WordPress Security

WordPress er et enormt populært programvare med full åpen kildekode. Det flotte med sikkerhetsmessig er det at det er et enormt samfunn som jobber med det, og som er i stand til å oppdage feil og sikkerhetsrisiko raskere enn man måtte gjøre med en egen CMS-løsning. (Det er vanskelig å finne ut om svakheter når en måte å finne ut av det faktisk er å utnytte svakheten, og å ha en enorm brukerbase gjør oppdagelsen mye mer sannsynlig.)


Ulempen er at hackere med dårlige intensjoner vet nøyaktig hvordan nettstedet ditt er bygget. De har allerede ‘blåkopien’ på nettstedet ditt. Og hvis det er noen svakheter i kjernen, temaene eller pluginsene du bruker, er det noe de vil kunne vite uten å få tilgang til backend på nettstedet ditt.

Så i dette innlegget skal jeg vise deg hvordan du fikser 5 sikkerhetstrusler som er til stede i en fullstendig standardinstallasjon av WordPress. (Hvis du allerede har tatt noen forholdsregler, kan det hende at du allerede har fikset en eller to, men det er viktig å fikse alle fem for å minimere risikoen for å bli hacket.)

Nettstedet ditt viser at du bruker WordPress, pluss versjonen

WordPress versjon

Standardversjonen av WordPress vil ha kodelinjer som gir bort at nettstedet ditt er bygget ved hjelp av WordPress, til og med ned til versjonen til folk som vet hvor de skal se. Avhengig av temaet, kan det til og med vises visuelt på hver side på nettstedet ditt.

Årsaken til at dette kan være en sikkerhetsrisiko, er at folk kan målrette mot nettstedet ditt uten andre grunner enn at det er bygget på WordPress. Hvis noen finner en sikkerhetssvakhet i WordPress-kjernen, et tema eller plugin, kan de finne veien til nettstedet ditt for å utnytte det. Mens du hadde lagt skjul på at nettstedet ditt ble bygget med WordPress, ville folk som søker etter WordPress-nettsteder ved å bruke bots eller gjennomsøkere bli lurt til å tro at nettstedet ditt ikke var et levedyktig mål.

Slik løser du det:
For å fikse dette kan du bruke Hide My WP Plugin. Med denne nyttige lille plugin kan du unngå unødvendig trafikk på serveren din, og samtidig forbli trygg mot angrep som spesifikt er rettet mot WordPress-nettsteder.

Alle vet hvor innloggingssiden / administrasjonsområdet ditt ligger

WordPress-pålogging

Hvis du fremdeles viser at du bruker WordPress (alias, ikke aktivt gjemmer det ved å for eksempel bruke en plugin som Hide My WP), vil folk med dårlige intensjoner allerede vite hvor de skal prøve et angrep på brute-force på nettstedet ditt.

Slik løser du det:
For å fikse denne trusselen, og drastisk redusere sjansene for å bli hacket, og for å redusere server stress, må vi hindre ondsinnede mennesker og roboter i å nå innloggingssiden vår.

Det er to hovedmåter å gjøre dette på. Du kan enten endre den fysiske plasseringen av innloggingssiden din til noe annet ved å bruke en plugin (eller noen få kodelinjer), eller du kan begrense tilgangen til innloggingssiden og adminområdet med IP-adresser. Du kan gjøre dette med en plugin dedikert til akkurat denne tingen, eller med en sikkerhetsplugin som Sucuri, Wordfence, iThemes Security Pro eller Alt i ett WP Sikkerhet og brannmur.

WordPress har en standard tabellprefiks som alle bruker

WordPress Table Prefix

Et tabellprefiks er det som kommer foran navn på tabeller i databasen din. I stedet for brukere, med standard WordPress-prefikset, ville det være wp_users. Hvis du bruker standard tabellprefikset, gjør det det enklere for folk å få tilgang til nettstedet ditt ved å utnytte mulige svakhetsinjeksjonssvakheter. Fordi de vet nøyaktig hvor de skal injisere informasjon i databasen din for deretter å få tilgang til nettstedet ditt.

Jeg har faktisk fått et av nettstedene mine hacket på grunn av sql-injeksjon, så dette er en veldig virkelig trussel som du trenger å ta tiltak mot.

Slik løser du det:
Heldigvis er det veldig enkelt å fjerne denne trusselen. Hvis du allerede har installert WordPress ved å bruke standard wp_-prefikset, kan du enkelt endre det ved å bruke en plugin som Sucuri. Først må du ta sikkerhetskopi av databasen før du bruker dette alternativet, da det er en mindre sjanse for at noe går galt. Du kan gjøre dette med et klikk på en knapp. Da kan du velge et nytt prefiks, eller ganske enkelt la Sucuri tilfeldig generere det nye prefikset for deg.

Merk: Hvis du bare installerer WordPress for første gang, kan du endre det i installasjonsgrensesnittet.

WordPress Theme & Plugin-filer kan redigeres via dashbordet

WordPress Plugin Editor

Problemet med dette er at hvis en hacker får tilgang til nettstedet ditt, kan de gjøre mye skade. De kan gjøre nettstedet ditt til å angripe andre mennesker med skadelig programvare (som kan ende med at nettstedet ditt blir satt på Googles svarteliste og avindeksert fra søkemotorer), forskyve nettstedet ditt eller enkelt åpne bakdører.

Slik løser du det:
Du kan enten legge denne kodelinjen til wp-config.php-filen:

definere ('DISALLOW_FILE_EDIT', sant);

Eller bruk en sikkerhetsplugin for å gjøre det for deg (som i utgangspunktet bare vil sette inn den linjen med kode for deg). Det eneste problemet er at det er plugins som lar folk slå denne funksjonen av og på, så en veldig dedikert hacker kan være i stand til å installere en plugin, slå på plugin og deretter få tilgang til redigeringskode uten FTP-tilgang.

Hvis du vil være ekstremt grundig og beskytte mot dette, kan du deaktivere alle plugin- og temaoppdateringer / installasjon ved å legge denne kodelinjen til wp-config.php:

define ('DISALLOW_FILE_MODS', true);

Men selvfølgelig vil dette bety at du må endre verdien til falsk hver gang du ønsket å oppdatere eller installere et plugin eller et tema (vi anbefaler ikke dette alternativet, ettersom å holde temaer og plugins oppdatert er en av de beste måtene for å sikre at nettstedet ditt er mindre sårbart).

WordPress har veldig åpne brannmurinnstillinger som kan tillate at selv kjente ondsinnede roboter forsøker angrep

WordPress Firewall Serrings

Standard brannmurinnstillinger for WordPress er faktisk på den liberale siden. Dette betyr at noen uønskede roboter og andre uønskede besøkende får grønt lys.

Slik løser du det:
Du kan gjøre dette bedre ved å installere de grunnleggende 5G-svartelistebrannmurreglene, ved å enten kopiere den manuelt til .htaccess-filen din ((du finner den her) eller ved å installere denne plugin, eller bruk en sikkerhetsplugin for å optimalisere reglene i .htaccess-en din.

Ubegrenset WordPress-påloggingsforsøk

Mens standardinnstillingen faktisk er ubegrensede påloggingsforsøk, kan du ha valgt å begrense påloggingsforsøk da du installerte WordPress på nettstedet ditt. Hvis du ikke gjorde det, er det imidlertid en utrolig enkel løsning.

Slik løser du det:
Bare installer Begrens innloggingsforsøk-plugin. Eller, hvis du bruker WPEngine-hosting, dette er en funksjon de allerede har innebygd for deg – ingen plugin kreves! Hvis du allerede beskytter påloggingsområdet ditt ved bare å la dine egne IP-adresser få tilgang til dashbordet, trenger du ikke å gjøre dette. Men hvis du bare gjemte adressen til innloggingssiden din, er det en fin dobbel beskyttelse mot potensielle angrep fra brute-force.

Konklusjon

Cyberkriminalitet vokser raskt, og internett er på vei til å bli hjemsted for flere kriminelle enn ‘den virkelige verden’. I noen land har dette allerede skjedd. Og selv om mye av dette er kredittkort og banksvindel, er det et økende antall hackere der ute, og som eiere av nettsteder må vi beskytte oss selv og nettstedene våre så godt vi kan.

Selv om en standardinstallasjon av WordPress har noen svakheter, er skjønnheten i WordPress virkelig lett å løse noen av problemene dine med nettstedet ditt, inkludert sikkerhetstruslene som er nevnt i dette innlegget. Utover å ha et unikt brukernavn og et sterkt passord, ved å installere en sikkerhetsplugin, redigere noen innstillinger og kanskje sette inn en linje med kode eller to, kan du allerede redusere risikoen for at nettstedet ditt blir hacket eller infested med malware.

Har du tatt noen tiltak for å forbedre sikkerheten til ditt WordPress-nettsted? Hvilken type? Vi vil gjerne høre noen av tipsene dine og triksene dine! Gi oss beskjed i kommentarene.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me