WordPress – Sikkerhed & Backup

Er din hjemmeside eller webshop i WordPress sikret mod hackerangreb eller uautoriseret adgang? Nej? Så bliver jeg altså nødt til at spørge om du heller ikke låser døren og lukker vinduerne til dit hjem når du ikke er hjemme?

WordPress er et af de mest hackede CMS-systemer i verden, læs mere her (Engelsk): https://www.wordfence.com/blog/2017/11/october-2017-wordpress-attack-report/

Det hænger sammen med at der findes mange temaer og plugins til WordPress. Hvis disse ikke opdateres løbende, så er det let for hackerne at finde svagheder og dermed en bagdør til din hjemmeside. Der er rigtig mange plugins og temaer på WordPress.org som ikke er opdateret inden for de sidste par år. Derfor anbefaler jeg at du kigger efter hvornår temaet eller pluginnet senest er opdateret. Se billederne nedenfor.

Derudover anbefaler jeg at du kigger efter hvor mange aktive installationer der findes på tema eller plugin. Dette fortæller dig hvor mange der bruger dette plugin i øjeblikket. Du skal også kigge efter anbefalingerne (Reviews) på det enkelte tema/plugin. Disse tre ting kan være med til at fortælle dig om temaet er sikkert at bruge. Skulle du stadig være i tvivl, så prøv at søge på det ved hjælp af google.

Husk at opdatere din hjemmeside løbende. Du kan f.eks. installere Wordfence, som er et sikkerhedsplugin. Det kan sættes op til at sende dig mails, når der er nye opdateringer. Det informerer dig faktisk også hvis der er fundet sikkerhedsbrister i plugins eller temaer (ikke konkret på din side, men overordnet) så du kan tage dine forholdsregler. Inden du begynder at opdatere din side, så anbefaler jeg på det kraftigste at du tager backup af din hjemmeside! Opdateringer kan "ødelægge" indstillinger og koder på din hjemmeside, så det er vigtigt at du hurtigt kan genskabe dit indhold. Så derfor: Læs afsnittet om backup i dette indlæg inden du går i gang!

Det er også vigtigt at du gennemgår dine plugins og temaer en gang i mellem. Det kunne være at nogle af dem er forældet og dermed ikke bliver opdateret. Du kan tjekke dine plugins ved at gå ind under Plugins > installerede plugins. Her klikker du på Vis detaljer på de enkelte plugins for at tjekke hvornår det senest er opdateret osv. Se billederne nedenfor.

Hvis muligheden for Vis detaljer ikke er på dine plugins, så er det fordi det er et plugin som ikke findes i WordPress.org's arkiv. Her skal du i stedet søge info på udviklerens hjemmeside. Det kan være plugins købt via envato market, Elegant Themes eller lignende.

Det er ikke nok bare at sikre sig at alt er opdateret og i den fineste orden. Du skal også sørge for at have et stærkt brugernavn og adgangskode til din hjemmeside, ja faktisk alle steder du har brug for at brugernavn og et password. Et brugernavn som Admin, Test, kundeservice, support osv. er ret nemt for hackere at bryde. Du skal ud i at lave skøre og svære brugernavne og adgangskoder, gerne med tegn som ! @ og andre bogstaver som ikke lige er logiske i forhold til dit domæne og det du sælger.

Ved hjælp af f.eks. Wordfence kan du spærre for brugernavne som Admin, test, kundeservice osv., da disse er nogle af dem hackerne vil teste af år de sætter et angreb i gang.

Din webhost (one.com, unoeuro.com, surftown.com, gigahost etc.) har højst sandsynligt en backup af din side liggende i deres arkiv, men derfor anbefaler jeg alligevel at du selv sørger for at tage backup også. Den backup som din host har liggende er ca. 30 dage gammel. Hvis du jævnligt tilføjer nyt til din hjemmeside, så er det arbejde jo spildt hvis du ikke selv har backup'en liggende. Desuden så tager det også tid at skaffe og genskabe backup'en fra din webhost. Hvis du selv har backup'en liggende og mulighed for selv at installere backup'en så kan du være kørende igen på meget kortere tid.

Jeg bruger selv blandt andet det plugin der hedder Updraftplus backup. Her kan du nemlig vælge at backup'en skal sendes til f.eks. google Drev. Det sikrer dig at din backup ligger eksternt, og ikke lige for næsen af hackeren hvis de kommer ind på dit webhotel. Plugin'et giver dig også mulighed for at lægge backup'en på dit webhotel, men det anbefaler jeg ikke, da du kan risikere at alt indhold på din side bliver inficeret af virus fra hackerangrebet. Jeg anbefaler at tage backup ugentligt samt at gemme 2-3 versioner (uger tilbage). Når du har foretaget store ændringer, så sørg for at tage en kopi af backup'en, gem denne i en anden mappe end sædvanligt så den ikke overskrives. På den måde har du en ekstra livline hvis det bliver nødvendigt.

For at forhindre Brute Force Attacks, automatisk angreb mod hjemmesider, så anbefaler jeg at man installerer et sikkerhedsplugin som f.eks. Wordfence, Sucuri eller Ithemes security. Disse plugins kan indstilles således at man får spærret IP-adressen hvis man x antal gange forsøger at logge ind med forkert brugernavn eller password. Et Brute force attack går efter svagheder på hjemmesiden, så findes der den mindste vej ind så skal de nok komme igennem. Det er ikke så fedt at få sin side inficeret med virus.

Det kan være en dyr affære at få ryddet op i, så sørg nu for pokker for at have sikkerheden i orden.