Sikkerhet i WordPress kan være både komplisert og vanskelig å få taket på dersom man ikke har jobbet mye med det før. Her har vi laget en kjapp artikkel som tar for seg litt av de tingene man bør ha i mente når man jobber med WordPress – enten som blogger, webredaktør eller utvikler.
For å skape litt forståelse for problematikken, kan man gjerne lese WP WhiteSecurity sin artikkel fra 2013 om hvor ofte WordPress blir utsatt for angrep.
De slår fast at 70% av 42 000 WordPress-sider som de har sjekket er sårbare for angrep. Se statistikken til dem her:
74 different versions of WordPress were identified.
11 of these versions are invalid. For example version 6.6.6.
18 websites had an invalid non existing versions of WordPress.
769 websites (1.82%) are still running a subversion of WordPress 2.0.
Only 7,814 websites (18.55%) upgraded to WordPress 3.6.1.
1,785 websites upgraded to version 3.6.1 between the 12th and the 15th of September.
13,034 websites (30.95%) are still running a vulnerable version of WordPress 3.6.
For ordens skyld, da artikkelen til WP White Security ble skrevet, var det WordPress versjon 3.6.1 som var gangbar mynt. De 42000 WordPress-sidene de sjekket, bestod av av topp 1 millon-sider hos Alexa.
Å jobbe med sikkerhet i WordPress starter med først og fremst ha en oppdaterte WordPress-installasjon, oppdaterte plugins og oppdatert tema.
Dette er ganske enkelt, og ofte bare latskap som sørger for at ikke du oppdaterer din WordPress. Begynn nå!
Går vi litt dypere i materien, er det en del anbefalinger vi har for DIN nettside. De kommer som følger (alle er like viktige for oss – og for deg):
- Ikke bruk «admin» som brukernavn. Lag ny administratorbruker, slett «admin»-brukeren. Og bruk gjerne en annen bruker enn den nye administratorbrukeren når du skriver innlegg etc.
- Ikke bruk wp_ som prefiks på databasen.
- Installer noen nyttige sikkerhets-plugins. Vi anbefaler i første rekke WordFence som gjør en nyttig og god jobb.
- Last ned temaer, plugins osv fra offisielle kilder (som wordpress.org) etc.
- Beskytt wp-login.php med htaccess. (beskrivelse ser du under her).
- Ubrukte plugins, temaer, brukere – skal slettes. Ingenting å spare på, og potensielt kan det utgjøre en sikkerhetsrisiko (blant annet fordi du ikke oppgraderer deaktiverte plugins).
Sikkerhet i WordPress: Hindre uønsket pålogging
Det er åpenbart en grunn til at du ønsker å unngå påloggingsforsøk; du vil ikke at andre skal ha tilgang til baksiden av din nettside. En annen positiv bi-effekt av løsningen som vi forklarer under her, er at det vil avlaste serveren enormt dersom du hindrer påloggingsforsøk.
Forklaring:
- Gå til http://www.htaccesstools.com/htpasswd-generator/ for å lage en linje med brukernavn og passord.
- Lag en ny fil via FTP (e.l.) i for eksempel rota av din WordPress-side. Denne filen skal hete .htpasswd (husk punktum FØRST, og ingen ending).
- Lim inn det du fikk fra linken i punkt 1. Lagre.
- Opprett så en fil som heter .htaccess (husk punkt her også, samt ingen ending). Der skal du ha inn følgende:
AuthUserFile /home/username/.htpasswd AuthName "WP Admin" AuthType Basic <Files "wp-login.php"> require valid-user </Files>
hvor linja med «AuthUserFile» skal være full sti til .htpasswd-fila. Dersom du allerede har en .htaccess-fil, så legg koden her bare over det innholdet du har.
- Dersom alt er korrekt nå, så har du en beskyttelse mot folk som prøver å logge seg inn i din WordPress-side. Du hindrer dem FØR dem kommer inn, med andre ord.
Har du noen innspill til andre nyttige ting hva sikkerhet i WordPress angår, vil vi gjerne høre fra deg!
