WordPress er det mest brukte CMS-systemet i verden og per dags dato kjører rundt 25 % av alle nettsteder på WordPress. På grunn av populariteten er systemet dessverre også populært hos hackere. Dette er grunnen til at vi anbefaler at du øker sikkerheten på WordPress-nettstedet.
- Hold WordPress oppdatert
- Fjern plugins og temaer du ikke bruker
- Beskytt mappen "wp-admin" med et passord
- Opprette et egendefinert administratornavn
- Deaktiver PHP execution i opplastingskatalogen din
Hold WordPress oppdatert
Noen WordPress-oppdateringer er fikser sikkerhetshull som kan utnyttes av hackere. Det er derfor viktig at du oppdaterer så raskt som mulig. Du kan oppdatere fra dashboardet ditt hos WordPress. Hvis du ikke har adgang til dette dashboardet kan du også oppdatere manuelt.
I tillegg til WordPress-installasjonen, er det også viktig å sjekke om det finnes tilgjengelige oppdateringer for plugins og tema du har installert. Fjern alle plugins og tema du ikke bruker. Du kan nemlig når som helst installere dem på nytt senere.
Tips: Hvis du ikke ønsker å oppdatere manuelt, kan du installere en plugin som heter Easy Updates Manager, som administrerer alle WordPress-oppdateringer for deg.
Fjern plugins og temaer du ikke bruker
Alle plugins og temaer du har installert kan innebære en sikkerhetsrisiko, så jo færre du har, jo bedre er det.
Vi anbefaler at du fjerner alle temaene du ikke bruker, med unntak av WordPress' standardtemaer (2017, 2018, etc.) Det samme gjelder for plugins du ikke lenger har bruk for.
Sørg for å fjerne alle eldre WordPress-installasjoner på webhotellet ditt. Disse kan f.eks. være installert som en test eller som en sikkerhetskopi. De er sårbare for hackere.
Tips: Innstaller kun plugins og temaer fra kilder du stoler på. Dersom du finner en gratisversjon av et tema du normalt sett må betale for, er det stor sjanse for at det inneholder skadelige programmer.
Beskytt mappen "wp-admin" med et passord
En annen løsning for å blokkere hackere er å beskytte mappen "wp-admin" med et passord, så legger du til et nytt sikkerhetslag til WordPress-administrasjonen.
Du kan følge veiledningen for for å beskytte nettsteder med .htaccess. Sørg for at du bare beskytter "wp-admin"-mappen og ikke hele nettstedet, ellers vil det ikke være mulig å få tilgang til sidene. Plasser filene i "wp-admin"-mappen.
Merk: Hvis det allerede finnes en .htaccess-fil i wp-admin-mappen, legger du til den genererte koden i den eksisterende filen. Du skal ikke erstatte den.
Opprette et egendefinert administratornavn
Hackere prøver ofte å få tilgang til WordPress-administrasjonen med et "Brute Force Attack"; roboter som prøver flere millioner forskjellige kombinasjoner av passord og brukernavn for å logge inn. For å gjøre det vanskeligere å gjette brukernavn og passord, anbefaler vi at du lager et unikt brukernavn.
Du kan endre administratornavnet via phpMyAdmin i tabellen "wp_users". Se vår veiledning om hvordan du får tilgang til databasen.
Når du er logget inn:
- Finn tabellen som heter "wp_users" (den kan også hete "0_users").
- Finn administratornavnet og klikk på Edit.
- Under user-login skriver du inn et nytt brukernavn i feltet Value.
- Klikk på Go for å lagre.
Deaktiver PHP execution i opplastingskatalogen din
Hvis du har installert WordPress manuelt anbefaler vi at du deaktiverer PHP-kjøring i opplastingsmappen din. Hvis du har tatt i bruk 1-klikks installasjonsprogrammet kan du hoppe over denne delen. For 1-klikks WordPress-installasjoner er kjøring deaktivert som standard.
Det er vanlig at det finnes en PHP backdoor i opplastingskatalogen. Fra denne blir skadelige programmer spredt til andre lokasjoner på nettsiden din. Du kan ikke forhindre at en backdoor blir lastet opp, men ved å deaktivere PHP execution kan du forhindre den fra å spre seg til andre lokasjoner.
Du kan deaktivere PHP-kjøring ved å legge disse kodelinjene til din .htaccess-fil som er i opplastingsmappen (wp-innhold/opplastinger).
# Blokk kjørbare filer
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
avslå fra alle
</FilesMatch>
Se vå veiledning om hvordan du oppretter en .htaccess-fil og deaktiverer filkjøring for alle nødvendige trinn.
Merk:Dersom du allerede har en .htaccess-fil på nettstedet ditt, trenger du ikke å opprette en ny fil. Du kan i stedet legge koden til den eksisterende filen.
Relaterte artikler:
