Slik sikrer du WordPress

security2

WordPress er et publiseringsverktøy som i utgangspunktet er ganske enkelt å bruke, men WordPress er såpass populært, at også de kriminelle er interessert i å utnytte det.

Derfor er også sikkerhet viktig, selv om det kanskje er mange som ønsker å nedprioritere denne delen av driften. Her får du en rekke tips om tiltak som kan gjøre din WordPress-nettside sikrere – og da er det spesielt ett tiltak som er viktigere enn alle andre.

Kan din nettside rammes av et angrep?

Driver du en blogg eller en nettside, tenker du sikkert at din side ikke kan rammes, spesielt hvis den er forholdsvis liten og har begrenset trafikk.

Faktum er at nettsider angripes gjerne ikke for å stjele data, eller slette viktige filer. Hovedhensikten for mange angripere, er å bruke din server for å videresende spam. I verste fall kan dette føre til at serveren blir svartelistet av nettleverandører, og dermed kan den ikke sende e-post. Det finnes verktøy som kan brukes til å sjekke om en server er blitt svartelistet, for eksempel MxToolBox, men det kan ta lang tid å renvaske en server.




Sørg for å oppdatere WordPress

Dette er nok det enkleste sikkerhetstiltaket, men også det viktigste. Du får beskjed i kontrollpanelet, hvis WordPress-kjernen, et tema eller en utvidelse, trenger oppdatering – og da er det bare å klikke på en lenke for å oppdatere.

Ifølge nettstedet wpwhitesecurity.com er såpass mange som 70 prosent av alle WordPress-nettsider sårbare for angrep. Dette tallet stammer fra en undersøkelse av over 40 000 nettsider på en liste fra selskapet Alexa, som publiserer lister over verdens mest populære nettsider.

Det oppdages stadig nye sikkerhetshull, både i WordPress-kjernen, men også i utvidelser og temaer. Derfor er det viktig å sørge for at alt er oppdatert – det gjelder å komme angriperne på forkjøpet. Heldigivis er det enkelt å oppdatere WordPress, men det er bare å huske å gjøre det – les mer.

Bruk sikkert passord

Nummer to i rekkefølgen over sikkerhetstiltak, men egentlig like viktig som sikkerhetsoppdatering, er å velge sikkert nok passord. Såkalte «brute force»-angrep er vanligere enn du kanskje tror. Noen prøver å gjette på WordPress-passordet ditt, og bruker da gjentatte forsøke på dette. Dette merker du gjerne ved at trafikken plutselig blir større enn normalt. En god metode for å forhindre at noen lykkes med dette, er å bruke sikkert nok passord for å logge deg inn på WordPress – les mer om dette i vårt tips.

Sikkerhetskopiering

Sørge for å sikkerhetskopiere WordPress regelmessig – les mer.

Brukernavn

Ikke bruk «admin» som et brukernavn for WordPress-innlogging. Hvis du gjør dette, og samtidig bruker et svakt passord, er det nærmest som å invitere angriperne inn.

Pingback-angrep

Pingback er en funksjon som skal varsle forfatter av et innlegg på en blogg/nettside, dersom noen lenker til et innlegg. Les mer om pingback på wordpress.org, men den offisielle definisjonen på pingback finner du på hixie.ch.

Problemet oppstår hvis angripere prøver å utnytte filen xmlrpc.php med DDos pingback-angrep. Et eventuelt angrep kan føre til at nettstedet/serveren går ned, altså blir utilgjengelig.

WordPress har innebygd pingback-funksjon, og denne kan du eventuelt slå av via WordPress kontrollpanel, Innstillinger, Diskusjon. Her kan du fjerne haken ved «Tillat varsling av lenker fra andre blogger (tilbaketråkk og tilbakesporing)». Det er bare ett forbehold, og det er at enkelte utvidelser faktisk bruker pingback-funksjonen, for eksempel Jetpack.

Vi presiserer at selv om din server/nettside eventuelt blir angrepet, så vil deaktivering av pingback ikke nødvendigvis medføre at angrepene blokkeres. Dersom du blir utsatt for angrep, bør du nok ta kontakt med ditt webhotell. Les mer om saken på akamai.com.

Bruk filen .htaccess

Filen .htaccess kan brukes til ulike formål, inkludert flere sikkerhetstiltak.

Her er noen eksempler på koder du kan legge inn i filen .htaccess, for å konfigurere serveren hvor WordPress er installert:

  • Beskytt filen wp-config.php
    Filen wp-config.php er kanskje den viktigste filen i WordPress. Denne filen kan du beskytte ved å redigere filen .htaccess.

    Les også: Slik virker filen wp-config.php

    Du kan legge denne koden i selve filen .htaccess:

    <files wp-config.php>
    order allow,deny
    deny from all
    </files>

    Denne koden blokkerer tilgang til filen wp-config.php, altså for alle bortsett fra deg selv.

  • Beskytt filen .htaccess
    Du kan legge denne koden i filen .htaccess:

    <Files .htaccess>
    order allow,deny
    deny from all
    </Files>

    Det som skjer hvis noen prøver å få tilgang til filen, er at det opprettes en 403-feil, det vil si besøkeren er nektet tilgang.

  • Blokker tilgang til mappevisning
    Gir du besøkerne til din nettside, tilgang til mappevisning, kan de se hvilke filer som ligger lagret der, altså i stedet for å se selve nettside.

    Dette er gjerne ikke noe problem, fordi det er gjerne en index-fil allerede i mappen som gjør at selve nettsiden som vises, og ikke filer som ligger i mappen. Ønsker du likevel å forsikre deg mot en slik visning, kan du legge følgende kode i filen .htaccess:

    Options All -Indexes

    Et alternativ er å legge en blank index.php i en aktuell mappe på serveren.

  • Blokker hotlinking
    Hotlinking kalles det når andre nettsider bruker direktelenke til dine bilder, og annet innhold på din nettside, og bruker dette på sin egen nettside.

    Dette kan du blokkere med følgende kode i filen .htaccess:

    RewriteEngine On
    RewriteCond %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http://(www.)?din_nettside.no/.*$ [NC]
    RewriteRule .(gif|jpg)$ http://www.din_nettside.no/hotlink.gif [R,L]

    Her må du skrive adressen til ditt nettstedet i stedet for din_nettside.no. I tillegg må du lage din egen fil med navnet hotlink.gif – hensikten med den er å forklare at hotlenking er deaktivert på din nettside.

  • Begrens tilgang til ditt admin-område
    Mappen wp-admin er området vi snakker om. Her er det flere muligheter.

    En mulighet er å legge inn denne koden i filen .htaccess:

    order deny,allow
    allow from 192.168.5.1
    deny from all

    Denne koden blokkere alle IP-adresser tilgang til ditt admin-område, bortsett fra den IP-adressen du spesifiserer. Dette forutsetter at du har fast IP-adresse fra din internett-leverandør for din datamaskin.

Bruk utvidelser

Det finnes flere utvidelser som kan brukes til å øke sikkerheten ytterligere, og som dermed gjør det enklere å ha oversikten over sikkerhetstiltak. Her er noen eksempler:

  • All in One WP Security and Firewall
    Dette er en brukervennlig alt-i-ett sikkerhets-utvidelse. Den kan blant annet brukes til å sjekke WordPress for kjente sikkerhetshull, og den gir deg også tips om tiltak for å øke sikkerheten.

  • iThemes Security
    Her får du masse konfigurasjonsmuligheter for sikkerheten i WordPress. Denne utvidelsen er enkel å bruke, men gir også avanserte brukere tilgang til flere muligheter. Denne utvidelsen het tidligere Better WP Security.

  • Bulletproof Security
    Denne utvidelsen er enkel å bruke, og gir tilgang til mange muligheter, inkludert beskyttelse via filen .htaccess.

Kilder: Codex.wordpress.org, Woothemes.com, Ithemes.com, Wpmudev.org (1), Wpmudev.org (2), Akamai.com.

You may also like...

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.