Faktisk brukes denne publiseringsplattformen nå av mer enn 27,5 % av de 10 millioner beste nettstedene. Andre plattformer som Joomla og Drupal blekner rett og slett i sammenligning. Det som gjør WordPress så bredt støttet er dens brukervennlighet, som gjør det mulig å bygge et fullt funksjonelt nettsted på kort tid.

Men det faktum at WordPress er så utbredt gjør det også til et mål for hackere.

Eventuelle sikkerhetssårbarheter kan gjøre nettstedet ditt utsatt for ondsinnede angrep og til og med kompromittere brukerdata i prosessen. Denne typen angrep kan være helt ødeleggende for enhver bedrift.

Et kompromittert nettsted reduserer ikke bare tilliten til de besøkende, men kan også få sidene dine svartelistet i Google. Faktisk er et skritt som Google allerede tar mot et sikrere nett, å vise en advarsel for Chrome-brukere hvis de prøver å besøke et potensielt usikkert eller villedende nettsted (f.eks. phishing eller skadelig programvare).

Alle som besøker nettstedet ditt (hvis det er blitt angrepet) kan bli møtt med følgende:

Viktigheten av nettstedssikkerhet kan ikke understrekes nok.

Alt som trengs er et enkelt angrep for å få salget til å stoppe fullstendig og potensielt få nettstedet svartelistet i Google. Det er absolutt mulig å få nettstedet ditt fjernet, men du må be om en manuell gjennomgang som kan ta flere dager eller uker å løse avhengig av problemet. En mye bedre løsning da er å ta skritt for å beskytte nettstedet ditt.

Her tar vi en grundig titt på hvordan du kan beskytte og holde WordPress-siden din sikker.

Hold WordPress oppdatert

Oppdateringer for WordPress er kritiske.

En vurdering av over 11 000 infiserte nettsteder fant at 75 % var på WordPress. Mer overraskende er det faktum at over 50 % av disse nettstedene var utdaterte. Oppdatering til siste versjon gir deg ikke bare tilgang til nyere funksjoner, men retter også opp kjente sikkerhetsfeil som angripere kan utnytte.

Faktisk blir disse sikkerhetssårbarhetene kjent når nye oppdateringer er tilgjengelige. Her er et eksempel på en sikkerhetslogg for en oppdatert versjon av WordPress:

Denne informasjonen er åpent tilgjengelig etter hvert som nye oppdateringer utgis. Men hvis du ikke umiddelbart oppdaterer, lar du siden din være åpen for angrep. Oppdater alltid til den nyeste versjonen for å holde nettstedet ditt sikkert mot nylig oppdagede sårbarheter. Hvis det er noen tilgjengelige oppdateringer, vil du se et varsel øverst på dashbordet:

Nyere versjoner av WordPress lar deg enkelt oppdatere ved å klikke på en knapp. Husk at nettstedet ditt vil bli satt i vedlikeholdsmodus i en kort periode til oppdateringen er fullført. Oppdateringen tar bare noen få minutter, men når den er ferdig, trenger du ikke gjøre noe mer.

Har du ikke lyst til å oppdatere siden manuelt hver gang?

Varsler kan være ganske irriterende. Men å oppdatere WordPress er en av de enkleste måtene å holde nettstedet ditt sikkert på. Hvis du ikke vil bekymre deg for om nettstedet ditt har den nyeste versjonen, kan du konfigurere automatiske oppdateringer med noen få enkle justeringer.

Åpne filen wp-config.php og legg til følgende linje i den:

define('WP_AUTO_UPDATE_CORE', true);

Du kan også aktivere automatiske plugin-oppdateringer ved å legge til følgende linje i den samme filen:

add_filter( 'auto_update_plugin', '__return_true' );

Og legg til denne linjen for å aktivere oppdateringer for temaer:

add_filter( 'auto_update_theme', '__return_true' );

Ved å legge til disse linjene vil du sikre at nettstedet ditt holdes oppdatert uten at det kreves noen annen handling. Hvis du er en som bare ikke kan bli plaget med oppdateringer eller varsler, vil du definitivt konfigurere automatiske oppdateringer for å sikre at nettstedet ditt alltid er oppdatert.

Beskytt administrasjonsområdet

Uansett hvor sikkert noe er, kan hvem som helst enkelt få tilgang hvis de har riktig verktøy eller eierne er uaktsomme. Med WordPress er administrasjonsområdet et hovedmål for hackere.

Følg disse trinnene for å holde denne siden sikker:

Bruk et sterkt passord

Hvis du bruker et svakt passord (f.eks. «12345», «passord» osv.), setter du nettstedet ditt i større fare ettersom angripere kan bruke automatiserte skript for å presse seg inn. Dette betyr gjentatte forsøk på et passord til det endelig fungerer Men å bruke et sterkt passord som inneholder en kombinasjon av tall og symboler gjør det nesten umulig for selv de mest sofistikerte programmene å knekke.

Bruk et verktøy som Strong Password Generator for å lage et sterkt og sikkert passord for WordPress-nettstedet ditt:

Brut å tvinge et passord som dette ville ta et dataprogram år eller tiår å knekke. Ulempen er imidlertid at et sterkt passord er vanskelig å huske. Men avveiningen er definitivt verdt det hvis det betyr å hindre angripere fra å få tilgang til nettstedet ditt. Heldigvis er det en rekke passordbehandlere tilgjengelig du kan bruke til å lagre passordet ditt.

Endre brukernavnet ditt

Når du først installerer WordPress, blir du bedt om å skrive inn et brukernavn.

Angripere vil ikke få tilgang til dashbordet ditt med mindre de har både brukernavnet og passordet ditt. Du kan enkelt blokkere brute force-forsøk ved å bruke et mer unikt brukernavn. Så ikke bruk "admin" når du velger et brukernavn.

Begrens påloggingsforsøk

Som tidligere nevnt, kan angripere bruke programmer for å brutalt tvinge seg inn på nettstedet ditt. Imidlertid er det tilgjengelige plugins som Login LockDown som lar deg begrense påloggingsforsøk fra en spesifikk IP-adresse. Hvis mer enn noen få forsøk mislykkes, blir den brukeren utestengt.

Gi nytt navn til påloggingssiden din

Til slutt, en annen måte å beskytte administrasjonsområdet på er å flytte påloggingssiden helt. Dashbordet er vanligvis tilgjengelig fra www.yoursite.com/wp-admin. Et åpenbart problem er imidlertid at hackere vet at bare ved å legge til " /wp-admin" til et WordPress-nettsted vil de få tilgang til admin-siden.

Protect WP-Admin løser dette problemet ved å la webmastere tilpasse administrasjonspanelets URL:

Beskyttelse av administrasjonsområdet ved å følge disse trinnene kan i stor grad redusere og blokkere automatiserte angrep på nettstedet ditt.

Aktiver tofaktorautentisering

Tofaktorautentisering legger til et ekstra lag med sikkerhet ved å gjøre det enda vanskeligere for angripere å få tilgang til kontoen din. Innlogging krever ikke bare brukernavn og passord, men også en ekstra autorisasjonskode som vanligvis sendes via SMS til en mobilenhet.

Selv om en angriper på en eller annen måte gjetter brukernavnet og passordet ditt, vil de ikke kunne logge på kontoen din uten autorisasjonskoden. Last ned og installer Google Authenticator-plugin for enkelt å konfigurere tofaktorautentisering på nettstedet ditt:

I tillegg til å kunne bruke Google Authenticator-appen for verifisering, tilbyr plugin også tilleggsalternativer for tofaktorautentisering som e-post og telefonsamtaleverifisering. Tofaktorautentisering kan også brukes hvis nettstedet ditt har flere brukere.

Bruk .htaccess for å begrense tilgangen til viktige filer

Du kan styrke sikkerheten på WordPress-siden din ytterligere med .htaccess-filen. Denne filen brukes mest i WordPress for nettstedoptimalisering som å omskrive URL-er for å være mer bruker- og søkemotorvennlig. Men det kan også brukes til å forbedre nettstedets sikkerhet.

.htaccess-filen finnes vanligvis i rotmappen og kan åpnes enten via en FTP-klient eller cPanel. Det er også flere plugins tilgjengelig, inkludert SEO av Yoast som gir direkte tilgang fra dashbordet.

Her er flere måter å beskytte nettstedet ditt ved å bruke .htaccess-filen:

Skjul wp-config.php

Wp-config.php-filen er standard med hver installasjon, men den inneholder også sensitiv informasjon som sikkerhetsnøkler og databasetilkoblingsdetaljer til nettstedet ditt. Dette er detaljer som du absolutt ikke vil ha i feil hender. Den beste løsningen er da å skjule denne filen helt og gjøre den utilgjengelig.

Skjul filen wp-config.php ved å legge til følgende kode i .htaccess-filen:

<files wp-config.php>
order allow,deny
deny from all
</files>

Hindre katalogsurfing

På grunn av hvordan WordPress implementerer filstrukturen sin, er det fullt mulig for besøkende å få tilgang til nettstedets mapper og filer ved ganske enkelt å navigere til yoursite.com/wp-content/uploads. Så du vil forhindre katalogsurfing ettersom angripere kan bruke denne informasjonen til ondsinnede formål.

Legg til følgende linje i .htaccess-filen:

Options All -Indexes

PHP-filer er utrolig viktige å beskytte ettersom hackere kan bruke disse filene til å injisere ondsinnet kode for å infisere et nettsted. Legg til følgende kode i .htaccess-filen for å hindre tilgang til plugin-en og temaets PHP-filer:

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]

Bare å legge til disse endringene i .htaccess-filen din vil forbedre WordPress-nettstedets sikkerhet og gjøre det enda vanskeligere for angripere å få tilgang til nettstedet ditt. Uansett, det er ikke noe slikt som et nettsted som er helt sikkert ettersom nye sårbarheter stadig oppdages og utnyttes.

Derfor må du ha en backup-plan i tilfelle ting skulle snu seg til det verre.

Sikkerhetskopier nettstedet ditt regelmessig Vedlikehold regelmessige sikkerhetskopier

Uansett hvor mange sikkerhetstiltak du tar, kan nettstedet ditt fortsatt være sårbart.

Selv om WordPress har eksistert i godt over et tiår, identifiserer og fikser utviklingsteamet stadig sikkerhetsproblemer. For ikke å nevne at eventuelle nye temaer eller plugins du installerer også kan ha utnyttelser som ennå ikke er fikset.

Derfor er det en god idé å regelmessig sikkerhetskopiere nettstedet ditt. På den måten kan du raskt gjenopprette nettstedet ditt og minimere eventuelle tap hvis nettstedet ditt blir tatt ned fra et angrep.

Du vil sørge for at nettstedet ditt er sikkerhetskopiert på en vanlig tidsplan og også lagret i skyen. Hvis datamaskinen din er kompromittert, vil du kunne få tilgang til sikkerhetskopien og gjenopprettingen fra en annen enhet. Vi anbefaler å bruke en automatisert løsning som BackupBuddy.

De fleste backup-løsninger krever et betalt abonnement. Men hvis du stoler på nettstedet ditt for virksomheten din, er det vel verdt det å betale for tryggheten alene. I tilfelle nettstedet ditt blir tatt ned på grunn av et angrep, kan du samarbeide med vertsleverandøren din og enkelt tilbakestille nettstedet til en tidligere versjon med en sikkerhetskopi.

Konklusjon

Mens WordPress i seg selv er relativt sikkert, øker det å legge til temaer, plugins og tilpasset kode sannsynligheten for en sikkerhetssårbarhet som hackere kan (og gjør) utnytte. Med mindre du tar visse sikkerhetstiltak akkurat nå, kan nettstedet ditt være et potensielt mål.

Det er viktig å merke seg at ingen systemer er helt sikre. Men det er forholdsregler du kan ta som i stor grad vil redusere sjansene for å bli påvirket av et ondsinnet angrep.

Følg trinnene som er skissert her for å styrke WordPress-nettstedets sikkerhet.