Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Hvor mange stjerner giver du?
Amino.dk Blogs Ekspertblogs Gæsteeksperten Hvordan sikrer du bedst din WordPress-blog?

Hvordan sikrer du bedst din WordPress-blog?

4,298 Visninger
Hvor mange stjerner giver du? :
07 June 2012

WordPress er et af de mest populære bloggingsystemer på nettet i dag, og WordPress bliver i stigende omfang brugt til mange andre indkomstskabende aktiviter end blogging. Efterhånden som man bliver mere afhængig af indtægter fra sine WordPress-sites, bliver det derfor også mere nødvendigt at beskytte disse aktiver bedst muligt.

Det er meget nemt at komme i gang med WordPress, og det er grunden til at det er så populært i dag. Det er dog overraskende svært at finde ud af hvordan man sikrer sit WordPress-site bedst muligt. Det oplevede vi selv efter vores sites blev hacket nogle gange.

Vi besluttede os for at komme til bunds i hvordan man sikrer sit WordPress-site ordentligt, og nu vil vi gerne dele vores erfaringer. Forhåbentlig kan det spare andre for nogle ubehagelige oplevelser.

Den største sikkerhedsfaktor

Det kommer måske som en nyhed, men den største sikkerhedsfaktor er ikke dit hostingfirma, de plugins og theme du har valgt, eller din backup- strategi. Misforstå mig ikke ... disse er alle vigtige faktorer. Men den vigtigste sikkerhedsfaktor er DIG.

Når du kører et website, er der en række ting du bør være opmærksom på:

  • Din holding til sikkerhed.
    Sikkerhed er en opgave du aldrig bliver færdig med. Du vil løbende skulle opdatere dit site og foretage justering i din sikkerhedsstrategi efterhånden som dit site udvikler sig.
  • Hvor godt er din personlige computer sikret?
    En ofte anvendt måde at få adgang til websites på er ved at stjæle din login-information fra din personlige computer via malware.
  • Hvor stærke er dine passwords, og hvordan administrerer du dem?
    “password” og “12345678” er meget overraskende stadig blandt de mest benyttede passwords!
  • Hvordan du logger på din WordPress administrationsside.

Med den rigtige attitude og viden kan du let beskytte dit WordPress-site og de værdier sitet repræsenterer. Og skulle dit site blive kompromitteret en dag, kan du hurtigt komme på benene igen hvis du har en redningsplan klar.

Hvad du bør gøre

Her er vores liste over ting du bør gøre for at sikre dit WordPress-site:

Sikkerhed uden for WordPress

  • Sikr din pc med anti-virus og malware-scannere.
  • Brug kun stærke passwords, og genbrug aldrig et password.
  • Brug altid Secure FTP når du kobler dig på din host. Dermed beskytter du din login-information.
  • Gem aldrig din login-information i din FTP-klient. Det er simpelthen for nemt at stjæle dem.

WordPress-sikkerhed

  • Hold altid dit WordPress-site opdateret!
    Når en sikkerhedsopdatering bliver frigivet, kan alle se hvilket sikkerhedsproblem opdateringen beskytter imod ... og dermed bliver alle sites der ikke er opdaterede, meget sårbare!
  • Beskyt dit login til WordPress administrationssiden.
    - Login Lockdown er en plugin der blokerer for gentagne forsøg på at logge ind.
    - Semisecure Login er en plugin der krypterer din login-information så de ikke bliver sendt over internettet i klar tekst.
    - WP Login Security er en plugin der sender en e-mail med et link til administratoren hvis du forsøger at logge ind fra en ukendt IP-addresse.
  • Brug AntiVirus-plugin til at scanne dine theme-filer og sende en e-mail hvis de ændres.
  • Brug WebsiteDefender WordPress Security-plugin til at styrke din WordPress-sikkerhed, verificere adgangsrettighederne på dine filer og ændre dit database-prefix.
  • Brug WordPress File Monitor Plus-plugin til at scanne dine filer og sende en e-mail hvis der er nogen ændringer.
  • Brug Update Notifications-plugin til at sende dig en e-mail når der er opdateringer til  WordPress, plugins og themes.
  • Brug WordPress Firewall 2-plugin til at beskytte dig mod skadelige requests fra internettet.
  • Brug Block Bad Queries-plugin til at blokere en række andre skadelige requests fra internettet.
  • Lav en god backup-strategi. Kør backups automatisk, og gem backup-filerne et andet sted end hos din host. Vi anbefaler at du bruger en kombination af daglige, ugentlige og månedlige backups så du til enhver tid kan gå tilbage i tiden og finde en god backup. Dette er fantastisk vigtigt hvis et indbrud bliver opdaget et stykke tid efter at det fandt sted. Se eventuelt WordPress Backup – The Plugin and The Plan for mere information.
  • Slet alle plugins og themes du ikke bruger. Det er ikke nok bare at disable dem. Alle filer der ligger i din WordPress-folder, kan tilgås fra internettet.
  • Fjern default admin-brugeren. Det er ikke godt nok bare at omdøbe brugeren.
  • Slå bruger-registrering fra, med mindre du bruger den..
  • Kontroller at dine adgangsrettigheder på filerne in din WordPress-folder er sat som anbefalet i WordPress codex. Beskyt følsomme filer så meget som muligt (wp-config.php, .htaccess, php.ini, error_log).
  • Slet install.php i wp-admin-folderen hvis den eksisterer.
  • Tilføj tomme index.php-filer for at forhindre directory browsing fra internettet.
  • Hvis det er muligt, så flyt wp-config.php et niveau op så den ikke er tilgængelig fra internettet.
  • Brug unikke keys og salts i wp-config.php.
  • Hvis det er muligt, så brug SSL for at tilgå WordPress-administrationssiden.
  • Off Site Monitorering:
    Brug disse services for at detektere ændringer til dit site:
    - WebsiteDefender
    - Pingdom
    - Change Detection
  • Brug Cloudflare til at tilføje et ekstra lag af sikkerhed til dit site. Indkommende trafik bliver screenet før den overhovedet når til dit site.
  • Beskyt følsomme filer og områder af dit site med .htaccess-filer.
  • Forbyd directory browsing.
  • Forbyd adgang til følsomme filer (.htaccess, readme.html, wp-config.php, php.ini, error_log).
  • Tilføj The Perishable Press 5G Blacklist.
  • Forstærk sikkerheden i din php.ini.

Og sidst men ikke mindst: Hav en redningsplan klar!
Det er vigtigt at du ved præcis hvad du skal gøre hvis du opdager et indbrud på dit site.

Hvis du ikke allerede har sikret dit WordPress-site, så er det på tide at komme i gang! Er du usikker på hvordan du fuldfører nogle af punkterne på denne checkliste, kan du gratis hente vores udførlige instruktioner på The WordPress Security Checklist - klik her.

Hvor mange stjerner giver du? :
Få besked når Gæsteeksperten skriver Skriv dig op