Det er alltid morsomt og spill til du ikke kan logge deg på din kjære WordPress-webside fordi skurkene overtok. Alt moro og spill til noen blir hacket, mister tilgangen til WordPress admin dashbord og helvete løsner.


Dine stemninger tar den første hiten. De demper raskt når du oppdager at du er blitt avskediget. Det er vondt og frustrerende å si det mildt, fordi vel, noen fyr der ute tuller med levebrødet ditt, blander seg i virksomheten din og spytter i ansiktet ditt.

Og gutt, vil du begynne å handle, og kjørende med å prøve å gjeninnføre ditt WordPress-nettsted, derav virksomheten, til sin tidligere prakt. Stol på meg, du vil ikke bli hacket, ingen gjør det. Men likevel skjer det med alle og forskjellige på en daglig basis.

Imidlertid har vi alltid dine beste interesser på hjertet, og som sådan har vi satt sammen flere tiltak du kan bruke for å styrke WordPress-sikkerhet og redusere sjansene for å være ubudne gjester.

Med disse beste sikkerhetsrutiner for WordPress, ønsker vi at du skal ha den mest sikre av WordPress-nettsteder. Vi vil gjøre vårt beste for å dele poengene, men hvis du trenger hjelp til noe, kan du stille spørsmålene dine og / eller dele din mening i kommentarene.

La oss herde WordPress-nettstedet ditt.

Start med WordPress-kvalitet

Velge en vertsplan

Du kan absolutt ikke forvente sikkerhetsnivå fra en webhotell som belaster en dollar per måned. Vi har alle sett de “vi-har-det-alt-for-en-en-krone” vertsplanene. De lyssky planene fra skyggefulle vertsselskaper som lover himmelen for så lite som $ 2 til $ 4 dollar i måneden. Å, er de ikke så lokkende?

De er hovedsakelig delte hosting-pakker som vil ha nettstedet ditt, derav virksomheten din, som bor på den samme serveren med en million og en annen side. Alle slags nettsteder – på godt og vondt. De er vanligvis mindre sikre i motsetning til å si, administrert WordPress-hosting som koster rundt $ 30 i måneden.

Hvis og / og når et av nettstedene er kompromittert, risikerer du også å bli kompromittert. Faktisk vil du bli kompromittert selv om du er like årvåken som den neste fyren. Den eneste måten å avbøte angrep på nettverten er å gå med en pålitelig vert og sikker hostingplan fra starten.

Å velge den beste WordPress-hosting for bedriften din trenger ikke være noen utfordring, med tanke på at det bare er noen få faktorer å passe på. De inkluderer kostnad, supportkvalitet, retningslinjer for sikkerhetskopiering og datastyring, oppdateringer til serveren og programvare på den og alt annet derimellom.

Sjekk ut artikkelen som er koblet i avsnittet over, og vær opptatt av å velge en elskverdig WordPress-vert basert på blant annet sikkerhetsfunksjoner. Hvis du ønsker å hoppe over forskningen og gå direkte til å være hosting av WordPress-bloggen din på sikre servere, bruker vi, elsker og anbefaler WPEngine. De tilbyr førsteklasses WordPress-hosting full av sikkerhetsalternativer som vil blåse i tankene dine. Alt til en god pris. Media Temple og Siteground er også andre gode WordPress-hosting-valg.

Bluehost delt hosting er et godt valg også for nybegynnere som tester vannet, men hvis du trenger sikker hosting for ditt WordPress-nettsted, må du oppgradere fra den delte hostingpakken til en av de andre pakkene.

Hvorfor er verten din så viktig? Jeg har blitt hacket tre ganger (ja, tre ganger) på den delte pakken deres. Vel, det var delvis min skyld da jeg forsømte offerets nettsteder, noe som ga hackere en feltdag å spille som de ønsket. Jeg har siden trukket nettstedene ned fordi de var en potensiell risiko for andre nettsteder på den aktuelle serveren (hold deg rundt, så vi vil nevne en ting eller to om hvordan neglisjering av nettstedet ditt kan føre til ekle innkjøringer med avskum av internett aka hackere. fokusert; vær oppmerksom eller så betaler du med nettstedet ditt).

Tilbake til å velge WordPress-hosting av høy kvalitet, hvordan gjør du det? En enkel telefonsamtale til det valgte webhotellet bør være nok. Du må ta sikte på å se om de kjører de nyeste serverne. Spør om serverversjonene deres, sikkerheten til nevnte servere og programvaren de kjører på disse serverne.

Så gjennomfør et raskt Google-søk for å sjekke (eller bekrefte) utgivelsesdatoene for serverprogramvaren. Dette bør gi deg en pekepinn på om de kjører den nyeste programvaren eller ikke. Det vil også hjelpe deg å finne ut hvor hyppig de oppdaterer serverne sine. Hvis de går over lengre tid uten oppdateringer, bør du ikke stole på dem med din online virksomhet.

Vær årvåken og still andre relaterte spørsmål, og stopp aldri før du er fornøyd med at ditt er det sikreste webhotellet pengene kan kjøpe.

Gjør hø mens solen skinner, og vær forberedt

Sikkerhetskopi av datamaskinnøkkel i blått for arkivering og lagring

Sikkerhetskopi av datamaskinnøkkel i blått for arkivering og lagring

Selv om det kanskje ikke hindrer skurkene å bryte seg inn i WordPress-bloggen eller nettbutikken din, kan beredskapen redusere virkningen av angrepet. Jeg snakker om sikkerhetskopier av data her min venn; vanlige sikkerhetskopier som vil beskytte deg mot å miste viktige data.

En sikkerhetskopi gir deg trygghet slik at du kan sove bedre om natten. En sikkerhetskopi er hurtigløsningen du ønsker når ting går sør. Når det fantastiske oppskriftsstedet ditt begynner å handle Viagra på alle sider, kan du bare stole på en sikkerhetskopi for å komme seg etter et slikt angrep.

Du bør ta sikte på å ta sikkerhetskopi av hele WordPress-installasjonen; kjernefiler, databaser og alt annet. Eksperter anbefaler videre å kryptere sikkerhetskopiene og lagre en kopi av det samme på skrivebeskyttede medier.

Du kan enkelt planlegge daglige sikkerhetskopier eller dra nytte av verktøy som f.eks MySQL arbeidsbenk, WordPress Database Backup (WP-DB-Backup) og BackWPup blant andre. Du kan lære mer også:

WordPress-plugins

Akkurat her om dagen, Ryan Dewhurst av WPScan oppdaget (og rapportert) en blind SQL-injeksjonssårbarhet i WordPress SEO av Yoast. Nå er WordPress SEO av Yoast en populær SEO-plugin, hva med over en million aktive installasjoner. Dette betyr at hvis en hacker skulle utnytte dette sikkerhetshullet, ville de hatt mer enn en million WordPress-nettsteder på deres nåde. En million pluss nettsteder!

Å nei takk, ikke bli skremt. Yoast lanserte en sikkerhetskorreksjon samme dag sårbarheten ble oppdaget. Det er imidlertid bare ett problem. I motsetning til WordPress, oppdateres ikke plugins automatisk, noe som betyr at du fremdeles er sårbar hvis du ikke har oppdatert til den siste versjonen av WordPress SEO.

Du kan like gjerne argumentere for at du ikke visste noe om dette, men hackere har alle detaljene siden informasjonen er i det offentlige, der den er lett tilgjengelig for alle. Hva faen venter du på? Trykk allerede på oppdateringsknappen. Oppdater alle andre plugins.

Fortsatt på denne WordPress-plugin-virksomheten, bør du bare kjøpe eller laste ned WordPress-plugins fra pålitelige kilder. For å være på den sikre siden, kan du hente plugins fra det omfattende WordPress Plugin Repository eller fra anerkjente leverandører som CodeCanyon.

Det er hackere som vil maskere som legitime plugin-utviklere i et forsøk på å tjene deg plugins som er foret med ondsinnet kode. Ikke fall for billige triks, hent pluginene dine fra pålitelige nettsteder. I tillegg må du ikke la inaktive plugins ligge – slette alle ubrukte plugins fordi de er et favorittinngangspunkt for hackere. Ja, det er de også når de er deaktivert.

For øvrig, med mindre du er interessert i WPEngine og Siteground, ikke stole på webhotellet for å holde deg trygg når det gjelder plugin-sårbarheter – ta ansvar og bite i kulen.

WordPress-temaer

Hvis hackere ikke vil tvinge seg inn via utdaterte, kompromitterte eller dårlig kodede plugins, vil de finne smutthull i temaene dine. Faktisk skjer de fleste angrep via temaer og plugins, så ja, du må være ekstra årvåken her.

For det første, akkurat som med WordPress-plugins, har du ikke råd til å løpe rundt og plukke opp temaer hvor som helst. Du vil fange et virus, skadelig programvare eller verre, og så gråte stygt når du ikke treffer viften.

Hvis du jobber med et veldig stramt budsjett eller bare begynner, kan du sjekke ut noen av våre gratis, men profesjonelt kodede WordPress-temaer, eller tusenvis av gratis temaer på WordPress.org. For øyeblikket bruker jeg gratis Elegant Theme fra vår egen stall, og det har virket underverker. Se? Ikke noe forkynnende vann og innbydende vin her ��

På premiumtemaer, vil et flott tema gi deg tilbake $ 60 dollar på noen av de beste temamarkedene som Elegante temaer og Themeforest. Du får blant annet et flott produkt, toppskuffstøtte og sikkerhetsoppdateringer. Hvis du trenger å peke i riktig retning, vil jeg gjerne anbefale det nådige Total WordPress-temaet som intet mindre enn vakkert og sikkert.

Du bør forsøke å holde temaet / temaene dine oppdatert til enhver tid, for ikke å gjøre problemer med retten. Når det er sagt, slett alle ubrukte temaer av åpenbare grunner.

Hvis du har litt ekstra grønt å bruke eller selv er WordPress-utvikler, kan du se på å lage dine egne tilpassede temaer. Dette er det eneste sikre, om enn kostbare middelet for å få sikre WordPress-temaer.

Selvfølgelig må du (eller utvikleren din) følge de beste webkodingsstandardene og oppdatere tema (er) om nødvendig. Hvis du ansetter en webutvikler for å bygge et tema, må du forsikre deg om at de først er anerkjente. Du kan også sjekke om temaet ditt oppfyller de nyeste WordPress-temanormene ved å bruke en plugin som Temasjekk. Går videre…

Oppdater WordPress

wordpress-oppdateringer

Du bør alltid drive din online virksomhet på den nyeste versjonen av WordPress som ikke er bra. Du skulle tro det er åpenbart at alle oppdaterer WordPress regelmessig, med tanke på at vi alle mottar varsel i dashbordet.

Dette er imidlertid ikke alltid tilfelle, for du vil ofte fange online gründere som ikke oppdaterer til den siste versjonen uker og til og med måneder etter at oppdateringen ble utgitt.

Du kan alltid få den offisielle og siste smaken av WordPress hos WordPress.org. Du blir videre advart mot å laste ned eller installere WordPress fra andre nettsteder, fordi du kan fange noe. Noe som er virkelig ille som en utnyttelse av en bakdør, eller noen JavaScript-kode som laster opp søppel og andre hacks til serveren din. Bare last ned ikke WordPress fra noe annet nettsted enn WordPress.org.

Å oppdatere WordPress-installasjonen er enkelt, praktisk – bare et spørsmål om å peke og klikke. Du blir imidlertid anbefalt å ta sikkerhetskopi av nettstedet ditt før noen oppdatering skulle skje i prosessen. På toppen av det mister du alle endringene du hadde gjort i kjernefiler ettersom oppgraderingsprosessen påvirker alle WordPress-filer og -mapper.

Auto-update-funksjonen ble introdusert i WordPress 3.7 for å ta vare på mindre sikkerhetsrettinger og gjøre hele oppdateringsprosessen enklere for både utviklere og sluttbrukere. Nå trenger du bare å bekymre deg for større versjonsoppdateringer, så ja, arbeidet ditt burde være enkelt. Du trenger bare å slå på automatisk oppdatering.

Oppdater, oppdater, oppdater eller gjør deg klar til å angre, angrer, angrer.

Rengjør datamaskinen

Etter videregående for noen ti år siden jobbet jeg kort på en nettkafé. Det var ganske mye interessant da jeg møtte så mange mennesker og gjorde mitt innbrudd i digital markedsføringsverden.

Men det var ikke alltid like gøy takket være ormer, trojanske hester, virus, malware og så videre. Jeg husker at jeg til tider måtte stenge kafeen for dagen bare for å formatere datamaskinene. Det gjorde ikke noe at jeg hadde antivirusprogrammer installert og kjørt på alle datamaskiner. Men jeg kler av.

Hvis noen hacker klarer å få en nøkkellogger på maskinen din som en trojansk hest (noe som betyr at nøkkelloggeren er gjemt i et annet program for å maskere det faktum at hackeren registrerer hvert tasteslag på din PC), vil du aldri sikre nettstedet ditt uansett hva.

Nettstedet ditt vil bli hacket om og om igjen, siden du bare gir innloggingsinformasjonen din til skurkene. Og siden de kan se alle tastetrykkene dine, vil de ha tilgang til online-kontoene dine – alle sammen. Snakk om e-post, Facebook, Twitter, YouTube osv.

Nøkkelhoggere hjelper, det er verre ting på den mørke siden av internett. For eksempel:

Det er faktisk virus i naturen som vil infisere din lokale datamaskin, og deretter se etter åpne FTP-tilkoblinger og automatisk laste opp en hackefil til webhotellet ved å bruke den tilkoblingen. – Brad Williams, låser WordPress

Cyber ​​cafe-datamaskiner er ikke akkurat hvordan du vil ha tilgang til WordPress admin-dashbordet. Kanskje er det uunngåelig, men sørg alltid for at alle datamaskiner du bruker ikke kan skjule skadelig programvare, virus og spionprogramvare. Ellers vil du gi hackere innloggingsinfo og mer på et sølvfat.

Forsikre deg om at operativsystemet og programmene på datamaskinen er oppdatert. Slå deretter på brannmurene dine og få det beste antivirusprogrammet. Jeg ble lei av å formatere datamaskinene hele tiden, så jeg dro på reise for å finne det beste antivirusprogrammet. Og jeg fant det. Siden den gang har jeg brukt og elsket Eset.

Hold deg dessuten borte fra upålitelige nettsteder, men hvis du må det – nysgjerrighet, deaktiver alle skript, dvs. Java, JavaScript, Flash osv. I nettleseren din. Eller bare ikke besøk de blodige effin’ sider.

Lag sterkere passord

reset-wordpress-passord

Det er historietid. Denne gangen hadde jeg en kaffe for mange, og jeg opprettet et WordPress-nettsted som jeg “kreativt” døpte # YouCan’tHackThis. Kreativt er i sitater fordi jeg rir på bølgene på en kaffe høy. Kanskje jeg hadde hatt en drink eller to før kaffen; Jeg kan bare ikke huske det. Jeg lager mange WordPress nettsteder bare for moro skyld.

Brukernavnet mitt var… vent på det… Unhackulture (vi får skylden på kaffen) og passordet mitt var, vel, jeg husker ikke. Det var imidlertid en forveksling, passordet, og nettopp av denne grunnen holdt det aldri bakken når en uhøflig internettperson (eller tingy) traff påloggingssiden med ‘brute force’.

Lang historie kort, forsvaret mine kastet seg inn og # YouCan’tHackDette falt som muren i Jeriko. Google sendte meg den fryktede e-posten “Hacking Suspected” med et eksempel på en URL, og etter nærmere undersøkelser fant jeg masse søppel.

Hackeren hadde frimodighet til å legge ut et skjermbilde av skrivebordet på min elskede # YouCan’tHackDet var som for å plage meg. Han / hun / det hadde tarmer sier jeg deg, for på toppen av skjermbildet var det sider og sider med myk, fillerinnhold som ikke hadde noen retning.

Jeg trakk ned hele nettstedet og økte sikkerheten på de andre nettstedene mine. Jeg installerte iThemes Security, og i dag er alt jeg får e-post om “Lockout Notification”. Hvis noen prøver å tvinge seg inn på noen av nettstedene mine ved hjelp av brute force, er de låst ute i et århundre! Ja, det er 100 år i bin hacker. Haha, jeg blir revet med.

site-lockout-varsel

Svake passord får deg til å bli hacket. Tilsvarende vil det admin-brukernavnet du holder fast så kjært, gjøre det enkelt for hackere. Lag personlige brukernavn når du installerer WordPress, og bruk styrkeindikatoren når du oppretter passordet ditt. Det burde være nok, men hvis du vil gå en ekstra kilometer, bør du sjekke inn 1Password og KeePass verktøy.

Rapporter sikkerhetsproblem

Det er ditt ansvar som WordPress-bruker å rapportere et sikkerhetssårbarhet så snart du oppdager det.

For det første er det god karma. For det andre kommer det som går rundt. For det tredje, hvis sårbarheten er i en plugin eller et tema du bruker, får du sikkerhetsoppdateringer og en stor takk. Nettstedet ditt er ikke kompromittert som et resultat, og du bygger en god rep mens du gjør verden til et bedre sted.

Det er vårt kollektive ansvar som WordPressers å påpeke alle sikkerhetshull vi kommer over. Det er jo til vårt beste.

Stram fil- / mappetillatelser

Vi kommer nå inn i WordPress-sikkerhet. Som en absolutt nybegynner, vil jeg hater at du sprutter. Jeg vil riste den og servere den kjølt akkurat slik du vil. Her går vi.

Hvis hver Tom, Dick og Harry som får tilgang til serveren din kan redigere (også skrive til) filene og mappene dine, er det så lite du kan gjøre for å stoppe skaden som følger.

Men hva om vi bare la noen filer og mapper skrivbare av deg? Hakkerne vet ikke hva de skal gjøre. De kan komme i orden, men skaden de vil forårsake når filene dine ikke kan redigeres / skrives, er minimal. Å låse filtillatelsene dine er et sikkerhetstiltak du vil implementere, mer hvis du har en delt vertsplan.

Men hvordan kan du gjøre med denne fil- / mappetillatelsesvirksomheten? Her er et mulig opplegg å følge:

  • Alle filene i rotmappen skal bare kunne skrives av deg
  • / wp-admin / – alle filene skal bare kunne skrives av deg
  • / wp-inkluderer / – alle filene skal bare kunne skrives av deg
  • / wp-content / temaer – alle filene skal kunne skrives av deg og webserveren
  • / wp-content / plugins – alle filene skal kunne skrives av deg

Hvordan angir du tillatelser for fil / mappe?

For å tilfredsstille ordningen ovenfor, må du sette tillatelser til 755 for mapper og 644 for filer. Hvordan? Det er den enkleste delen. Du kan bruke din FTP-klient (for eksempel Filezilla) eller logge deg direkte inn i File Manager via cPanel.

Bruker FTP

Etter at du har logget deg inn på webserveren din via FTP, finn du katalogen / filen du vil angi tillatelser, høyreklikk på den og velg ‘Filtillatelser’. I popup-skjermbildet som vises, velger du tillatelsene som du anser som passer. Pop-up-en kan se slik ut:

fil-tillatelser-popup-FileZilla

Og her er den komplette listen over filtillatelser fra 000 til 777.

fil-tillatelser full-liste

Bruker File Manager

wordpress-security-Bluehost-cpanel

Logg på cPanel, og naviger til File Manager. Når det lastes, velger du katalogen eller filen din og klikker på “Endre tillatelser” på menyen øverst. Alternativt kan du velge mappe eller fil, høyreklikke på den og velge “Endre tillatelser” på rullegardinmenyen som vises..

Her er noen veiledning:

WordPress-sikkerhet-Change-fil-rettigheter

Høyreklikk alternativet …

WordPress-sikkerhet-Change-fil-tillatelser høyre-klikk

Pop-up “Endre tillatelser”:

WordPress-sikkerhet-Change-fil-tillatelser-popup

Vil du lære mer? Les mer om filtillatelser her. Fortsetter raskt …

To-trinns autentisering

Den beste måten å beskytte dine online eiendeler er å gjøre det utrolig vanskelig for skurkene å logge inn. Hvis du kan holde dem ute, har du vunnet halve kampen. Det er her to-trinns (eller to-faktor) autentisering kommer inn.

Når du kombinerer sterke passord og tofaktorautentisering, legger du til et lag med beskyttelse på nettstedet ditt. Du forbedrer sikkerheten på WordPress-nettstedet ditt to ganger.

Og siden vi har plugins som Google Autentisering, WordFence, Authy og Duo, implementering av to-trinnsgodkjenning burde være det enkleste WordPress-sikkerhetstiltaket du kan sette i verk akkurat i dette øyeblikket.

Bruk SSL

SSL er forkortelse for Secure Sockets Layer, som er en standard måte å etablere en sikker, kryptert kobling mellom nettstedets server og en brukers nettleser.

Noen ganger, i stedet for å prøve å bryte ned forsvaret på nettstedet, kan hackere bestemme seg for å kapre pakker med data som du sender fra nettleseren din til webserveren. Når de åpner disse pakkene, får de lett tilgang til innloggingsinformasjonen osv.

Hva å gjøre? Du må bruke SSL-kryptering som beskytter personvernet og integriteten til alle dataene som går mellom nettstedet ditt og serveren. Dette er nøyaktig grunnen til at du vil finne alle større nettsteder som bruker HTTPS i motsetning til HTTP i deres domener.

Det er enkelt å implementere og kan spare deg for mye tid og frustrasjon. Bare ta kontakt med domeneregistratoren eller webhotellet, så installerer de SSL for deg. SSL-sertifikater er vanligvis også billige, så du må spare en dollar eller to.

Deaktiver ubrukte brukerkontoer

Tenk på brukerkontoer på WordPress-nettstedene dine som seter på en buss. Hvis det er et tomt sete, vil noen komme seg videre. Hvis setet på annen måte er okkupert eller ikke eksisterer, vel, vil ingen ta det bestemte setet.

Hvis du har aktivert brukerregistrering på WordPress-nettstedet ditt, må du kaste gjennom brukerkontoer en gang og eliminere ubrukte kontoer og alle kontoer opprettet av spammere. Hvis du lar disse være igjen, ber du bare om å bli hacket – og hacket deg.

Alternativt kan du deaktivere brukerregistrering helt ved å gå til Innstillinger -> Generelt og fjerne valg av ‘Alle kan registrere seg’ der du har Medlemskap. Du kan se alle brukerne ved å navigere til Brukere -> Alle brukere på WordPress-administratormenyen.

Samtidig kan du begrense tillatelsene på nye brukerkontoer. Dette gjør du enkelt ved å navigere til Innstillinger -> Generelt – Standard brukerrolle for ny bruker og sette alternativet til ‘Abonnent’. Andre roller inkluderer bidragsyter, forfatter, redaktør og administrator. Du vil definitivt ikke at nye brukere skal ha administratorrettigheter. Best å tildele brukerne bare privilegiene de trenger for å gjøre jobben sin.


Jeg kunne fortsette og gå, men jeg vil bare overvelde deg med mye info, noe som absolutt aldri er min intensjon. Vi vil gjerne at du har handlingsfulle tips som du kan begynne å implementere akkurat i dette øyeblikket, men det vil være en rørdrøm hvis jeg druknet oppmerksomheten din i en dam med faktoider og hva ikke. Så det er her jeg tar buen og lar gardinene lukkes.

Tilbake til deg, vennligst begynn å jobbe med områdene vi har nevnt akkurat nå, fordi jo lenger du venter, jo lettere blir det for skurkene. Bare start med ett område, og gå videre derfra, og hvis du sitter fast eller er i tvil, ta med bekymringene dine til kommentarfeltet nedenfor. Eller hvis du har et tips om å legge til la oss få vite det – vi venter, og det er et høytidelig løfte. Alle de beste amigos!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me