Enkel sikkerhetssjekkliste for WordPress-nettsteder

Visste du at over 100.000 nettsteder blir hacket daglig? Det er riktig, nettkriminalitet er en alvorlig trussel for ethvert selskap, og noen med et WordPress-nettsted er heller ikke trygge. Jeg har hatt et innkjøring med hackere (og måtte gjenopprette WordPress-nettstedet mitt), og du vet sikkert at det var stygt.


Hackere leter aktivt etter sårbare nettsteder for å bryte og stjele data som de kan gi ut for økonomisk gevinst eller ren ondsinnet hensikt. For å beskytte deg selv og ditt dyrebare nettsted, bør du seriøst tenke på å herde din WordPress-sikkerhet.

Tatt i betraktning at du vil miste inntekter, tid og krefter når hackere bryter inn på nettstedet ditt, har vi laget følgende sikkerhetskontrolliste som du kan bruke til å sikre WordPress-nettstedet ditt. Alle sikkerhetsartiklene i innlegget er relativt enkle å implementere, selv for førstegangsfødere:

Som du kan se, vil vi dele innlegget i flere deler som dekker alt fra å velge en sikker vert til å forherde administrasjonsområdet ditt og andre. Du må gjenta noen sikkerhetsoppgaver, for eksempel å oppdatere temaene regelmessig. Andre oppgaver er en engangs ting, men har fortsatt en betydelig innvirkning på å holde nettstedet ditt sikkert. Sjekk hva du trenger å fikse, og gjør det med en gang fordi hackere ikke kaster bort tid.

Enkel WordPress sikkerhetssjekkliste

1. Oppdater WordPress

WordPress core blir regelmessig revidert og sjekket for sikkerhetsproblemer. Hvis sikkerhetsfeil og feil oppdages, slipper vanligvis kjerneutviklere vedlikeholdsoppdateringer. Mindre oppdateringer installeres automatisk på WordPress-nettstedet ditt.

Du må imidlertid oppdatere WordPress manuelt for alle større utgivelser. Det er en relativt rett frem prosess siden du får en irriterende melding i WordPress-administratoren din. Bare 22% av nettsteder kjører på den nyeste versjonen av WordPress, noe som er trist med tanke på hvor enkelt det er å oppdatere.

Ikke vær med i de resterende 78% siden du i det vesentlige utsetter nettstedet ditt for alle slags angrep ved ikke å oppdatere nettstedet ditt. Vanligvis er hackere den første gruppen som lærer om sårbarheter i gamle versjoner, siden de stoler på feilene til å starte vellykkede angrep.

Før du oppdaterer WordPress, anbefaler vi å lese utgivelsesnotatene for å se hva som er endret og ta en sikkerhetskopi av nettstedet ditt (bare for å være sikker). På denne måten kan du nå forvente deg når du klikker på den oppdateringsknappen, og du har en feil, hvis noe skulle gå galt.

2. Oppdater temaer og plugins

Mens du oppdaterer WordPress-kjernen, ikke glem å oppdatere temaene og pluginene dine. Hackere er spesielt glad i gamle temaer og plugins med kjente sikkerhetshull.

De utnytter disse sikkerhetsproblemene og kan til og med skjule en bakdør i et gammelt tema eller plugin. Hvis du ikke oppdaterer, kan de hacke nettstedet ditt når det behager dem.

For å unngå å miste dine egendefinerte stiler, anbefaler vi å bruke et WordPress-barnetema i motsetning til overordnet tema. På den måten mister du ikke tilpasningene dine når du oppdaterer temaet.

Du bør også eliminere alle inaktive temaer, plugins og ubrukte WordPress-installasjoner. Ikke bare vil du spare båndbredde og gjøre nettstedet ditt raskere, men du vil også holde hackere i sjakk.

Nok en rask merknad, aldri last ned “nullet” premium-temaer og plugins. Gå bare med pålitelige kilder som WordPress.org, Envato eller annen anerkjent temabutikk.

3. Bruk unike og sterke passord

Du vil bli overrasket over å høre at de fleste nettsteder er hacket når skurkene stjeler innloggingsinformasjonen din. I tillegg er brute force-angrep ganske vanlig og innebærer å bombardere innloggingssiden din med tusenvis av kombinasjoner av brukernavn og passord til noe gir.

Hvis du bruker svake brukernavn og passord (for eksempel den beryktede “admin” eller “12345”), gjør du det utrolig enkelt for hackere å bryte seg inn på nettstedet ditt. Få for vane å lage unike og sterke passord som du endrer regelmessig. Du kan til og med bruke en gratis online generator, som denne fra Lastpass.

Det kan være et problem å håndtere mange sterke passord. For å hjelpe, er jeg ofte avhengig av passordadministratorer som 1Password eller LastPass, blant andre. Ikke bruk det samme passordet på flere nettsteder, og hold alltid innloggingsinformasjonen din trygg. Forsikre deg om at WordPress-brukerne dine bruker sterke passord også.

Mens du er inne på det – husk å bruke sterke passord for e-post-, cPanel-, MySQL-databaser og FTP-kontoer også.

4. Installer en WordPress Security Plugin

Hver gang jeg oppretter et nytt WordPress-nettsted, har jeg vanligvis flere defacto-plugins jeg installerer nesten automatisk. Jeg får en anti-spam-plugin, kontaktskjema 7, enkle kortkoder og iThemes Security, min go-to WordPress sikkerhetsplugin.

Plugin-enheten lar meg forsterke WordPress-forsvaret uten å brekke svette. Den har så mange funksjoner som gjør det mulig å holde skurkene utenfor nettstedene mine. Det er superduper enkelt å konfigurere plugin-en; du bør være i gang på kort tid.

De beste WordPress-sikkerhetspluginene tilbyr forskjellige funksjoner, så husk å sjekke før du installerer for å sikre at du får alle funksjonene du trenger for å sikre hele nettstedet ditt, uansett hvor unik du har. Standardfunksjoner inkluderer skanning av skadelig programvare, IP-blokkering, forebygging av brute-force, tofaktorautentisering og mye mer – sjekk mange av boksene for denne sikkerhetskontrollisten du leser akkurat nå.!

5. Velg Great WordPress Hosting

Nybegynnere springer vanligvis for den første billige hostingpakken de kommer over. Jeg vil ikke holde det mot deg siden du ikke vet noe bedre, men tvilsomt billig (eller til og med gratis) delt hosting kan utsette deg for sikkerhetsrisiko. Jeg vet dette for et faktum siden jeg har blitt hacket på to forskjellige hosting selskaper som tilbyr delt hosting.

Delt hosting innebærer å dele en server med tusenvis av andre nettsteder. Dette øker risikoen for kontaminering på andre steder. Det vil si at en hacker kan få tilgang til nettstedet ditt selv om andres nettsted var det opprinnelige angrepspunktet.

Administrert WordPress-hosting fokuserer derimot bare på WordPress-nettsteder. Du deler ikke en server med andre, og du får flere sikkerhetsalternativer for å holde deg trygg. De tilbyr dedikert støtte også, og flere utvinningsalternativer bør det verste skje.

Hvis du må bruke delt hosting, kan du si at du begynner med en blogg som ikke tjener penger ennå, sørg for at nettstedene er isolert eller “fengslet.” Hvis du driver en bedrift eller e-handel nettsted, lønner det seg å bruke den beste WordPress-hosting du kan passe inn i budsjettet ditt fra ordet go – for eksempel VPS, dedikert eller administrert WordPress hosting.

6. Bruk SSL (HTTPS)

I dag tilbyr mange WordPress-vertsfirmaer gratis SSL-sertifikater fra ordet og av en god grunn. SSL-sertifikater gjør nettstedet ditt sikrere enn nettsteder uten SSL. Google anbefaler også å bruke SSL-sertifikater for å beskytte data på nettstedet ditt (og sørge for at brukerne vet om du bruker SSL eller ikke).

HTTPS er sikrere enn forgjengeren HTTP. Et nettsted som bruker HTTPS krypterer alle dataene som beveger seg mellom brukerens nettleser og serverne dine. Hvis en hacker avskjærer kommunikasjonen, vil de bare finne krypterte data som er like nyttige som en enbeint mann i en rumpesparkkonkurranse ��

Det er like enkelt å installere SSL-sertifikater på de fleste webhotellene som A, B, C. De fleste tilbyr installatører med ett klikk som gjør hele prosessen enkel. Bare logg inn på cPanel og klikk på en enkelt knapp for å installere og administrere SSL-sertifikatene. Hvis du ønsker en mer praktisk tilnærming, kan du vurdere å sjekke ut Let’s Encrypt.

7. Opprett en fullstendig sikkerhetskopi av nettstedet

Da hackere avskrekket meg, måtte jeg gjenoppbygge nettstedene mine fra bunnen av, en hodepine jeg hadde unngått hvis jeg pålitelig hadde husket å ta backup av WordPress.

Men nei, sikkerhetskopiene som fulgte med webhotellet mitt ble ødelagt under angrepet, og nei, jeg hadde ikke en sekundær sikkerhetskopiløsning. Et klassisk tilfelle å legge alle eggene dine i en kurv som lærte meg en vanskelig leksjon.

Nå for tiden lager jeg fullstendige sikkerhetskopier på nettstedet som inkluderer nettstedfiler og databaser. Jeg bruker hovedsakelig ManageWP, men jeg bruker også Duplicator-plugin for å lagre sikkerhetskopier på datamaskinen min og i Google Drive.

Jeg oppfordrer deg til å lage fulle sikkerhetskopier regelmessig. Mange WordPress-sikkerhetskopieringsløsninger lar deg automatisere hele prosessen, sparer tid og gir deg ro.

8. Bruk en Web Application Firewall (WAF)

Hvis du vil legge til et ekstra lag med sikkerhet på WordPress-nettstedet ditt, og sove bedre om natten, kan du aktivere en nettapplikasjonsbrannmur (WAF). En WAF beskytter nettstedet ditt ved å blokkere ondsinnet trafikk lenge før det kommer til nettstedet ditt. Det er et proaktivt tiltak for å stoppe skurkene som er døde i sporene deres før de forårsaker noen skade.

Brannmuren filtrerer innkommende trafikk og eliminerer hackere mens du slipper legitime brukere igjennom. Mange WordPress sikkerhetsfirmaer tilbyr nettapplikasjonsbrannmurer sammen med andre funksjoner. Populære alternativer i bransjen inkluderer Sucuri og Cloudflare.

9. Deaktiver filredigering i WordPress Admin

WordPress CMS kommer med en fantastisk kodeditor som lar deg redigere plugin- og temafiler inne i WordPress admin-dashbordet. Kodeditoren er et flott verktøy å ha til disposisjon, men i gale hender kan hackere bruke den til å forhindre eller legge til skadelig programvare på nettstedet ditt.

Du kan alltid redigere tema- og plugins-filene dine (om nødvendig) via FTP eller filbehandler i cPanel, noe som betyr at du helt kan deaktivere kodeditoren i WordPress. Du vil ikke at hackere som får tilgang til WordPress-adminområdet ditt, skal ha tilgang til kodeditoren, fordi de kan forårsake mye skade med noen få linjer med kode.

Hva å gjøre? Du kan deaktivere den innebygde kodeditoren med gratis Sucuri Security plugg inn. Alternativt kan du legge til følgende kode til din wp-config.php fil:

// Tillat redigering av filer
definere ('DISALLOW_FILE_EDIT', sant);

Vi går videre.

10. Sikre innloggingssiden

Vanligvis har påloggingsskjemaet på WordPress din to felt; brukernavn og passord. Når brute force angripere og roboter blir smartere om dagen, hvordan hindrer du hackere i å få tilgang til ditt WordPress admin-område? Det er enkelt; legger du til CAPTCHA eller sikkerhetsspørsmål som gjør det vanskeligere for noen å få uautorisert tilgang.

Og du trenger ikke redigere kode til legg til CAPTCHA eller sikkerhetsspørsmål til innloggingssiden din. Det er en populær WordPress-plugin kjent som WP sikkerhetsspørsmål det er enkelt å konfigurere og bruke. Hvis du vil bruke CAPTCHA, kan du bruke det Enkel innlogging Captcha, WordFence, eller et av de mange andre alternativene som er gratis tilgjengelig på WordPress.org.

På samme tid kan du det endre wp-login URL til noe unikt. På den måten vil roboter og hackere ha vanskelig for å gjette URL-en til innloggingssiden din. wp-login er allerede populært blant hackere, så det er perfekt fornuft å endre URL til noe annet. Du kan bruke en plugin som WPS Skjul pålogging.

11. Legg til autentisering

I tillegg kan du vurdere å implementere tofaktor- og flerfaktorautentisering. I tilfelle en hacker får tilgang til påloggingsdetaljene dine, vil de ikke kunne logge seg på WordPress-nettstedet ditt. Det er mange alternativer tilgjengelig, men Google Autentisering er et populært valg.

Annet enn det, begrens påloggings på innloggingssiden. Hvis en besøkende prøver å logge inn med en konto som ikke eksisterer eller prøver å logge inn mange ganger, er de mest sannsynlig en hacker eller bot som prøver å brute-force sin vei inn. Du kan bruke en plugin som f.eks. Begrens påloggingsforsøk eller Innloggingslåsing for å holde disse påtrengende elementene borte.

12. Logg ut inaktive brukere

Når du har et WordPress-nettsted med flere brukere, kan du ikke kontrollere hvordan eller hvor brukere får tilgang til nettstedet ditt. En forfatter kan bestemme seg for å bruke gratis offentlig Wi-Fi for å gjøre endelige detaljer på en artikkel. En nettdesigner kan forlate skrivebordet sitt og returnere fra en times times lunsjpause.

I slike scenarier kan brukeren din uvitende utsette nettstedet ditt for sikkerhetsrisiko. En ondsinnet person kan ta over økten sin, redigere detaljene sine og bare krenke ødeleggelser. Hvis den uvedkommende vet hva de gjør, kan de lett overta brukerens konto og gjøre skade.

Hva å gjøre? Du kan logge ut inaktive brukere automatisk etter en forhåndsdefinert periode. Og den beste delen? Det er plugins for akkurat dette formålet. Et populært alternativ er Inaktiv avlogging plugin som inkluderer alternativer for å tilpasse hviletid før utlogging, tilpasset popup-melding eller omdirigering ved utlogging og tidsavbrudd i henhold til brukerrolle.

13. Søk etter skadelig programvare og problemer (regelmessig)

Ofte glemt, hvis du skanner WordPress-nettstedet regelmessig, kan du hjelpe deg med å identifisere sikkerhetsproblemer tidlig. Det tar bare et sekund for en hacker å bryte seg inn på nettstedet ditt og gjøre alle slags ekle ting. Dette er nettopp grunnen til at du til enhver tid skal være på topp.

Mange WordPress-sikkerhetsplugins for å søke etter malware-infeksjoner, kjente sikkerhetsproblemer, utdaterte skript, brute force-angrep, ikke-eksisterende sikkerhetskopier og så videre. Pluginsene sender deg detaljerte rapporter om kjente problemer, slik at du kan fikse dem eller ansette en profesjonell.

Det er mange nettstedsskannere, for eksempel Sucuri SiteCheck, som du kan bruke til å sjekke nettstedet ditt på et øyeblikk. Alt du trenger å gjøre er å oppgi URL-en din, og verktøyene vil sjekke nettstedet ditt automatisk. Etter det tilbyr de deg en rapport om hva du trenger å fikse. Når du har rapporten, må du rette alle sikkerhetsproblemer umiddelbart.

14. Bruk en VPN

Hvis du driver et nettsted som har sensitiv informasjon som aldri må komme i hendene på hackere, kan du vurdere å bruke et virtuelt privat nettverk (VPN), mer når du bruker gratis offentlig Wi-Fi. En VPN beskytter deg mot angrep fra mennesker som er vanlig i offentlige nettverk, inkludert hjemme og på jobb.

Et virtuelt privat nettverk sørger for at selv om angriperne får tilgang til systemet og stjeler detaljene dine, kan de ikke gjøre noe med dataene de tar fra deg. Hvis du har et Internett-nettverk som du deler med mange mennesker, må du alltid bruke en VPN før du får tilgang til WordPress-administratorområdet.

Andre WordPress sikkerhetsalternativer

Trenger du mer å gjøre? Vi vil gjerne holde nettstedet ditt sikkert til enhver tid, så her er bonussikkerhetselementer du kan legge til i sjekklisten din:

  • Deaktiver PHP-filutførelse i / wp-content / wp-uploads /
  • Endre WordPress-databaseprefikset
  • Passordbeskytte administrator- og påloggingssidene på serversiden
  • Deaktiver katalogindeksering
  • Deaktiver WP REST API og XML-RPC hvis ikke nødvendig
  • Ikke rediger / endre WordPress-kjerne – skriv eller bruk en plugin som tilbyr funksjonaliteten du trenger i stedet
  • Forsikre deg om at nettstedet ditt kjører den nyeste versjonen av PHP
  • Bruk et antivirusprogram på datamaskinen din
  • Aktiver Google Search Console
  • Reduser XSS og SQL Injection sårbarheter (du trenger kanskje en mer teknisk kunnskapsrik person for å hjelpe med disse to)

Antall trinn du kan ta for å beskytte nettstedet ditt er uendelig. Men hvis du kan sjekke ut de 14 varene vi har oppført, er det et enormt skritt å sikre nettstedet ditt.


Å sikre WordPress-nettstedet ditt er utfordrende, men ikke umulig. Med de riktige verktøyene og ferdighetene kan du raskt forherde din WordPress-sikkerhet og holde de dårlige skuespillerne borte.

Som en sammenfatning, hold alltid nettstedet ditt oppdatert. På toppen av det må du aldri laste ned temaer eller plugins fra upålitelige nettsteder. Og å være på den sikre siden skulle det verste skje, ha alltid en pålitelig sikkerhetskopiløsning på plass.

Vi håper du fant alle tipsene du trenger for å sikre WordPress-nettstedet ditt, derav online-virksomhet. Hvis du har et spørsmål eller trenger hjelp med å finne ut hvordan du sikrer WordPress-nettstedet ditt, vennligst gi oss beskjed i kommentarene. Hold deg trygg!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me