WordPress er verdens mest brugte CMS, og lige nu benyttes det på omkring 40% af alle hjemmesider. På grund af populariteten er det desværre også meget populært hos hackere. Derfor anbefaler vi at tilføje ekstra sikkerhed til din WordPress-hjemmeside, for at mindske risikoen for at blive hacket.
Nedenfor har vi samlet en liste over anbefalinger, som du kan implementere for at garantere en mere sikker WordPress-hjemmeside:
- Opdater altid
- Fjern plugins og temaer, du ikke bruger
- Hold øje med din hjemmesides tilstand
- Beskyt mappen wp-admin med en adgangskode
- Lav et personligt administratorbrugernavn.
- Deaktivér PHP execution i din uploads-mappe
Opdater altid
En del WordPress-opdateringer lukker sikkerhedshuller, som hackere kan udnytte, så det er meget vigtigt at opdatere så hurtigt som muligt. Du kan nemt opdatere din WordPress-version, plugins og temaer fra din WP Admin. Hvis du ikke har adgang til din WP Admin, kan du også opdatere din kerneinstallation manuelt.
- Hvordan holder jeg min WordPress-side opdateret?
- Opdater WordPress manuelt (uden adgang til WP Admin)
Udover din kerneinstallation af WordPress, er det også vigtigt regelmæssigt at tjekke, om opdateringer er tilgængelige til dine installerede plugins og temaer.
Tip: Hvis du vil undgå besværet med at opdatere manuelt, kan du læse mere om one.coms Managed WordPress og dets integrerede Update Manager.
Fjern plugins og temaer, du ikke bruger
Hvert plugin og tema, du har installeret, kan udgøre en sikkerhedsrisiko, så jo færre du har jo bedre.
Vi anbefaler at fjerne alle temaer, du ikke bruger, undtagen standardtemaerne for WordPress (Twenty Nineteen, Twenty Twenty osv.). Det samme gælder plugins, som du ikke længere har brug for. Du kan fjerne dem direkte via WP Admin eller slette dem fra dit webhotel.
Dette gælder også for alle gamle WordPress-installationer, du måtte have på dit webhotel, måske til testformål eller som backup. Disse er også sårbare over for hacking.
Tip: Installer kun plugins og temaer fra pålidelige kilder. Hvis du finder en gratis version af et tema, du normalt skal betale for, er der stor chance for, at den kommer med "gratis" malware.
Hold øje med hjemmesides tilstand
Sørg for at have det gratis one.com parent-plugin installeret for at få gavn af dets nyttige hjemmeside-analyseringsfunktioner som Health Monitor.
Health Monitor udfører grundlæggende kontroller af hjemmesiden, f.eks. om du bruger den nyeste WordPress-version. Dette værktøj giver dig mulighed for at holde øje med vigtige kontrolpunkter for sikkerhed og ydeevne og informerer dig om problemer, der skal rettes. Afhængigt af, om alt er i orden, får du enten en "Alt er i orden"-status eller en liste med anbefalinger til, hvad der skal tages hånd om.
Tip: Med Health Monitor Pro, der er inkluderet i add-on-pakken Managed WordPress, kan du løse sådanne problemer med blot et enkelt klik.
Beskyt mappen wp-admin med en adgangskode
Bloker hackere og beskyt din wp-admin-mappe med en adgangskode. Det tilføjer et ekstra sikkerhedslag til din WordPress-administration.
Du kan følge vores vejledning for at beskytte din side med .htaccess. Sørg for kun at beskytte mappen wp-admin og ikke hele siden, da din hjemmeside så ikke vil være tilgængelig. Placer filerne i mappen wp-admin.
Bemærk: Hvis der allerede er en .htaccess-fil i mappen wp-admin, skal koden tilføjes til den eksisterede fil. Filen skal ikke erstattes.
En anden måde at forhindre hackere i at udnytte din WordPress-hjemmeside på er ved at omdirigere din WordPress-loginside via dit kontrolpanel med Advanced Login Protection.
Lav et personligt administratorbrugernavn.
Hackere forsøger ofte at få adgang til din WP Admin via et brute force-angreb. Her lader man robotter afprøve millioner af forskellige kombinationer af brugernavne og kodeord for at forsøge at logge ind. For at gøre det sværere at gætte dine loginoplysninger, anbefaler vi, at du anvender et unikt brugernavn.
Du kan ændre administratorbrugernavnet i tabellen wp_users i phpMyAdmin. Se vores vejledning til, hvordan du tilgår din database.
Når du er logget ind:
- Find den tabel, der hedder wp_users (den kan også hedde 0_users).
- Find admin-brugernavnet og klik Edit.
- Under user_login skal du indtaste et nyt brugernavn i feltet Value.
- Klik Go for at gemme.
Deaktivér PHP execution i din uploads-mappe
Hvis du har foretaget en manuel installation af WordPress, anbefaler vi, at du deaktiverer PHP execution i din uploads-mappe. Hvis du har brugt 1-klik-installationsprogrammet, kan du springe dette afsnit over. For 1-klik WordPress-installationer er PHP execution som standard deaktiveret.
Det er almindeligt for en PHP-bagdør at være placeret i uploads-mappen. Derfra kan malware spredes til andre steder på din hjemmeside. Du kan ikke forhindre bagdøren i at blive uploadet, men ved at deaktivere PHP execution kan du blokere for, at malware spredes til andre steder.
Du kan deaktivere PHP-eksekvering ved at tilføje disse kodelinjer til din .htaccess-fil, som er placeret i upload-mappen (wp-content/uploads).
# Block executables <FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$"> deny from all </FilesMatch>
Se vores vejledning til, hvordan du opretter en .htaccess-fil og deaktiverer fileksekvering for alle de nødvendige trin.
Bemærk: Hvis du allerede har en eksisterende .htaccess-fil på dit webhotel, behøver du ikke oprette en ny fil. I stedet kan du tilføje koden til den eksisterende fil.
Relaterede artikler: