WordPress er verdens mest brukte CMS. For tiden kjører rundt 40 % av alle nettsider på WordPress. Dessverre, på grunn av sin popularitet, er den også veldig populær blant hackere. Derfor anbefaler vi at du legger til litt ekstra sikkerhet på WordPress-siden din for å minimere risikoen for å bli hacket.
Nedenfor har vi samlet en liste over anbefalinger du kan implementere for å garantere en sikrere WordPress-nettside:
- Hold WordPress oppdatert
- Fjern plugins og temaer du ikke bruker
- Overvåk statusen til nettsiden din
- Beskytt katalogen wp-admin med et passord
- Opprett et egendefinert administrativt brukernavn
- Deaktiver PHP-kjøring i uploads-katalogen
Hold WordPress oppdatert
En del av WordPress-oppdateringene fikser sikkerhetsproblemer som hackere kan utnytte, så det er viktig å oppdatere så snart som mulig. Du kan enkelt oppdatere WordPress-versjonen, plugins og temaer fra WP Admin. Hvis du ikke har tilgang til WP Admin, kan du også oppdatere kjerneinstallasjonen manuelt.
- Hvordan holder jeg WordPress-siden min oppdatert?
- Oppdater WordPress manuelt (uten WP Admin-tilgang)
I tillegg til kjerneinstallasjonen av WordPress, er det også viktig å regelmessig sjekke om oppdateringer er tilgjengelige for installerte plugins og temaer.
Tips: Hvis du ikke vil ha bryet med å oppdatere manuelt, kan du lese mer om one.coms Administrert WordPress, og Update Manager som er integrert i denne.
Fjern plugins og temaer du ikke bruker
Alle plugins og temaer du har installert kan innebære en sikkerhetsrisiko, så jo færre du har, jo bedre er det.
Vi anbefaler å fjerne alle temaer du ikke bruker, bortsett fra standard WordPress-temaer (Twenty Nineteen, Twenty Twenty, osv.). Det samme gjelder plugins som du ikke lenger trenger. Du kan fjerne dem direkte via din WP Admin eller slette dem fra webhotellet ditt.
Dette gjelder også for alle gamle WordPress-installasjoner du måtte ha på webhotellet ditt, kanskje for testformål eller som en backup. Disse er også sårbare for å bli hacket.
Tips: Installer kun plugins og temaer fra pålitelige kilder. Finner du en gratisversjon av et tema du vanligvis må betale for, er det stor risiko for at det følger med «gratis» skadevare i temaet.
Overvåk statusen til nettsiden din
Sørg for at du har installert den gratis one.com foreldrepluginen for å dra nytte av analysefunksjonene som Health Monitor.
Health Monitor kjører grunnleggende kontroller av nettsiden, for eksempel om du bruker den nyeste WordPress-versjonen. Dette verktøyet lar deg holde et øye med viktige sikkerhets- og ytelsessjekkpunkter og informerer deg om problemer som må fikses. Avhengig av om alt er i orden, får du enten "Alt er i orden" eller en liste med anbefalinger om hva som bør gjøres.
Tips: Med Health Monitor Pro, som er inkludert i Administrert WordPress-tillegget, kan du fikse slike problemer med kun ett klikk.
Beskytt katalogen wp-admin med et passord
Blokker hackere og beskytt wp-admin mappen din med et passord, og legg til et ekstra lag med beskyttelse til WordPress-administrasjonen din.
Du kan følge guiden vår for å beskytte nettsiden din med .htaccess. Sørg for at du kun beskytter wp-admin katalogen og ikke hele nettsiden, ellers vil det ikke være mulig å få tilgang til sidene. Plasser filene i wp-admin-mappen.
Merk: Hvis det allerede finnes en .htaccess-fil i wp-admin mappen, legger du til den genererte koden i den eksisterende filen. Du skal ikke erstatte den.
En annen måte å forhindre hackere i å utnytte WordPress-siden din er ved å omdirigere WordPress-påloggingssiden din via kontrollpanelet ditt med Advanced Login Protection.
Opprett et egendefinert administrativt brukernavn
Hackere prøver ofte å få tilgang til WP Admin med et Brute Force Attack, der roboter prøver millioner av forskjellige kombinasjoner av brukernavn og passord for å logge på. Vi anbefaler å opprette et unikt brukernavn for å gjøre det vanskeligere å gjette påloggingsdetaljene dine.
Du kan endre det administrative brukernavnet i phpMyAdmin, i tabellen wp_users. Sjekk ut guiden vår for hvordan du får tilgang til databasen din.
Når du er logget inn:
- Finn tabellen som heter wp_users (den kan også hete 0_users).
- Finn admin-brukernavnet og klikk på Rediger.
- Under user_login skriver du inn et nytt brukernavn i feltet Value.
- Klikk på Gå for å lagre.
Deaktiver PHP-kjøring i uploads-katalogen
Hvis du har gjort en manuell installasjon av WordPress, anbefaler vi å deaktivere PHP-kjøring i uploads-mappen. Hvis du har brukt 1-klikks WordPress-installasjon, kan du hoppe over denne delen. For 1-klikks WordPress-installasjoner er PHP-kjøring deaktivert som standard.
Det er vanlig at en PHP-bakdør ligger i uploads-katalogen. Derfra kan skadelig programvare spres til andre steder på nettsiden din. Du kan ikke forhindre at bakdøren lastes opp, men du kan blokkere den fra å spre seg til andre steder ved å deaktivere PHP-kjøring.
Du kan deaktivere PHP-kjøring ved å legge til disse kodelinjene i .htaccess-filen som ligger inne i uploads-mappen (wp-content/uploads).
# Block executables <FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$"> deny from all </FilesMatch>
Sjekk ut guiden vår for å lage en .htaccess-fil og deaktiver filkjøring for alle nødvendige steg.
Merk: Hvis du allerede har en eksisterende .htaccess-fil i uploads-katalogen din, trenger du ikke opprette en ny fil. I stedet kan du legge til koden i den eksisterende filen.
Relaterte artikler: