Det finns gott om myter och välmenande råd ute på nätet angående datasäkerhet med WordPress. Det vanligaste tipset verkar vara att datasäkerheten skulle förbättras genom att man installerar tillägg. Så är det oftast inte i verkligheten. Tillägg som har med datasäkerheten att göra har vanligtvis en affärsmodell som baseras på att skapa rädsla och oftast finns det inte någon som helst säkerhetsgaranti, d.v.s. man får inte sina pengar tillbaka om man faktiskt skulle råka ut för cyberbrott.
Vi påstår att kärnan i WordPress är säker och att du inte behöver installera några säkerhetstillägg för att skydda den. Det är snarare så att tilläggen själva orsakar säkerhetsproblem och dessutom gör webbplatserna långsammare.
I den här artikeln har vi samlat några rekommendationer som ska hjälpa dig att öka datasäkerheten i WordPress. Informationen bygger på en presentation som vi har hållit på flera WordPress-meetups runt om i Europa.
1. Iaktta lösenordshygien
Kom ihåg att använda tillräckligt långa och invecklade lösenord och alltid ha olika lösenord för olika tjänster. Det är också viktigt att använda säkra uppkopplingar så ingen kan komma åt dina lösenord. Lösenordshygien är lite som vanan att tvätta sina händer: när man gör det till en vana undviker man alla möjliga smittor.
2. Använd CAPTCHA för att hålla robotar borta
Även om vi började med att rekommendera att inte installera tillägg, lönar det faktiskt sig att installera ett tillägg som portar robotar från din webbplats så du slipper onödiga skräpkommentarer, inloggningar och registreringar. Vårt favoritsätt att skilja människor från robotar heter Google ReCaptcha och det finns flera alternativa tillägg för att komma igång med den.
3. Använd alltid HTTPS (och SFTP och SSH) – skicka aldrig lösenord över en okrypterad anslutning
Se till att alla dina förbindelser alltid är krypterade. Idag finns det absolut ingen anledning att inte använda en https-anslutning på en webbsajt, inte minst för att HTTPS är en förutsättning för att webbplatsen ska kunna använda det nya, snabbare protokollet HTTP/2-protokollet. Ha det som ett krav att alltid kunna använda SSH och SFTP för alla kopplingar och vid alla filöverföringar.
4. Radera onödiga tillägg och teman för att minimera attackytan
Det räcker inte att inaktivera onödiga tillägg. Filerna finns fortfarande på plats på servern och brottslingar kan använda dem. Radera helt och hållet alla onödiga tillägg och teman för att minimera brister i datasäkerheten. Observera att det finns tre typer av tillägg som inte alla behövs hos Seravo, nämligen tillägg som har att göra med datasäkerhet, säkerhetskopiering och cache-hantering. Alla dom kan man ta bort helt och hållet.
5. Se till att uppdateringar för tillägg (och mjukvaran för övrigt!) installeras snabbt
Efter man har tagit hand om alla onödiga tillägg, måste man se till att det finns en process för regelbundna uppdateringar av den mjukvara som faktiskt behövs. Som kund hos Seravo behöver du inte vara ängslig över uppdateringarna – dem tar vi hand om.
6. Installera mjukvara och uppdateringar endast från pålitliga källor
Bygg din serverinfrastruktur på en Linux-distribution som säkert kommer att erbjuda uppdateringar under tjänstens hela beräknade livstid. Håll dig till pålitliga källor och se till att säkerhetsuppdateringar och övriga uppdateringar görs ordentligt och punktligt.
7. Säkerställ säkerhetskopieringen
Om något ändå skulle gå fel, är det guld värt att ha goda säkerhetskopior. Vi på Seravo kör automatiska säkerhetskopieringar för alla våra kunder.
8. Välj en leverantör som tar hand om datasäkerheten, så att du slipper vara insatt i alla detaljer
Alla behöver inte vara experter inom datasäkerhet. En del av ansvaret kan köpas som en service, speciellt om man har en leverantör som inte bara säljer serverkapacitet. Hos Seravo ingår datasäkerhet till förvaltning av din sajt.