedsforanstaltninger ved hjælp af et par plugins. Med dette følgende plugin kan du ændre din database prefix (Den vi ovenfor omdøbte til wp_minblog) samt en lang række andre sikkerheds tiltag.

WordPress sikkerhed plugin

Den scanner også din WordPress installation for at se om den nu lever op til de sikkerhedsindstillinger der bør være. Ofte kan det være at ens filer har en forkert rettighedsindstilling.

Skjul din WordPress version

Det næste du bør gøre, er at skjule hvilken version din blog kører med. Mange wordpress theme designere har fået den idé at det er smart at vise versionen. Det gør kun tingene nemmere for en hacker at bryde din sikkerhed.

(Designerne skal dog forsvares, da nogle plugins kræver at ens version er angivet – men det bør plugin programmøren have overvejet inden). Det kan du gøre ved at tilføje følgende kode til din functions.php fil :

 

function wpbeginner_remove_version() {

return ”;

}

add_filter(‘the_generator’, ‘wpbeginner_remove_version’);

Slet install.php filen

Når WordPress er installeret er install.php filen ikke længere nødvendig. Derfor anbefales det at slette den. Hvis din database af en eller anden årsag er utilgængelig hos dit hosting selskab, vil WordPress gå ud fra at det ikke er installeret endnu og vil vise WordPress´s installations setup side til ALLE som besøger din side. Og så kan hvem som helst udfylde setup formularen og overtage dit website fuldstændigt. Så derfor slet install.php filen, den ligger i /wp-admin/ mappen.

 

Hold din WordPress version opdateret hele tiden.

Wordpress kommer jævnligt med små opdateringer, som ofte er for at lukke sikkerhedshuller i WordPress der er blevet opdaget. Efter version 2.7 kom, er det blevet meget nemmere at holde sin blog opdateret, da du kan gøre det med et par enkelte klik. Du får endda en besked i toppen af din blog administration om, at der nu er en ny version. Så opdater din blog for optimal WordPress sikkerhed.

 

Opdater WordPress

Opdater WordPress

 

Sikkerhed med .htaccess og robots.txt filer

Dette er måske lidt teknisk for de fleste, men ved at skrive lidt forskellige linier i filerne .htaccess og robots.txt kan man også sørge for at opretholde en god sikkerhed på din WordPress blog.

.htaccess filen

Hvis du har lavet “permalinks” på din blog, har du allerede en .htaccess fil i roden af dit bibliotek på dit webhotel. Den fil bør du hente ned på din computer og tilføje denne linie til:

Options All -Indexes

Men det bør ikke være det eneste, du kan nemlig også indsætte denne følgende linie for at undgå folk kan hacke din wp-config.php fil og derved finde login informationer til din database:

# SECURE WP-CONFIG.PHP

<Files wp-config\.php>

Order Deny,Allow

Deny from all

</Files>

Du bør lave en .htaccess fil mere og indsætte den i biblioteket /wp-admin.

Robots.txt filen

Denne fil bruges som regel til at sørge for at søgemaskinerne ikke indekserer bestemt områder af dit website. Det er også præcis hvad vi gerne vil. Ved at tilføre følgende linie lukker du af for at søgemaskinerne indekserer dine administrationsfiler:

User-agent: *

Disallow: /wp-admin/

Disallow: /wp-includes/

Opsummering omkring sikkerhed

Der findes mange andre ting du kan gøre for at opretholde en god sikkerhed i WordPress, men laver du ovenstående sikkerhedsindstillinger, så undgår du de fleste problemer fra automatiserede Bots der scanner internettet for WordPress sites med sikkerhedshuller de kan udnytte. Men der findes ikke sådan noget som 100% sikker, hvis en hacker virkelig gerne vil hacke lige netop din blog så skal det nok lykkes ham.

Så for at opsummere, skal du gøre følgende:

• Brug altid nyeste version af WordPress

• Lav en unik security key

• Lav en unik database prefix

• Lav en ny bruger med et stærkt kodeord

• Slet standard brugeren admin

• Skjul din WordPress version

• Slet din install.php fil

• Tilfør lidt ekstra linier i din .htaccess og robots.txt fil

 

Lyder alt dette for uoverkommeligt, men du vil stadig gerne have sikkerheden i top på din WordPress blog,

så tilbyder WPDK at vedligeholde din blog. Her kan du få en aftale, hvor vi sørger for sikkerheden, laver backup af din database, og holder din blog og plugins opdateret til nyeste version.

 

Happy WordPressing !

 

Du kan downloade vores gratis WordPress manual lige her.

 

Download den nyeste version af WordPress på dansk her.