Gör din WordPressida säker

Alla hemsidor riskerar att hackas, även små hobbysidor. Se till att skydda din sida för att undvika problem.

Brute force attack

En vanlig metod att komma åt din hemsida är att försöka olika lösenord vid den vanliga inloggningen till kontrollpanelen.

Om någon hittar din inloggningssida bör du göra det svårare för hackern genom att använda en CAPTCHA och ett långt lösenord.

Gör också användarnamnet svårt att gissa. Använd inte ”admin”. Använd inte heller ditt eget namn om det står vem som publicerat inläggen. Du ändrar namnet på användaren under ”Användare” i WordPress kontrollpanel.

CAPTCHA får du genom en plugin. Jag rekommenderar Cerber Security som även har många andra säkerhetsdetaljer. När du går genom inställningarna för Cerber Security bör du flytta inloggningssidan (ställ in att besökare inte ska skickas vidare när de skriver adressen till din sida och avslutar med ”wp-admin” och spärra de som försöker detta), begränsa antalet inloggningsförsök och skicka en rapport över misstänkt aktivitet. Du kan bland annat se hur många som gånger någon besökt din inloggningssida och vilka användarnamn de försökt logga in med.

Det finns fler sätt att komma åt din hemsida. En CAPTCHA skyddar inte alla, den ersätter därför inte ett långt lösenord.

Ett ytterligare steg för att göra det svårare att logga in är genom tvåstegsautentisering. I tillägg till ditt lösenord behöver du din telefon för att kunna logga in. Också detta kan installeras med hjälp av ett tillägg.

XML-RPC

WordPress databas kan redigeras genom en app istället för genom webbläsaren. Då måste man ha tillgång till en fil som heter XML-RPC. Det är onödigt att låta den filen vara möjlig att nå om den bara används av hackers. Klistra in den här koden i htaccess:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

HTTPS

Gå in på din sida och se hur det ser ut i webbläsaren adressfält. Ser du ett hänglås? Står det ”https” istället för ”http”?

Om du svarat ja är sidan krypterad. Om inte bör du börja kryptera. Det blir säkrare och din sida kommer högre upp hos sökmotorer.

För att kryptera sidan går du in på ”Inställningar” och ”Allmänt”. Efter ”WordPress (URL)” och ”Webbplatsadress (URL)” lägger du till ett ”S” efter ”HTTP”. För mig ska det därmed står ”https://www.gorenhemsida.se”.

Lägg till följande kod i din htaccess:

#Change to HTTPS
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Lägg till detta i wp-config.php:

#HTTPS in WP admin

define('FORCE_SSL_ADMIN', true);

Skydda databasen

Även databasen riskerar att utsättas för angrepp. Om du använder standard tabellprefix kommer det bli lättare att komma åt den. Hur du gör det kan du läsa här.

Ge inte mer tillgång än nödvändigt till användare

Du kanske har bra säkerhet för ditt lösenord, men har de andra administratörerna det? En person som bara kan skriva nya inlägg kan bara ställa till med begränsad skada. Ge inte mer tillgång än nödvändigt.

Du kan även begränsa din egen tillgång. Skapa två användare till dig själv, en kan bara skriva nya inlägg. Det andra är administrator och används bara när det behövs och på en säker dator.

Ta backup

Om du blir hackad behöver du gå tillbaka till hur sidan var innan intrånget. Se till att du har backup. Spara backup långt bak i tiden. Hackern kan ha skapat en bakdörr länge innan du upptäckte problemet.

Uppdatera WordPress

Uppdatera WordPress, teman och tillägg. Det kan finnas säkerhetshål de har täppt till.

Om du har följt min guide i hur man gör en hemsida i WordPress har du nu kommit fram till en viktig punkt. Nu kan du välja om du ska fortsätta följa guiden, lägga tid på att ändra utseende eller skriva de texter som ska vara på din hemsida när du lanserar den. Du bör inte publicera den än, vänta till du har läst nästa artikel om Google Analytics.