WordPress er verdens mest brugte CMS, og lige nu benyttes det på omkring 25% af alle hjemmesider. På grund af populariteten er det desværre også meget populært hos hackere. Derfor anbefaler vi at tilføje ekstra sikkerhed til din WordPress hjemmeside, for at mindske risikoen for at blive hacket.
- Opdater altid
- Fjern plugins og temaer, du ikke bruger
- Beskyt mappen wp-admin med en adgangskode
- Lav et personligt administratorbrugernavn.
- Deaktivér udførelse af PHP i din upload-mappe
Opdater altid
En del WordPress-opdateringer lukker sikkerhedshuller, som hackere kan udnytte, så det er meget vigtigt at opdatere så hurtigt som muligt. Du kan opdatere via din WordPress-administration. Hvis du ikke har adgang til din WordPress-administration kan du også opdatere manuelt.
Ud over for selve kernen af din WordPress er det også vigtigt at tjekke for tilgængelige opdateringer til plugins og temaer, du har installeret. Fjern plugins og temaer, som du ikke bruger - du kan altid installere dem igen senere.
Tip: Hvis du ikke vil have besværet med at opdatere manuelt, kan du installere et plugin kaldet Easy Updates Manager, som administrerer alle WordPress-opdateringer for dig.
Fjern plugins og temaer, du ikke bruger
Hvert plugin og tema, du har installeret, kan udgøre en sikkerhedsrisiko, så jo færre du har jo bedre.
Vi anbefaler at fjerne alle temaer, du ikke bruger, undtagen standard WordPress-temaer (2017, 2018 osv.). Det samme gælder for plugins, som du ikke længere har brug for.
Sørg for at fjerne alle gamle WordPress-installationer fra dit webhotel, som måske har været brugt til test eller backup. Disse er også sårbare over for hackere.
Tip: Installer kun plugins og temaer fra pålidelige kilder. Hvis du finder en gratis version af et tema, du normalt skal betale for, er der stor chance for, at den kommer med "gratis" malware.
Beskyt mappen wp-admin med en adgangskode
En anden måde at blokere hackere på er at beskytte din mappe wp-admin med en adgangskode. På den måde kan du tilføje et ekstra sikkerhedslag til din WordPress-administration.
Du kan følge vores guide for at beskytte din side med .htaccess. Sørg for kun at beskytte mappen wp-admin og ikke hele siden, da din hjemmeside så ikke vil være tilgængelig. Placer filerne i mappen wp-admin.
Bemærk: Hvis der allerede er en .htaccess-fil i mappen wp-admin, skal koden tilføjes til den eksisterede fil. Filen skal ikke erstattes.
Lav et personligt administratorbrugernavn.
Hackere forsøger ofte at få adgang til din WordPress-administration via et Brute Force Attack. Man lader robotter afprøve millioner af forskellige kombinationer af brugernavne og kodeord for at forsøge at logge ind. For at gøre det sværere at gætte dine loginoplysninger, anbefaler vi, at du anvender et unikt brugernavn.
Du kan ændre administratorbrugernavnet i tabellen wp_users i phpMyAdmin. Se vores guide til, hvordan du komme ind i din database.
Når du er logget ind:
- Find den tabel, der hedder wp_users (den kan også hedde 0_users).
- Find admin-brugernavnet og klik Edit.
- Skriv det nye brugernavn i Value-feltet under user-login.
- Klik Go for at gemme.
Tip: Der findes også flere plugins, der kan hjælpe med at forbedre sikkerheden. Vi anbefaler, at du prøver Wordfence Security eller iThemes Security.
Deaktivér udførelsen med PHP i din upload-mappe
Hvis du har foretaget en manuel installation af WordPress, anbefaler vi at deaktivere udførelse med PHP i din upload-mappe. Når du har brugt 1-click installer, er udførelsen deaktiveret som standard.
Det er almindeligt for en PHP-bagdør at være placeret i upload-mappen. Derfra kan malware spredes til andre steder på din hjemmeside. Du kan ikke forhindre bagdøren i at blive uploadet, men ved at deaktivere PHP-udførelsen kan du blokere for, at det spredes til andre steder.
# Block executables
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
deny from all
</FilesMatch>
# Block javascript except for visualcomposer (VC) plugin
RewriteEngine On
RewriteCond %{REQUEST_URI} !^.*wp-content/uploads/visualcomposer-assets/.*\.js$
RewriteRule ^(.*\.js)$ - [F,L]
Bemærk: Hvis du allerede har en eksisterende .htaccess-fil på dit webhotel, behøver du ikke oprette en ny fil. I stedet kan du tilføje koden til den eksisterende fil.
Relaterede artikler:
