WordPress är världens mest använda CMS. För närvarande använder ungefär 25 % av alla hemsidor WordPress. Tyvärr, på grund av dess popularitet är det även väldigt populärt bland hackare. Därför rekommenderar vi att du lägger till lite extra säkerhet till din WordPress-hemsida för att minimera risken för att bli hackad.
- Uppdatera alltid
- Ta bort tillägg och teman som du inte använder
- Skydda katalogen wp-admin med ett lösenord
- Skapa ett anpassat administrativt användarnamn
- Blockera PHP-filer från att köras i uploads-mappen
Uppdatera alltid
En del av WordPress-uppdateringarna är säkerhetskorrigeringar som kan utnyttjas av hackare, så det är väldigt viktigt att uppdatera så fort som möjligt. Du kan uppdatera från din WordPress-administration. Om du inte har tillgång till din WordPress-administration kan du alltid uppdatera manuellt.
Utöver din grundinstallation av WordPress är det även viktigt att kontrollera om det finns uppdateringar tillgängliga för plugins och teman du har installerade. Ta bort alla plugins och teman som du inte använder. Du kan alltid installera dem igen senare.
Tips: Om du vill undvika besväret med att uppdatera manuellt kan du installera ett plugin som heter Easy Updates Manager. Det hanterar alla WordPress-uppdateringar åt dig.
Ta bort tillägg och teman som du inte använder
Varje tillägg och tema innebär en potentiell säkerhetsrisk, så försök att använda så få som möjligt.
Vi rekommenderar att du raderar alla teman som du inte använder (förutom WordPress egna teman twentyeighteen, twentyseventeen m.fl.). Detsamma gäller de plugin som du inte längre använder.
Se till att ta bort alla gamla WordPress-installationer du kan ha på ditt webbutrymme, kanske för teständamål eller som backup. Dessa löper också risk att bli hackade.
Tips: Installera bara tillägg och teman från tillförlitliga källor. Om du t.ex. hittar en gratis version av ett tema som vanligtvis kostar pengar så är risken stor att det också ingår gratis skadlig kod.
Skydda katalogen wp-admin med ett lösenord
Ett annat sätt att blockera hackare är att skydda din wp-adminmapp med ett lösenord. På så vis lägger du till ett extra säkerhetslager till din WordPress-administration.
Du kan följa vår guide för att skydda din hemsida med .htaccess. Se bara till att skydda katalogen wp-admin och inte hela sidan, annars kommer inte din hemsida kunna nås. Placera filerna i wp-adminmappen.
Notera: Om det redan finns en .htaccess-fil i katalogen wp-admin, lägg till den genererade koden i den befintliga filen. Ersätt den inte.
Skapa ett anpassat administrativt användarnamn
Hackare försöker ofta få tillgång till din WordPress-administration med en brute force-attack; robotar som testar miljontals olika lösenord och användarnamn i kombination för att försöka logga in. För att göra det svårare att gissa dina inloggningsuppgifter rekommenderar vi att du skapar ett unikt användarnamn.
Du kan ändra administrativt användarnamn i phpMyAdmin, i tabellen wp_users. Se vår guide om hur man få tillgång till sin databas.
När du har loggat in:
- Leta upp tabellen som heter wp_users (kan även heta 0_users).
- Hitta administratörsanvändarnamnet och klicka på Edit.
- Ange ett nytt användarnamn under user-login i fältet Value.
- Klicka på Go för att spara.
Blockera PHP-filer från att köras i uploads-mappen
Om du gjort en manuell installation av WordPress, rekommenderar vi inaktivering av PHP-körning i din uppladdningsmapp. Om du använt 1-klicksinstalleraren, kan du hoppa över det här avsnittet. För 1-klicksinstallationer av WordPress, är körning avaktiverad som standard.
Filer som laddas upp via säkerhetshål i PHP hamnar ofta i mappen uploads, och därifrån kan de sprida skadlig kod till andra delar av webbutrymmet. Det är svårt att blockera alla säkerhetshål men om den uppladdade filen inte kan köras så förhindrar du åtminstone att den sprider sig ytterligare.
Du kan avaktivera PHP-körning genom att lägga till de här raderna med kod till din .htaccess-fil som finns i uppladdningsmappen (wp-content/uploads).
# Blockera körbara filer
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
avvisa allt
</FilesMatch>
Se efter i vår vägledning hur du skapar en .htaccess-fil och avaktiverar filkörning för alla nödvändiga steg.
Obs: Om du redan har en .htaccess-fil på ditt webbutrymme behöver du inte skapa en ny fil. Då kan du istället redigera den befintliga filen.
Relaterade artiklar:
