Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE

Er WordPress usikkert?

1.859 Visninger
Hvor mange stjerner giver du? :
15 May 2018

Du har sikkert set nogle af de mange advarsler, der med jævne mellemrum dukker op i pressen, blogindlæg og på Facebook om, hvor utrolig usikkert WordPress skulle være.

Men er det virkelig hele sandheden? Er WordPress så usikkert og let at hacke, som nogle påstår? Og er WordPress værre eller bedre end andre CMS?

Det vil jeg se lidt nærmere på i dette indlæg.

Verdens mest udbredte CMS

WordPress er i dag verdens ubetinget mest udbredte CMS (Content Management System). Ifølge WordPress selv bruger 26% af alle websites i verden WordPress. Nogle analytikere mener det er lidt mindre. Men de fleste er enige om, at WordPress trods alt, bruges af langt flere websites end noget andet CMS.

Dette alene gør WordPress særligt sårbart overfor hackere. De kan nemlig godt lide at gå efter systemer der er meget udbredte, for så er der – så at sige, flere vilde fugle at skyde efter.

Det er nok også en af forklaringerne på, at Microsoft’s styresystem Windows i mange år har været udsat for flere angreb end de fleste andre, og lidt mindre udbredte, operativsystemer.

Om Windows eller WordPress så er mere eller mindre sårbart end andre systemer er i princippet uden betydning. Alene det, at disse løsninger er så ekstremt udbredte gør, at de er mere udsatte for forsøg på hackerangreb. At der er flere der forsøger at angribe, betyder dog ikke nødvendigvis at lige din løsning på det pågældende system er lettere at hacke. 

Som udgangspunkter er alle CMS usikre

Et CMS er et stykke software, der kan installeres på en webserver, og bruges til at styre publiceringen af indhold.  I samspil med netværket, webserverens operativsystem, webserver softwaren, databaser og andre programmer danner content management systemet den ramme, som driver websitet.

Hver eneste af de mange komponenter kan have sikkerhedshuller, enten hver for sig eller i samspil, som kan udnyttes af hackere.

Hvis alting blot installeres ”out of the box”, med de almindelige standardindstillinger og default admin brugere og passwords, så vil de fleste CMS være ret usikre. Uanset om det er WordPress eller et andet CMS.

For at sikre dit CMS mod hackerangreb skal der som regel justeres en del på opsætningen, standard administrative brugere ændres og der skal installeres særlige sikkerhedsprogrammer og systemer, der lukker huller og spærre for mulige angreb.

I hænderne på amatører bliver WordPress mere usikkert

Med den meget store udbredelse af WordPress er systemet også havnet i hænderne på rigtig mange, der ikke har så meget forstand på server sikkerhed og den slags.

Det er jo ret let at downloade og installere WordPress – og helt gratis (bortset fra den serverplads du lejer dig ind på).

Jeg synes i princippet, at det er godt, at vi med systemer som WordPress har fået noget rigtig god software, som er helt gratis. Det giver mange flere billig adgang til at lave hjemmesider og er således med til at demokratisere nettet.

Desværre er det, i alvorlig grad, også med til at gøre nettet mere usikkert.

Hvis du ikke ved så meget om, hvordan du sikrer dit CMS mod hackerangreb, så bliver dit website naturligvis mere sårbart, i forhold til de websites der er sat mere sikkert op af folk der ved lidt mere. Dette gælder uanset om det er WordPress eller et andet CMS du bruger.

Hackere udnytter i høj grad, at ikke alle er lige gode til at opsætte et website sikkert. De scanner udbredte systemer og leder efter huller, som ikke alle ved hvordan de skal lukke. Det svageste dyr i flokken bliver så ædt, so to speak.

Mange WordPress installationer holdes ikke opdateret

Med ethvert CMS der er så omfattende som WordPress, vil der altid kunne opstå sikkerhedshuller. Det sker for de fleste CMS. Men heldigvis er både WordPress, og de fleste andre gode CMS, hurtige til at lukke sådanne huller.

Men for at nyde godt af det, kræver det naturligvis, at du opdaterer din CMS og tilhørende software. Og det gør mange ikke. I hvert fald ikke lige med det samme. Og det er en af de helt store syndere.

For når et hul bliver kendt, så sker der ikke bare det at udviklerne af systemet forsøger at lukke hullet, hackere går også på rov efter sites der ikke er opdateret og således har kendte huller. Så i de timer, dage, uger eller måneder, hvor du ikke lige får opdateret dit CMS er du ekstremt sårbar.

WordPress plugins øger sikkerhedsrisikoen

Som med mange andre CMS har WordPress en plugin-arkitektur, der gør det let at udvide med nye funktioner. Til WordPress findes der hundredtusindvis af plugins og mange af dem er helt gratis.

De fleste plugins er bare ikke særlig godt programmeret, og alt for mange af dem har meget alvorlige sikkerhedshuller. Og i modsæt til det grundlæggende WordPress system er det langt fra altid, at udviklerne af de plugins du vælger at bruge er ligeså hurtige med at lukke huller. Og måske er de slet ikke dygtige nok til det.

Et andet problem med plugins er, at når du installerer det, så har plugin’et som udgangspunkt mulighed for at gøre næsten alt på din webserver. Det skal jo have rettigheder for at kunne afvikles. Der har desværre været mange eksempler på, at det har været misbrugt, at ondsindede udviklere, der laver et lækkert plugin, som mange vælger at installere, men hvor der så gemmer sig kode der kan skade dit website.

Den eneste måde du nogenlunde kan sikre dig mod dette er enten kun at lave dine egne plugins, eller kun at bruge nogle fra kendte og troværdige udviklere, som du kan stole på.

Follow the money

Der er desværre også en del af kritikken mod WordPress, som rejses af folk med økonomiske interesser i konkurrerende systemer.

Som altid er det derfor et godt råd at ”follow the money” i din kildekritik. Jeg siger ikke, at dem der har økonomiske særinteresser ikke godt kan have nogle vigtige pointer, men det giver mig dog altid anledning til lidt ekstra varsomhed, når alvorlig kritik mod et system som WordPress rejses af folk med direkte økonomisk interesse i konkurrerende løsninger.

IT-religiøs fanatisme

Hele IT-området er desværre alvorligt inficeret af fanatisme i en næsten religiøs grad – uanset om det handler om, om man skal bruge Mac. Linux eller PC, iPhone eller Android, Windows eller iOS.

Dette rammer naturligvis også WordPress.

Nogle fanatikere vil argumentere for, at .NET er den eneste platform man bør bygge websites på. Andre vil argumentere for andre løsninger med ligeså stor entusiasme.

Virkeligheden er dog, at man godt kan lave gode og sikre webløsninger på mange forskellige platforme – herunder også WordPress.

Vi bruger WordPress – og det er ret sikkert

I mit firma bruger vi WordPress som grundlag for de mange Waimea Business websites vi laver. Og jeg er ikke spor bange for, at det skulle være mere usikkert, end alle andre CMS, med de forholdsregler vi har taget.

Intet software – heller ikke et CMS og en webserver, kan nogensinde blive 100% sikkert. Heller ikke et website bygget på WordPress. Hvis tilstrækkeligt dygtige hackere prøver længe nok at trænge ind i et system, så kan de ofte lykkes med det til sidst. Hvis de altså gider, at blive ved længe nok, og er dygtige nok.

Når det så er sagt, så kan man gøre rigtig meget for, at beskytte sig mod hackere. Vi gør blandt andet følgende …

  • Først og fremmest har vi ansat nogle rigtig dygtige udviklere, der har stor erfaring med at sætte websites sikkert op. Derudover konsulterer vi løbende eksterne specialister, for at blive endnu mere sikre.
  • Vi beskytter vores servere med en række sikkerhedsprogrammer (som jeg af naturlige årsager ikke vil gå i detaljer med her), der gør det meget svært for hackere at trænge ind
  • Vi holder al vores software 100% opdateret på daglig basis
  • Vi benytter kun i meget lille grad plugins fra tredje part – og kun fra store leverandører, vi har erfaring for, at vi kan stole på. Det meste udvikler vi selv.
  • Vi overvåger trafikken på vores servere konstant og holder øje med forsøg på angreb.
  • Vi skifter jævnligt administrative passwords

Og så måske det vigtigste af alt – vi tager dagligt flere forskellige back-ups, og gemmer kopier af dem flere steder.

For som sagt, selvom vi har gjort alt hvad vi kan for at beskytte vores Waimea Business websites så godt som det overhovedet er muligt, så kan vi ikke garantere, at det aldrig kan gå galt. Og så er det vigtigt at have friske back-ups, som vi kan genskabe angrebne websites med. 

Konklusion

For at svare på dette indlægs indledende spørgsmål: Nej, WordPress er ikke usikkert i hænderne på kyndige folk, der ved hvad der skal gøres for at sætte et website sikkert op og vedligeholde sikkerheden.

Men hvis du ikke ved hvordan man gør det, så ja, så kan WordPress bliver meget usikkert – lige så usikkert som de fleste andre CMS ville blive i ligeså ukyndige hænder.

Så nej, du behøver ikke være mere bange for at bruge WordPress end alle andre CMS.

Hvor mange stjerner giver du? :
Vær den første til af få Mikkel blogindlæg Skriv dig op