Amino Ekspertblog

Ekspertblogger på Amino om SEO & reputation management

Er WordPress usikkert?

2. maj 2018 | 868 Visninger | 4 kommentarer
Hvor mange stjerner giver du? :

Amino Ekspertblog

Mikkel deMib Svendsen

Ekspertblogger på Amino om SEO & reputation management

Du har sikkert set nogle af de mange advarsler, der med jævne mellemrum dukker op i pressen, blogindlæg og på Facebook om, hvor utrolig usikkert WordPress skulle være.

Men er det virkelig hele sandheden? Er WordPress så usikkert og let at hacke, som nogle påstår? Og er WordPress værre eller bedre end andre CMS?

Det vil jeg se lidt nærmere på i dette indlæg.

Verdens mest udbredte CMS

WordPress er i dag verdens ubetinget mest udbredte CMS (Content Management System). Ifølge WordPress selv bruger 26% af alle websites i verden WordPress. Nogle analytikere mener det er lidt mindre. Men de fleste er enige om, at WordPress trods alt, bruges af langt flere websites end noget andet CMS.

Dette alene gør WordPress særligt sårbart overfor hackere. De kan nemlig godt lide at gå efter systemer der er meget udbredte, for så er der – så at sige, flere vilde fugle at skyde efter.

Det er nok også en af forklaringerne på, at Microsoft’s styresystem Windows i mange år har været udsat for flere angreb end de fleste andre, og lidt mindre udbredte, operativsystemer.

Om Windows eller WordPress så er mere eller mindre sårbart end andre systemer er i princippet uden betydning. Alene det, at disse løsninger er så ekstremt udbredte gør, at de er mere udsatte for forsøg på hackerangreb. At der er flere der forsøger at angribe, betyder dog ikke nødvendigvis at lige din løsning på det pågældende system er lettere at hacke. 

Som udgangspunkter er alle CMS usikre

Et CMS er et stykke software, der kan installeres på en webserver, og bruges til at styre publiceringen af indhold.  I samspil med netværket, webserverens operativsystem, webserver softwaren, databaser og andre programmer danner content management systemet den ramme, som driver websitet.

Hver eneste af de mange komponenter kan have sikkerhedshuller, enten hver for sig eller i samspil, som kan udnyttes af hackere.

Hvis alting blot installeres ”out of the box”, med de almindelige standardindstillinger og default admin brugere og passwords, så vil de fleste CMS være ret usikre. Uanset om det er WordPress eller et andet CMS.

For at sikre dit CMS mod hackerangreb skal der som regel justeres en del på opsætningen, standard administrative brugere ændres og der skal installeres særlige sikkerhedsprogrammer og systemer, der lukker huller og spærre for mulige angreb.

I hænderne på amatører bliver WordPress mere usikkert

Med den meget store udbredelse af WordPress er systemet også havnet i hænderne på rigtig mange, der ikke har så meget forstand på server sikkerhed og den slags.

Det er jo ret let at downloade og installere WordPress – og helt gratis (bortset fra den serverplads du lejer dig ind på).

Jeg synes i princippet, at det er godt, at vi med systemer som WordPress har fået noget rigtig god software, som er helt gratis. Det giver mange flere billig adgang til at lave hjemmesider og er således med til at demokratisere nettet.

Desværre er det, i alvorlig grad, også med til at gøre nettet mere usikkert.

Hvis du ikke ved så meget om, hvordan du sikrer dit CMS mod hackerangreb, så bliver dit website naturligvis mere sårbart, i forhold til de websites der er sat mere sikkert op af folk der ved lidt mere. Dette gælder uanset om det er WordPress eller et andet CMS du bruger.

Hackere udnytter i høj grad, at ikke alle er lige gode til at opsætte et website sikkert. De scanner udbredte systemer og leder efter huller, som ikke alle ved hvordan de skal lukke. Det svageste dyr i flokken bliver så ædt, so to speak.

Mange WordPress installationer holdes ikke opdateret

Med ethvert CMS der er så omfattende som WordPress, vil der altid kunne opstå sikkerhedshuller. Det sker for de fleste CMS. Men heldigvis er både WordPress, og de fleste andre gode CMS, hurtige til at lukke sådanne huller.

Men for at nyde godt af det, kræver det naturligvis, at du opdaterer din CMS og tilhørende software. Og det gør mange ikke. I hvert fald ikke lige med det samme. Og det er en af de helt store syndere.

For når et hul bliver kendt, så sker der ikke bare det at udviklerne af systemet forsøger at lukke hullet, hackere går også på rov efter sites der ikke er opdateret og således har kendte huller. Så i de timer, dage, uger eller måneder, hvor du ikke lige får opdateret dit CMS er du ekstremt sårbar.

WordPress plugins øger sikkerhedsrisikoen

Som med mange andre CMS har WordPress en plugin-arkitektur, der gør det let at udvide med nye funktioner. Til WordPress findes der hundredtusindvis af plugins og mange af dem er helt gratis.

De fleste plugins er bare ikke særlig godt programmeret, og alt for mange af dem har meget alvorlige sikkerhedshuller. Og i modsæt til det grundlæggende WordPress system er det langt fra altid, at udviklerne af de plugins du vælger at bruge er ligeså hurtige med at lukke huller. Og måske er de slet ikke dygtige nok til det.

Et andet problem med plugins er, at når du installerer det, så har plugin’et som udgangspunkt mulighed for at gøre næsten alt på din webserver. Det skal jo have rettigheder for at kunne afvikles. Der har desværre været mange eksempler på, at det har været misbrugt, at ondsindede udviklere, der laver et lækkert plugin, som mange vælger at installere, men hvor der så gemmer sig kode der kan skade dit website.

Den eneste måde du nogenlunde kan sikre dig mod dette er enten kun at lave dine egne plugins, eller kun at bruge nogle fra kendte og troværdige udviklere, som du kan stole på.

Follow the money

Der er desværre også en del af kritikken mod WordPress, som rejses af folk med økonomiske interesser i konkurrerende systemer.

Som altid er det derfor et godt råd at ”follow the money” i din kildekritik. Jeg siger ikke, at dem der har økonomiske særinteresser ikke godt kan have nogle vigtige pointer, men det giver mig dog altid anledning til lidt ekstra varsomhed, når alvorlig kritik mod et system som WordPress rejses af folk med direkte økonomisk interesse i konkurrerende løsninger.

IT-religiøs fanatisme

Hele IT-området er desværre alvorligt inficeret af fanatisme i en næsten religiøs grad – uanset om det handler om, om man skal bruge Mac. Linux eller PC, iPhone eller Android, Windows eller iOS.

Dette rammer naturligvis også WordPress.

Nogle fanatikere vil argumentere for, at .NET er den eneste platform man bør bygge websites på. Andre vil argumentere for andre løsninger med ligeså stor entusiasme.

Virkeligheden er dog, at man godt kan lave gode og sikre webløsninger på mange forskellige platforme – herunder også WordPress.

Vi bruger WordPress – og det er ret sikkert

I mit firma bruger vi WordPress som grundlag for de mange Waimea Business websites vi laver. Og jeg er ikke spor bange for, at det skulle være mere usikkert, end alle andre CMS, med de forholdsregler vi har taget.

Intet software – heller ikke et CMS og en webserver, kan nogensinde blive 100% sikkert. Heller ikke et website bygget på WordPress. Hvis tilstrækkeligt dygtige hackere prøver længe nok at trænge ind i et system, så kan de ofte lykkes med det til sidst. Hvis de altså gider, at blive ved længe nok, og er dygtige nok.

Når det så er sagt, så kan man gøre rigtig meget for, at beskytte sig mod hackere. Vi gør blandt andet følgende …

  • Først og fremmest har vi ansat nogle rigtig dygtige udviklere, der har stor erfaring med at sætte websites sikkert op. Derudover konsulterer vi løbende eksterne specialister, for at blive endnu mere sikre.
  • Vi beskytter vores servere med en række sikkerhedsprogrammer (som jeg af naturlige årsager ikke vil gå i detaljer med her), der gør det meget svært for hackere at trænge ind
  • Vi holder al vores software 100% opdateret på daglig basis
  • Vi benytter kun i meget lille grad plugins fra tredje part – og kun fra store leverandører, vi har erfaring for, at vi kan stole på. Det meste udvikler vi selv.
  • Vi overvåger trafikken på vores servere konstant og holder øje med forsøg på angreb.
  • Vi skifter jævnligt administrative passwords

Og så måske det vigtigste af alt – vi tager dagligt flere forskellige back-ups, og gemmer kopier af dem flere steder.

For som sagt, selvom vi har gjort alt hvad vi kan for at beskytte vores Waimea Business websites så godt som det overhovedet er muligt, så kan vi ikke garantere, at det aldrig kan gå galt. Og så er det vigtigt at have friske back-ups, som vi kan genskabe angrebne websites med. 

Konklusion

For at svare på dette indlægs indledende spørgsmål: Nej, WordPress er ikke usikkert i hænderne på kyndige folk, der ved hvad der skal gøres for at sætte et website sikkert op og vedligeholde sikkerheden.

Men hvis du ikke ved hvordan man gør det, så ja, så kan WordPress bliver meget usikkert – lige så usikkert som de fleste andre CMS ville blive i ligeså ukyndige hænder.

Så nej, du behøver ikke være mere bange for at bruge WordPress end alle andre CMS.

Læs også


Kommentarer

Henrik V Blunck   den 15-05-2018 kl. 09:45

Super sagligt indlæg. Helt enig i dine betragtninger, og særligt den pointe med at have en alternativ bruger som administrator frem for standarden Admin giver rigtig god mening, og burde være brugt af alle. :-)

Er kommentaren brugbar? 2 0
Mikkel deMib Svendsen   den 15-05-2018 kl. 09:54

Tak, Henrik :-)

Er kommentaren brugbar? 1 0
Ulrik Kristiansen   den 15-05-2018 kl. 11:45

Ja, et tiltrængt indlæg mod anti-WP-bølgen ... og en af de mest idiotiske myter om WP.

Langt, langt de fleste WP-sites som jeg har hjulpet efter en hackning havde et af to store 'sikkerhedsproblemer':

1) Brugeren havde lavet et svagt password (fx "navn123")

2) Brugeren havde ikke opdateret WP, Tema eller Plugins

Ak, ja ...

Er kommentaren brugbar? 5 0
Michael Jensen   den 15-05-2018 kl. 12:23

Ingen tvivl om, at WordPress er det foretrukne angrebs mål for hackere, ganske simpelt fordi, det er så udbredt!

Men der er faktisk forholdsregler der kan tages uden plugins.

Din .htaccess fil er et godt sted at starte:

Denne tilføjelse, for hindrer de mest almindelige angreb

____________________________________________________

## Bloker lipwww-perl ##

SetEnvIfNoCase User-Agent "^libwww-perl*" block_bad_bots

Deny from env=block_bad_bots

## END Bloker lipwww-perl ##

____________________________________________________

Denne tilføjelse, beskytter din wp-config fil

____________________________________________________

## Protect wp-config.php ##

<Files wp-config.php>

order allow,deny

deny from all

</Files>

## END Protect wp-config.php ##

____________________________________________________

Denne tilføjelse beskytter så "som rosinen i pølse enden". Din .htaccess fil

____________________________________________________

## Protect .htaccess ##

<Files .htaccess>

order allow,deny

deny from all

</Files>

## END Protect .htaccess ##

____________________________________________________

Et liv uden plugins ville være lykken, men ikke opnåeligt ;-)

Men med dette er du 97% sikret - lol

Den sidste sikkerhed, kan være med et plugin der spærrer for login efter 3-5 forsøg i et givent tidrum.

Eller tilsvarende der sætter en Capcha på din admin login side.

Alle ovenstående, er fuldtstændigt gratis løsninger og beskytter dig væsentligt bedre end "betalte sikkerheds plugin"

Mvh

https://a3-seo.dk

Er kommentaren brugbar? 3 0
 

Tilføj en kommentar

 

 
For at holde spammere ude, fortæl os hvad er: syv + fire =
Husk Mig

Få besked når der kommenteres (Log ind for at få tilsendt mail)
 

Om denne blog


Få besked når Mikkel skriver


FÅ EN HJEMMESIDE DER VIRKER

Waimea Business - hjemmeside totalløsning

Med Waimea Business får du en samlet hjemmeside løsning 

Priserne starter på under 2.000 kr. pr. md. alt inklusiv!

Det er mindre end de fleste betaler for SEO eller linkbuilding alene. Med Waimea Business får du både det + en teknisk perfekt hjemmeside + professionelt skrevet og optimeret indhold. 

Kontakt os i dag på info@waimea.dk eller ring på 70 22 80 82 og få en uforpligtende snak.

Bedste hilsner,

Mikkel deMib Svendsen
Direktør & Partner, Waimea Digital

Waimea Digital - SEO og Online Marketing Bureau


Mikkel på Twitter

Hvis du vil have besked når Mikkel og ligesindede bloggere har lavet et nyt indlæg, så klik her:


Seneste kommentarer