WordPress är världens mest använda CMS. För närvarande använder ungefär 40 % av alla hemsidor WordPress. På grund av dess popularitet är det tyvärr även väldigt populärt bland hackare. Därför rekommenderar vi att du lägger till lite extra säkerhet till din WordPress-hemsida för att minimera risken för att bli hackad.
Nedan har vi sammanställt en lista med rekommenderade åtgärder för en garanterat säkrare WordPress-sida:
- Uppdatera alltid
- Ta bort plugin-program och teman du inte använder
- Övervaka statusen av din hemsida
- Skydda katalogen wp-admin med ett lösenord
- Skapa ett anpassat admin-användarnamn
- Blockera PHP-filer från att köras i uploads-mappen
Uppdatera alltid
En del av WordPress-uppdateringarna åtgärdar säkerhetsproblem som hackare skulle kunna utnyttja. Därför är det viktigt att uppdatera så snart som möjligt. Du kan enkelt uppdatera din WordPress-version, plugin-program och teman från WP Admin. Om du inte har tillgång till WP Admin kan du också uppdatera din kärninstallation manuellt.
- Hur håller jag min WordPress-sida uppdaterad?
- Uppdatera WordPress manuellt (utan tillgång till WP Admin)
Förutom din WordPress-installation är det också viktigt att regelbundet kontrollera om det finns uppdateringar för dina installerade plugin-program och teman.
Tips: Om du vill slippa det besvärliga arbetet med att uppdatera manuellt kan du läsa mer om Hanterad WordPress hos one.com, och dess integrerade Update Manager.
Ta bort plugin-program och teman du inte använder
Varje plugin och tema innebär en potentiell säkerhetsrisk, försök därför att använda så få som möjligt.
Vi rekommenderar att du tar bort alla teman du inte använder, förutom WordPress standardteman (Twenty Nineteen, Twenty Twenty etc.). Samma sak gäller för plugin-program du inte längre behöver. Du kan ta bort dem direkt via din WP Admin eller ta bort dem från ditt webbutrymme.
Se till att ta bort alla gamla WordPress-installationer du kan ha på ditt webbutrymme. Du kanske har haft någon för teständamål eller som backup. Dessa löper också risk att bli hackade.
Tips: Installera bara plugin-program och teman från tillförlitliga källor. Om du t.ex. hittar en gratis version av ett tema som vanligtvis kostar pengar är risken stor att det också innehåller "gratis" skadlig kod.
Bevaka statusen av din hemsida
Se till att du har installerat vårt kostnadsfria one.com huvudplugin för att kunna dra nytta av dess användbara funktioner för hemsideanalys, som Health Monitor.
Health Monitor utför grundläggande kontroller av hemsidan, till exempel om du använder den senaste WordPress-versionen. Med det här verktyget kan du hålla ett öga på viktiga kontrollpunkter för säkerhet och prestanda, och bli informerad om problem som måste åtgärdas. Beroende på om allt är okej får du antingen "Allt väl" eller en lista med rekommenderade åtgärder.
Tips: Med Health Monitor Pro, som ingår i tillägget Hanterad WordPress, kan du åtgärda sådana problem med ett enda klick.
Skydda katalogen wp-admin med ett lösenord
Ett annat sätt att blockera hackare är att skydda din wp-admin-mapp med ett lösenord. På så vis lägger du till ett extra säkerhetslager till din WordPress-administration.
Du kan följa vår guide för att skydda din hemsida med .htaccess. Se bara till att skydda katalogen wp-admin och inte hela sidan, annars kommer inte din hemsida kunna nås. Placera filerna i wp-adminmappen.
Obs! Om det redan finns en .htaccess-fil i katalogen wp-admin, lägg till den genererade koden i den befintliga filen. Ersätt den inte.
Ett annat sätt att hindra hackare från att utnyttja din WordPress-sida är att omdirigera din inloggningssida hos WordPress till din kontrollpanel på one.com med Advanced Login Protection.
Skapa ett anpassat admin-användarnamn
Hackare försöker ofta få tillgång till din WordPress-administration med en brute force-attack; där robotar testar miljontals olika lösenord och användarnamn i kombination för att försöka logga in. För att göra det svårare att gissa dina inloggningsuppgifter rekommenderar vi att du skapar ett unikt användarnamn.
Du kan ändra administrativt användarnamn i phpMyAdmin, i tabellen wp_users. Se vår guide om hur du får tillgång till din databas.
När du har loggat in:
- Leta upp tabellen som heter wp_users (kan även heta 0_users).
- Hitta admin-användarnamnet och klicka på Redigera.
- Ange ett nytt användarnamn under user_login i fältet Value.
- Klicka på OK för att spara.
Blockera PHP-filer från att köras i uploads-mappen
Om du har gjort en manuell installation av WordPress rekommenderar vi att du inaktiverar PHP-körning i din uppladdningsmapp. Om du har använt 1-klicksinstallationsprogrammet kan du hoppa över det här avsnittet. För 1-klicksinstallationer av WordPress är PHP-körning inaktiverad som standard.
Filer som laddas upp via säkerhetshål i PHP hamnar ofta i mappen uploads, och därifrån kan de sprida skadlig kod till andra delar av webbutrymmet. Det är svårt att blockera alla säkerhetshål men om den uppladdade filen inte kan köras förhindrar du att den sprider sig ytterligare.
Du kan avaktivera PHP-körning genom att lägga till de här raderna med kod till din .htaccess-fil som finns i uppladdningsmappen (wp-content/uploads).
# Block executables
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
deny from all
</FilesMatch>
Se efter i vår vägledning hur du skapar en .htaccess-fil och inaktiverar filkörning för alla nödvändiga steg.
Obs! Om du redan har en .htaccess-fil på ditt webbutrymme behöver du inte skapa en ny fil. Då kan du istället redigera och lägga till koden den befintliga filen.
Relaterade artiklar:
