Publiserad
Uppdaterad
användarlistning(1)integritet(1)rest api(1)XML-RPC(1)

Våra medarbetare har deltagit som talare på många WordPress-konferenser (WordCamp) och WordPress-träffar (meetups) och föreläst om WordPress-säkerhet, och vi har alltid hävdat att WordPress är säkert som standard. Det enda användare egentligen behöver göra är att hantera lösenord på ett vettigt sätt. WordPress är inte som Windows – du behöver inte installera virus-skannrar eller säkerhetstillägg omedelbart efter att du installerat WordPress. WordPress är inte osäkert i sig självt.

Med tanke på alla myter och felaktiga råd som florerar på nätet rekommenderar vi dock att du kollar in vår tidigare bloggartikel om just ”Introduktion till säkerhet med WordPress”.

Trots att vi fortfarande är starkt övertygade om att WordPress är säkert i sig självt, har vi nyligen bestämt oss för att justera vårt tillvägagångssätt en aning avseende några få specifika saker i WordPress.

Vi presenterar våra nya säkerhetsinställningar

Under det gångna året har flera säkerhetsföretag granskat olika webbplatser vi hanterar. Från deras checklistor, som innehåller hundratals kontrollpunkter är det bara några få småsaker som ofta återkommer. Trots att dessa saker ur ett sant säkerhetsperspektiv inte är särskilt viktiga, vill vi ändå hjälpa våra kunder att uppnå 100 % i dessa säkerhetsgranskningar. Just av den anledningen har vi lanserat en ny säkerhetssektion i vårt Seravo-tillägg, som låter användarna med några enkla klick ytterligare stärka skyddet av sin WordPress-webbplats med hjälp av följande inställningar:

  1. Inaktivera API:et XML-RPC. Innan WordPress fick sitt REST-API fanns det olika tillämpningar som kommunicerade med WordPress via API:et XML-RPC. Några exempel på tillämpningar som gjorde detta är tillägget Jetpack, pingback-hantering och den tidigare mobilapp-versionen för WordPress. API:et XML-RPC är en kraftfull best som bland annat gör det möjligt att utföra många inloggningsförsök parallellt. För närvarande finns det inte några kända sårbarheter i det, men vissa säkerhetsexperter menar ändå att API:et utgör en potentiell säkerhetsrisk, vilket leder till att det ofta nämns i olika checklistor för säkerheten. Eftersom API:et inte längre behövs på de flesta webbplatser så har vi gjort det möjligt så att man kan inaktivera det med ett klick. En perfekt lösning som låter dig sova ännu lite tryggare på natten.
  2. Inaktivera listning av användare (enumeration) i WP REST API. Som vi nämnde i föregående stycke, använder man idag hellre det nya API-systemet som WordPress utrustades med år 2017 än XML-RPC. WP REST-API är i många avseenden bättre, men en del personer oroar sig över datasäkerheten i den ändpunkt som räknar upp webbplatsens användare. Vanligtvis går det att se användarnamnet för den som skrivit ett inlägg, så för det mesta anses det inte vara något problem med en lista över webbplatsens författare. Men i vissa scenarier kan det vara mindre önskvärt att utomstående har möjlighet att komma åt en lista över webbplatsens användare. Nackdelen med att stänga av denna ändpunkt är att blockredigeraren (Gutenberg) då tappar funktionen för att välja författare för en text. Men du behöver inte oroa dig. Sättet vi genomför denna inställning har inga kända nackdelar, och rutan för val av författare fungerar helt normalt.
  3. Inaktivera listning av författare. I likhet med föregående punkt gillar en del personer inte att en WordPress-webbplats som standard listar innehåll per författare, såsom example.com/author/joe eller example.com/?author=123. Om man kryssar i denna ruta kommer denna funktion att blockeras.
Seravo security settings for WordPress
Säkerhetsinställningar under Verktyg > Säkerhet. Endast för WordPress-webbplatser hos Seravo.

Eftersom dessa säkerhetsposter begränsar funktionaliteten i WordPress och kan leda till att vissa tillägg eller externa funktioner slutar fungera, vill vi på Seravo inte göra det till ett standardval att de är blockerade. Men med hjälp av denna sida för säkerhetsinställningar i adminpanelen för WordPress har vi gjort det riktigt enkelt för våra kunder att stänga av dessa funktioner om de vill.

Seravo har alltid tagit säkerheten på största allvar

Som en del av våra drifttjänster sköter vi även säkerheten för de WordPress-webbplatser vi hanterar åt våra kunder. Vi hävdar inte att säkerhetsproblem aldrig inträffar – det kan ingen garantera. Men vi hävdar att vår säkerhetsarkitektur från grunden och hela vägen är byggd för att överträffa alla branschstandarder, att vår säkerhetsstandard för driften är hög och att vår säkerhetsutbildning, som gäller för hela företaget, gör våra system till ett besvärligt mål för eventuella angripare.

Vi går ett steg längre: vi backar upp våra påståenden med ett löfte till våra kunder att om deras webbplats hackas medan vi har ansvaret för dess drift kommer vi att rensa webbplatsen utan kostnad. Det är ett löfte som nästan inga andra är beredda att ge.