Enkel säkerhetslista för WordPress-webbplatser

Enkel säkerhetslista för WordPress-webbplatser

Visste du att över 100 000 webbplatser hackas dagligen? Det är rätt, cyberbrott är ett allvarligt hot för alla företag, och någon med en WordPress-webbplats är inte heller säker. Jag har haft ett run-in med hackare (och var tvungen att återställa min WordPress-webbplats), och du vet förmodligen att det var fult.


Hackare letar aktivt efter sårbara webbplatser för att bryta och stjäla data som de kan släppa för ekonomisk vinst eller rent skadligt avsikt. För att skydda dig själv och din värdefulla webbplats bör du fundera på att hårdna din WordPress-säkerhet.

Med tanke på att du kommer att förlora intäkter, tid och ansträngning när hackare går in på din webbplats har vi skapat följande säkerhetschecklista som du kan använda för att säkra din WordPress-webbplats. Alla säkerhetsartiklar i inlägget är relativt enkla att implementera även för första gången:

Såsom du ser kommer vi att dela inlägget i flera delar som täcker allt från att välja en säker värd till att härda ditt administrationsområde och andra. Du måste upprepa vissa säkerhetsuppgifter, som att uppdatera dina teman regelbundet. Andra uppgifter är en enstaka sak, men har fortfarande en betydande inverkan på att hålla din webbplats säker. Kontrollera vad du behöver fixa och gör det direkt eftersom hackare inte slösar bort tid heller.

Enkel WordPress säkerhetslista

1. Uppdatera WordPress

WordPress-kärnan granskas regelbundet och kontrolleras för säkerhetsproblem. Om säkerhetsfel och fel upptäcks släpper kärnutvecklare vanligtvis underhållsuppdateringar. Mindre uppdateringar installeras automatiskt på din WordPress-webbplats.

Du måste dock uppdatera WordPress manuellt för alla större utgåvor. Det är en relativt rak framgångsprocess eftersom du får ett irriterande meddelande i din WordPress-admin. Endast 22% av webbplatserna körs på den senaste versionen av WordPress, vilket är tråkigt med tanke på hur lätt det är att uppdatera.

Var inte med i de återstående 78% eftersom du väsentligen utsätter din webbplats för alla slags attacker genom att inte uppdatera din webbplats. Vanligtvis är hackare den första gruppen människor som lär sig om eventuella sårbarheter i gamla versioner, eftersom de räknar med bristerna för att starta framgångsrika attacker.

Innan du uppdaterar WordPress rekommenderar vi att du läser release-anteckningarna för att se vad som har ändrats och ta en säkerhetskopia av din webbplats (bara för att vara säker). På det här sättet kan du nu förvänta dig när du klickar på den uppdateringsknappen, och du har en felaktig säkerhet om något skulle gå fel.

2. Uppdatera teman & plugins

När du uppdaterar WordPress-kärnan, glöm inte att uppdatera dina teman och plugins också. Hackare är särskilt förtjust i gamla teman och plugins med kända säkerhetshål.

De utnyttjar dessa säkerhetsproblem och kan även dölja en bakdörr i ett gammalt tema eller plugin. Om du inte uppdaterar kan de hacka din webbplats när det behagar dem.

För att undvika att du tappar dina anpassade stilar rekommenderar vi att du använder ett WordPress-barntema i motsats till föräldertemaet. På så sätt förlorar du inte dina anpassningar när du uppdaterar ditt tema.

Du bör också eliminera alla inaktiva teman, plugins och oanvända WordPress-installationer. Inte bara kommer du att spara bandbredd och göra din webbplats snabbare, utan du kommer också att hålla hackare i fjärr.

En annan snabb anteckning, ladda aldrig ner “nollade” premiumteman och plugins. Gå bara med pålitliga källor som WordPress.org, Envato eller annan ansedd temabutik.

3. Använd unika och starka lösenord

Du kommer att bli förvånad över att veta att de flesta webbplatser är hackade när skurkarna stjäl din inloggningsinformation. Dessutom är brute force-attacker ganska vanliga och innebär att du bombarderar din inloggningssida med tusentals användarnamn-lösenordskombinationer tills något ger.

Om du använder svaga användarnamn och lösenord (som den ökända “admin” eller “12345”) gör du det otroligt enkelt för hackare att bryta sig in på din webbplats. För vana att skapa unika och starka lösenord som du ändrar regelbundet. Du kan till och med använda en gratis online-generator, som den här från Lastpass.

Att hantera många starka lösenord kan vara ett problem. För att hjälpa mig litar jag ofta på lösenordshanterare som 1Password eller LastPass, bland andra. Återanvänd inte samma lösenord på flera webbplatser och håll alltid inloggningsinformationen säker. Se till att dina WordPress-användare också använder starka lösenord.

Medan du är på det – kom ihåg att använda starka lösenord för dina e-post-, cPanel-, MySQL-databaser och FTP-konton också.

4. Installera ett WordPress-säkerhetsplugin

När jag skapar en ny WordPress-webbplats har jag vanligtvis flera defacto-plugins som jag installerar nästan automatiskt. Jag får ett anti-spam-plugin, kontaktformulär 7, enkla kortkoder och iThemes Security, min go-to WordPress-säkerhetsplugin.

Plugin tillåter mig att förstärka mitt WordPress-försvar utan att bryta svett. Det kommer med så många funktioner som gör att de onda från mina webbplatser blir svåra. Att konfigurera plugin är superduper enkelt; du bör vara igång på nolltid.

De bästa WordPress-säkerhetspluginsen erbjuder dig olika funktioner, så se till att kontrollera innan du installerar för att säkerställa att du får alla funktioner du behöver för att säkra hela webbplatsen, oavsett hur unik du är. Standardfunktioner inkluderar skanning av skadlig programvara, IP-blockering, förebyggande av brute-force, autentisering med två faktorer och så mycket mer – kontrollera många av rutorna för den här säkerhetschecklistan du läser just nu!

5. Välj Great WordPress Hosting

Vanligtvis vårar nybörjare för det första billiga värdpaketet de stöter på. Jag skulle inte hålla det emot dig eftersom du inte vet något bättre, men tvivelaktigt billig (eller till och med gratis) delad webbhotell kan utsätta dig för säkerhetsrisker. Jag vet detta faktiskt eftersom jag har hackats på två olika värdföretag som erbjuder delad hosting.

Delad hosting innebär att du delar en server med tusentals andra webbplatser. Detta ökar risken för kontaminering på plats. Det vill säga en hackare kan få åtkomst till din webbplats även om någon annans webbplats var den ursprungliga attacken.

Hanterad WordPress-värd fokuserar å andra sidan endast på WordPress-webbplatser. Du delar inte en server med andra och du får fler säkerhetsalternativ för att hålla dig säker. De erbjuder dedikerat stöd också, och fler återhämtningsalternativ bör det värsta hända.

Om du måste använda delad hosting, säg att du börjar med en blogg som inte tjänar pengar ännu, se till att webbplatserna är isolerade eller “fängslade.” Om du driver ett företag eller en e-handelswebbplats lönar det sig att använda den bästa WordPress-värden du kan passa i din budget från ordet go – till exempel VPS, dedikerad eller hanterad WordPress-värd.

6. Använd SSL (HTTPS)

Numera erbjuder många WordPress-värdföretag gratis SSL-certifikat från ordet och av en god anledning. SSL-certifikat gör din webbplats säkrare än webbplatser utan SSL. Google rekommenderar också att använda SSL-certifikat för att skydda data på din webbplats (och se till att användare vet om du använder SSL eller inte).

HTTPS är säkrare än föregångaren HTTP. En webbplats som använder HTTPS krypterar all information som rör sig mellan användarens webbläsare och dina servrar. Om en hacker avbryter kommunikationen hittar de bara krypterad data som är lika användbar som en enbens man i en ass-kick-tävling ��

Att installera SSL-certifikat på de flesta webbhotell är lika enkelt som A, B, C. De flesta erbjuder installatörer med ett klick som gör hela processen lätt. Logga bara in på din cPanel och klicka på en enda knapp för att installera och hantera dina SSL-certifikat. Om du vill ha ett mer praktiskt tillvägagångssätt kan du överväga att kolla in Let’s Encrypt.

7. Skapa en fullständig säkerhetskopiering av webbplatsen

När hackare förtryckte mig var jag tvungen att återuppbygga mina webbplatser från grunden, en huvudvärk som jag skulle ha undvikit om jag pålitligt hade kommit ihåg att backa WordPress.

Men nej, säkerhetskopiorna som var med min webbhotell skadades under attacken, och nej, jag hade ingen sekundär säkerhetskopieringslösning. Ett klassiskt fall att lägga alla dina ägg i en korg som lärde mig en svår lektion.

Numera skapar jag fullständiga säkerhetskopior av webbplatser som innehåller mina webbplatsfiler och databaser. Jag använder främst ManageWP, men jag använder också Duplicator-plugin för att lagra säkerhetskopior på min dator och i Google Drive.

Jag uppmanar dig att skapa fullständiga säkerhetskopior regelbundet. Många WordPress-säkerhetskopieringslösningar gör att du kan automatisera hela processen, vilket sparar tid och ger dig sinnesfrid.

8. Använd en webbapplikationsbrandvägg (WAF)

Om du vill lägga till ett extra lager av säkerhet på din WordPress-webbplats och sova bättre på natten, aktivera en webbapplikationsbrandvägg (WAF). En WAF skyddar din webbplats genom att blockera skadlig trafik länge innan den kommer till din webbplats. Det är en proaktiv åtgärd för att stoppa de onda döda i deras spår innan de orsakar någon skada.

Brandväggen filtrerar din inkommande trafik och eliminerar hackare medan du släpper legitima användare igenom. Många WordPress-säkerhetsföretag erbjuder webbapplikationsbrandväggar tillsammans med andra funktioner. Populära alternativ i branschen inkluderar Sucuri och CloudFlare.

9. Inaktivera filredigering i WordPress Admin

WordPress CMS kommer med en fantastisk kodredigerare som låter dig redigera plugin- och temafiler i din WordPress admin-instrumentbräda. Kodredigeraren är ett bra verktyg att ha till ditt förfogande, men i fel händer kan hackare använda den för att fördjupa eller lägga till skadlig programvara på din webbplats.

Du kan alltid redigera dina tema- och plugin-filer (om så behövs) via FTP eller filhanteraren i cPanel, vilket innebär att du helt kan inaktivera kodredigeraren i WordPress. Du vill inte att hackare som får tillgång till ditt WordPress admin-område ska ha åtkomst till kodredigeraren, eftersom de kan orsaka mycket skada med några kodrader.

Vad ska man göra? Du kan inaktivera den inbyggda kodredigeraren med gratis Sucuri Security plugin. Alternativt kan du lägga till följande kod till din wp-config.php fil:

// Avvisa filredigering
definiera ('DISALLOW_FILE_EDIT', sant);

Vi går vidare.

10. Säkra din inloggningssida

Vanligtvis har inloggningsformuläret på din WordPress två fält; användarnamn och lösenord. Hur kan du hindra hackare från att få tillgång till ditt WordPress admin-område med att anfallare och bots för brute force blir smartare för dagen? Det är enkelt; lägger du till CAPTCHA eller säkerhetsfrågor som gör det svårare för någon att få obehörig åtkomst.

Och du behöver inte redigera kod till lägg till CAPTCHA eller säkerhetsfrågor till din inloggningssida. Det finns en populär WordPress-plugin känd som WP-säkerhetsfråga det är lätt att konfigurera och använda. Om du vill använda CAPTCHA kan du använda Enkel inloggning Captcha, WordFence, eller ett av de många andra alternativ som finns tillgängliga gratis på WordPress.org.

Samtidigt kan du göra det ändra din wp-inloggningsadress till något unikt. På så sätt kommer bots och hackare att ha svårt att försöka gissa URL: en till din inloggningssida. wp-inloggning är redan populär bland hackare, så det är perfekt att ändra URL till något annat. Du kan använda ett plugin som WPS Dölj inloggning.

11. Lägg till autentisering

Överväg att implementera tvåfaktors- och flerfaktorsautentisering. Om en hacker får åtkomst till dina inloggningsuppgifter kan de inte logga in på din WordPress-webbplats. Det finns många alternativ tillgängliga, men Google Authenticator är ett populärt val.

Annat än det, begränsa inloggningar på din inloggningssida. Om en besökare försöker logga in med ett konto som inte finns eller försöker logga in många gånger är de troligen en hacker eller bot som försöker brute-force sin väg in. Du kan använda ett plugin som t.ex. Begränsa inloggningsförsök eller Logga in låsning för att hålla dessa påträngande element borta.

12. Logga ut inaktiva användare

När du har en WordPress-webbplats med flera användare kan du inte helt kontrollera hur eller var användare kommer åt din webbplats. En författare kan bestämma sig för att använda gratis allmän Wi-Fi för att göra sista handen på en artikel. En webbdesigner kan lämna sitt skrivbord och återvända från en timmes lunchpaus.

I sådana scenarier kan din användare utan att veta exponera din webbplats för säkerhetsrisker. En skadlig person kan ta över sin session, redigera sina detaljer och helt enkelt göra förödelse. Om den obehöriga parten vet vad de gör kan de enkelt ta över användarens konto och göra skador.

Vad ska man göra? Du kan logga ut inaktiva användare automatiskt efter en fördefinierad period. Och den bästa delen? Det finns plugins för detta exakta syfte. Ett populärt alternativ är Inaktiv utloggning plugin som innehåller alternativ för att anpassa vilotiden före utloggning, anpassat popup-meddelande eller omdirigering vid utloggning och timeout enligt användarroll.

13. Sök efter skadlig programvara och problem (regelbundet)

Ofta glömt att skanna din WordPress-webbplats regelbundet kan hjälpa dig att identifiera säkerhetsproblem tidigt. Det tar bara en sekund för en hackare att bryta sig in på din webbplats och göra alla slags otäcka saker. Det är just därför du bör hålla dig uppdaterad hela tiden.

Många WordPress-säkerhetsplugins för att söka efter infektioner med skadlig kod, kända säkerhetsproblem, föråldrade skript, brute force-attacker, icke-existerande säkerhetskopior och så vidare. Plugins skickar detaljerade rapporter om kända problem, så att du kan fixa dem eller anställa en professionell.

Det finns många webbplatsskannrar, t.ex. Sucuri SiteCheck, som du kan använda för att kontrollera din webbplats snabbt. Allt du behöver göra är att ange din URL och verktygen kommer att kontrollera din webbplats automatiskt. Efter det erbjuder de dig en rapport om vad du behöver fixa. När du har fått rapporten ska du omedelbart åtgärda alla säkerhetsproblem.

14. Använd ett VPN

Om du driver en webbplats som innehåller känslig information som aldrig får komma i händerna på hackare, kan du överväga att använda ett virtuellt privat nätverk (VPN), närmare bestämt när du använder gratis allmän Wi-Fi. En VPN skyddar dig från attacker som är vanliga i offentliga nätverk, inklusive hemma och på jobbet.

Ett virtuellt privat nätverk säkerställer att även om angriparna får tillgång till systemet och stjäl dina detaljer, kan de inte göra någonting med de uppgifter de tar från dig. Om du har ett internetnätverk som du delar med många människor ska du alltid använda ett VPN innan du öppnar ditt WordPress-administrationsområde.

Andra WordPress-säkerhetsalternativ

Behöver du mer att göra? Vi skulle gärna hålla din webbplats säker hela tiden, så här är bonussäkerhetsartiklar att lägga till i din checklista:

  • Inaktivera exekvering av PHP-fil i / wp-content / wp-uploads /
  • Ändra ditt WordPress-databasprefix
  • Lösenord skydda din admin och inloggningssidor på serversidan
  • Inaktivera katalogindexering
  • Inaktivera WP REST API och XML-RPC om det inte behövs
  • Ändra inte / ändra WordPress-kärnan – skriv eller använd ett plugin som erbjuder den funktionalitet du behöver istället
  • Se till att din webbplats har den senaste versionen av PHP
  • Använd ett antivirusprogram på din dator
  • Aktivera Google Search Console
  • Minska sårbarheter i XSS och SQL Injection (du kanske behöver en mer teknisk kunnig person för att hjälpa till med dessa två)

Faktum är att antalet steg du kan vidta för att skydda din webbplats är oändligt. Men om du kan kolla in de 14 artiklarna som vi har listat är det ett enormt steg att säkra din webbplats.


Att säkra din WordPress-webbplats är utmanande men inte omöjligt. Med rätt verktyg och färdigheter kan du snabbt hårdna din WordPress-säkerhet och hålla de dåliga aktörerna borta.

Som en sammanfattning ska du alltid hålla din webbplats uppdaterad. Hämta dessutom aldrig teman eller plugins från opålitliga webbplatser. Och att vara på den säkra sidan om det värsta skulle hända, ha alltid en pålitlig säkerhetslösning på plats.

Vi hoppas att du hittade alla tips du behöver för att säkra din WordPress-webbplats, därmed onlineföretag. Om du har en fråga eller behöver hjälp med att ta reda på hur du säkra din WordPress-webbplats, vänligen meddela oss i kommentarerna. Var försiktig!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map