WordPress dras fortfarande med ryktet om att systemet skulle vara osäkert. Vi menar att det inte finns några osäkra WordPress-webbplatser, utan bara WordPress-webbplatser som är dåligt underhållna. Här presenterar vi en lista med olika sätt att höja säkerheten hos din WordPress-webbplats. Vi inleder med regelbundna uppdateringar, något som vi själva givetvis hanterar utan någon extra kostnad.
1. Håll WordPress uppdaterat
Se till att du alltid har den senaste versionen av WordPress installerad. Du kan kolla om du använder den senaste versionen av programvaran genom att gå till Adminpanel > Uppdateringar.
Se även till att alla dina tillägg och teman använder sina senaste versioner och var framför allt noga med att inte använda tillägg och teman som inte uppdateras aktivt. Tillägg och teman som inte är uppdaterade och som innehåller sårbar programkod utgör ofta en enkel väg in för angripare som vill komma åt din webbplats.
Ett enkelt sätt att hålla WordPress uppdaterat är att aktivera automatiska uppdateringar. Utöver automatiska uppdateringar av kärnan kan du ställa in WordPress så att systemet på egen hand uppdaterar tillägg och teman genom att lägga till föjande rader i filen wp-config.php:
define('WP_AUTO_UPDATE_CORE', true);
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
Men de automatiska uppdateringarna kommer inte alltid att fungera som de borde – ibland kan något på webbplatsen sluta att fungera på grund av dem. Det problemet har vi löst genom att vi alltid testar uppdateringarna automatiskt innan de görs tillgängliga på den riktiga webbplatsen. Våra kunder behöver inte oroa sig för uppdateringar över huvud taget eftersom vi hela tiden håller WordPress-kärnan och alla tillägg uppdaterade. Läs mer om uppdateringar av WordPress och tillägg hos Seravo.
2. Iaktta god ”lösenordshygien”
God hantering av lösenord är lika viktigt som att komma ihåg att tvätta händerna i influensatider. Använd aldrig korta lösenord som är lätt att gissa. Undvik även att använda användarnamn som är alltför lättgissade, såsom admin eller <webbplatsens namn>.
3. Säkerhetskopiera webbplatsen
Se till att ditt webbhotell sparar dagliga säkerhetskopior i åtminstone 30 dagar, både av webbplatsens alla filer och av databasen. I händelse av ett angrepp eller något fel på webbplatsen är det viktigt att du har tillgång till färska säkerhetskopior av din webbplats.
Några viktiga frågor:
- Hur länge sparas säkerhetskopiorna?
- Befinner sig säkerhetskopiorna på en annan fysisk plats än själva webbplatsen?
- Hur enkelt är det att återställa webbplatsens säkerhetskopior?
Hos oss säkerhetskopieras både databasen och filerna varje dag och sparas i 30 dagar. Webbplatsen kan återställas till ett tidigare läge när som helst, till exempel efter säkerhetsintrång eller om en användare har gjort något misstag. Här hos Seravo är säkerheten inkluderad som standard.
4. Inaktivera filredigeraren
I WordPress finns det en filredigerare som ger användaren möjlighet att redigera PHP-filer direkt på servern. Just detta är ofta det enklaste sättet för en angripare att lägga till skadlig kod på webbplatsen. För det mesta är dessutom filredigeraren helt onödig för användaren.
Du kan blockera filredigeraren genom att lägga till följande kommando i filen wp-config.php.
define('DISALLOW_FILE_EDIT', true);
5. Blockera visning av felmeddelanden
Som ett hjälpmedel vid utveckling av och för WordPress kan man aktivera ett felrapporteringsläge där fel på PHP-nivån visas på webbplatsen om något skulle vara fel i programkoden.
Dessa felmeddelanden kan ibland råka innehålla information som kan hjälpa en angripare att hitta sårbarheter eller annan känslig information om webbplatsen eller dess servermiljö.
Man kan stänga av visning av felmeddelanden genom att lägga till följande rader i filen wp-config.php:
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);
define('SCRIPT_DEBUG', false);
ini_set('display_errors', 0);
ini_set('log_errors', 'On');
6. Välj ett tillförlitligt webbhotell
Att hålla informationen säker i din WordPress-installation är bara halva vägen till framgång. Även servern som din WordPress-webbplats körs på måste hållas säker och uppdaterad. Serverprogramvaran (såsom PHP, databasen och webbservern) och Linux, operativsystemet, behöver uppdateras regelbundet för att servern inte ska kunna kommas åt ”utanför WordPress”.
Du bör också ha i åtanke att billigare webbhotell brukar köra många WordPress-installationer på en och samma server, något som eventuellt kan innebära att ett säkerhetshål på någon annan persons WordPress-webbplats skulle kunna leda till ett säkerhetsintrång även på din webbplats.
Ett webbhotell med utmärkta kunskaper i WordPress är bättre skickat att ta hänsyn till all tillgänglig information om säkerhetsrisker. Seravo specialiserar sig på WordPress-webbplatser och kan övervaka systemkraven både på servernivå, i samband med underhåll och hos kundtjänsten.
Bonusråd: Använd färre tillägg
Ta alltid bort onödiga tillägg från din webbplats. Varje ytterligare tillägg som är installerat kan göra din webbplats långsammare och även innebära fler möjligheter för angripare att hitta svagheter. Du riskerar också att glömma bort att hålla dina oanvända tillägg uppdaterade, något som utgör ett extra hot för webbplatsen.
Webbplatser med många olika tillägg har ofta fler kompatibilitetsproblem och fel än andra. Dessutom kräver underhållet av dem mer tid. Det är alltid god idé att ha så få tillägg som möjligt för att minimera risken för problem och merarbete.
Om du har något tillägg du inte använder bör du ta bort det.
Eftersom det finns så många olika WordPress-tillägg att välja på, finns det några som inte kan rekommenderas eller som rentav kan vara skadliga. Vi har sammanställt en lista med våra egna rekommendationer kring användbara tillägg och sådan du bör undvika.
Sammanfattningsvis
Det är komplicerat att upprätthålla datasäkerheten på en WordPress-webbplats. Det räcker inte att bara installera något säkerhetstillägg på webbplatsen. För att uppnå hög datasäkerhet behöver man hela tiden arbeta aktivt med just detta.
Här på Seravo tar ett team av experter på servrar och WordPress hand om datasäkerheten hos din webbplats, så att du inte behöver lägga din egen tid och energi på informationssäkerheten. Om någon av ovanstående sex punkter känns obekant eller svår för dig att hantera på egen hand bör du prata med Seravo: vi sköter gärna datasäkerheten för din webbplats åt dig. Ta en titt på våra olika prispaket med tjänster för drift och underhåll av WordPress, och hör av dig till oss!
Om du känner att vi missat något viktigt råd kring datasäkerhet för WordPress i denna lista ber vi dig berätta mer i kommentarerna!