Sikkerhet i WordPress

  • Sikkerhet i WordPress

    Sikkerhet i WordPress kan være både komplisert og vanskelig å få taket på dersom man ikke har jobbet mye med det før. Her har vi laget en kjapp artikkel som tar for seg litt av de tingene man bør ha i mente når man jobber med WordPress – enten som blogger, webredaktør eller utvikler.

    For å skape litt forståelse for problematikken, kan man gjerne lese WP WhiteSecurity sin artikkel fra 2013 om hvor ofte WordPress blir utsatt for angrep.

    De slår fast at 70% av 42 000 WordPress-sider som de har sjekket er sårbare for angrep. Se statistikken til dem her:

    74 different versions of WordPress were identified.

    11 of these versions are invalid. For example version 6.6.6.

    18 websites had an invalid non existing versions of WordPress.

    769 websites (1.82%) are still running a subversion of WordPress 2.0.

    Only 7,814 websites (18.55%) upgraded to WordPress 3.6.1.

    1,785 websites upgraded to version 3.6.1 between the 12th and the 15th of September.

    13,034 websites (30.95%) are still running a vulnerable version of WordPress 3.6.

    For ordens skyld, da artikkelen til WP White Security ble skrevet, var det WordPress versjon 3.6.1 som var gangbar mynt. De 42000 WordPress-sidene de sjekket, bestod av av topp 1 millon-sider hos Alexa.

    Å jobbe med sikkerhet i WordPress starter med først og fremst ha en oppdaterte WordPress-installasjon, oppdaterte plugins og oppdatert tema.

    Dette er ganske enkelt, og ofte bare latskap som sørger for at ikke du oppdaterer din WordPress. Begynn nå!

    Går vi litt dypere i materien, er det en del anbefalinger vi har for DIN nettside. De kommer som følger (alle er like viktige for oss – og for deg):

    • Ikke bruk «admin» som brukernavn. Lag ny administratorbruker, slett «admin»-brukeren. Og bruk gjerne en annen bruker enn den nye administratorbrukeren når du skriver innlegg etc.
    • Ikke bruk wp_ som prefiks på databasen.
    • Installer noen nyttige sikkerhets-plugins. Vi anbefaler i første rekke WordFence som gjør en nyttig og god jobb.
    • Last ned temaer, plugins osv fra offisielle kilder (som wordpress.org) etc.
    • Beskytt wp-login.php med htaccess. (beskrivelse ser du under her).
    • Ubrukte plugins, temaer, brukere – skal slettes. Ingenting å spare på, og potensielt kan det utgjøre en sikkerhetsrisiko (blant annet fordi du ikke oppgraderer deaktiverte plugins).

    Sikkerhet i WordPress: Hindre uønsket pålogging

    Det er åpenbart en grunn til at du ønsker å unngå påloggingsforsøk; du vil ikke at andre skal ha tilgang til baksiden av din nettside. En annen positiv bi-effekt av løsningen som vi forklarer under her, er at det vil avlaste serveren enormt dersom du hindrer påloggingsforsøk.

    Forklaring:

    1. Gå til http://www.htaccesstools.com/htpasswd-generator/ for å lage en linje med brukernavn og passord.
    2. Lag en ny fil via FTP (e.l.) i for eksempel rota av din WordPress-side. Denne filen skal hete .htpasswd (husk punktum FØRST, og ingen ending).
    3. Lim inn det du fikk fra linken i punkt 1. Lagre.
    4. Opprett så en fil som heter .htaccess (husk punkt her også, samt ingen ending). Der skal du ha inn følgende:
      AuthUserFile /home/username/.htpasswd
      
      AuthName "WP Admin"
      
      AuthType Basic
      
      <Files "wp-login.php">
      
      require valid-user
      
      </Files>
      
      

      hvor linja med «AuthUserFile» skal være full sti til .htpasswd-fila. Dersom du allerede har en .htaccess-fil, så legg koden her bare over det innholdet du har.

    5. Dersom alt er korrekt nå, så har du en beskyttelse mot folk som prøver å logge seg inn i din WordPress-side. Du hindrer dem FØR dem kommer inn, med andre ord.

    Har du noen innspill til andre nyttige ting hva sikkerhet i WordPress angår, vil vi gjerne høre fra deg!


0 comment

Leave a reply