En problemstilling som rigtig mange bloggere er bange for, for hvad sker der hvis din blog bliver hacket? I dette indlæg vil vi se på, hvad den almene blogger kan gøre for, at styrke sin WordPress blog imod hackerangreb med den rigtige WordPress sikkerhed.
Der findes utallige måder hvorpå, en WordPress blog kan være sårbar overfor et hackerangreb, men heldigvis også mange måder hvorpå, du kan styrke din blog overfor sådanne angreb. I dette blogindlæg vil vi fremvise en række af de muligheder du har for, at få WordPress sikkerhed der virker. Vi fremviser kun de råd vi selv har benyttet, da diverse plugins etc. kan gøre mere skade en gavn. Derfor vil vi komme med de mest sikre råd, som den almene blogger kan gøre brug af.
Indhold i guiden
En standard WordPress blog benytter som udgangspunkt ”admin” som brugernavn, hvilket gør det ”nemmere” for en hacker at skaffe sig adgang.
Således kan dette gøres:
- Opret en ny bruger under Users -> Add New
- Vælg et unikt ”Username” for denne bruger
- (Find på en lang og unik kode ligeså)
- Slet den gamle bruger, og i processen tildel alle indlæg til den nye bruger
Opsæt maksimalt antal login-forsøg
Selvom det ikke altid er din login-skræm en hacker vil bruge til at komme ind, så kan det være en god ide, at opsætte maksimalt antal login-forsøg på denne. Det vil f.eks. hjælp dig i mod ”brute force attack”, som kan nedsætte din mulighed for at logge ind.
Igennem pluginnet ”Limit Attempts” har du mulighed for selv, at fastsætte det maksimale antal login-forsøg. Efterfølgende vil den pågældende IP blive blokeret således, at denne ikke længere kan tilgå din blog.
Konstant opdatering af plugins, temaer & WordPress
Det er vigtigt at du konstant har den nyeste version af WordPress installeret på din blog, da der jævnligt udkommer opdatering fra WordPress for, at rette sikkerhedshuller udnyttet af f.eks. hackere
Det samme gør sig gældende ved pluins og temaer, som altid skal være opdateret til nyeste version af samme begrundelse. Herudover kan det være en ide, kun at hente plugins fra troværdige kilder (f.eks. WordPress eget kartotek).
Det sikre password
Når det kommer til selve koden til din blog, så vil vi fremsætte de samme tips som du ofte møder. Din kode skal være så kompleks som mulig, og du skal skifte denne jævnligt. Lad endvidere vær med, at benytte den samme kode flere steder.
Dette var blot nogle af de metoder der kan benyttes. Ønsker du en større sikkerhed på din blog, så kan dette sagtens lade sig gøre, men disse muligheder kræver at du har forstand på kodning etc. Det første sted vi vil anbefale at du starter, er med pluginnet Wordfence. Er du så uheldig at du er blevet hacket, så kan du få hjælp til at rette dette ved, at læse dette blogindlæg.
Har du et råd omkring sikkerheden på din blog, så læg endelige en kommentar herunder.
Der er fire yderligere ting, du kan gøre, for at gøre det sværere for hackere at brute-force sig gennem din password-beskyttelse:
1) Ændre filnavnet på selve login-siden (wp-login.php) til et andet, f.eks. login-her.php
2) Indsætte HTTP Basic Authentication på adgangen til selve login-siden. Man skal således indtaste ét brugernavn og password for at få lov til at prøve logge ind på selve WordPress-administrationen.
3) Begrænse antallet af plugins du benytter dig af på din blog. Hvert nyt plugin gør risikoen større for sikkerhedshuller som hackere kan udnytte.
4) Sætte en Google Alert op på dine plugins sammen med ord som “vulnerability” og lign. for at modtage en mail, hvis Google finder sider der snakker om sikkerhedshuller i plugins, du har installeret på din blog, så du enten kan opdatere din plugins eller afinstallere dem, hvis der ikke finder en opdatering.
Hej Bjarke
Mange tak for tilføjelsen af punketerne. Det er helt klart områder, som kan hjælp ens blog imod hackere.
Dog skal det nævnes, at kun bloggere med lidt mere erfaring med teknik (1+2), skal anvendes disse (ellers vil det være praktisk, at have teknisk support med på sidelinjen).
/Nicolaj