Hvordan sikre WordPress (2020)

WordPress er et av de mest populære innholdsstyringssystemene der ute og med god grunn. Det er enkelt å bruke, det er tusenvis av temaer og plugins som er tilgjengelige for det, og du kan opprette alle typer nettsteder med det. Det er ikke rart at WordPress krefter 35,1% av alle nettsteder på internett.


Men populariteten kommer med en kostnad. WordPress er ofte målrettet av hackere. I følge Sucuri, i 2018 tilhørte 90% av alle forespørsler om nettstedopprydding WordPress, en økning på 7% fra 2017.

Nettstedet Hack Trend Report 2018 - Sucuri

Som sådan skal sikre deg WordPress-nettstedet være øverst på listen, enten du har en personlig portefølje, en bedriftsnettsted eller en nettbutikk.

Når det gjelder WordPress-sikkerhet, faller brukere vanligvis i to leirer: de som tar sikkerhet på alvor og tar forholdsregler, og de som tror eller håper det aldri vil skje dem fordi nettstedet deres ikke er viktig nok.

For å forstå alvorlighetsgraden av sikkerhetsproblemer knyttet til nettsteder, må du huske å besøke Internet Live Stats-side noen ganger. Der kan du se et eksakt antall nettsteder som er hacket hver dag, og til og med se antallet øke i sanntid.

Nettstedet ble hacket i sanntid

Contents

22 trinn for å sikre ditt WordPress-nettsted

Følg tipsene nedenfor for å forhindre at nettstedet ditt ender som et av nettstedene på Internet Live Stats..

1. Velg et vertsfirma med sikkerhetsfunksjoner

Det første trinnet mot å sikre WordPress-nettstedet ditt er å investere i et vertsfirma som implementerer riktige sikkerhetsfunksjoner. Dette inkluderer støtte for den nyeste versjonen av PHP, MySQL og Apache samt en brannmur og 24/7 sikkerhetsovervåking.

Velg om mulig et vertsfirma som utfører daglige sikkerhetskopier og vanlige skanninger til skadelig programvare. Du kan til og med finne vertsfirmaer som bruker forskjellige DDOS-forebyggingstiltak.

Hostingfirmaet ditt er vanligvis de første vegghackere må bryte gjennom for å få tilgang til nettstedet ditt, så å investere mer på forhånd og kjøpe en dyrere hostingplan vil definitivt lønne seg. Vi anbefaler velge en administrert leverandør av WordPress.

2. Bruk sterke passord

Forsikre deg om at passordene for WordPress-nettstedet ditt, så vel som for ditt hosting-kontoområde, begge er sikre. Bruk en blanding av store og små bokstaver, tall og symboler for å komme med et sterkt passord. Du kan også bruke en passordbehandling som LastPass til å generere og lagre sikre passord for deg.

3. Grøft administrasjonsbrukernavnet

WordPress pleide å sette standard brukernavn som administrator, og de fleste brukere gidder aldri å endre det. Som et resultat er admin vanligvis det første brukernavnet hackere vil prøve når de starter et brute force-angrep.

Som sådan bør du aldri bruke admin-brukernavnet for ditt WordPress-nettsted. Hvis du nylig har installert WordPress-nettstedet ditt, er sjansen stor for at du har måttet angi ditt eget brukernavn. Men hvis du er en lenge WordPress-bruker, bruker du kanskje administrasjonsbrukernavnet.

Hvis det er tilfelle, oppretter du et nytt admin-brukernavn for nettstedet ditt ved å gå til Brukere> Legg til nytt og velge et sterkt brukernavn og passord. Sett rollen til administratoren og klikk deretter på Legg til ny bruker knapp.

Oppretter en administratorkonto

Deretter logger du deg inn med de nye legitimasjonene og sletter den gamle administratorbrukeren. Husk å tilordne alt innholdet til den nye adminbrukeren før du sletter det gamle.

4. Bruk en bidragsyter eller redaktørkonto for å legge ut på nettstedet ditt

Hvis du vil ta tipset ovenfor et skritt videre, kan du vurdere å opprette en bidragsyter eller en redaktørkonto for å legge til nye innlegg og artikler på nettstedet ditt. Å gjøre det vil gjøre det vanskeligere for hackere å gjøre skade på nettstedet ditt ettersom bidragsytere og redaktører vanligvis ikke har administratorrettigheter..

Opprette en redaktørkonto

5. Bruk en sikkerhetskopi-plugin

Hvis du ikke tar sikkerhetskopi av nettstedet ditt ennå, må du starte med en gang. Et sikkerhetskopisystem vil hjelpe deg med å gjenopprette nettstedet ditt hvis det verste skjer og nettstedet ditt ender opp med å bli hacket.

Bruk en plugin som UpdraftPlus for å lage en vanlig sikkerhetskopieringsplan for nettstedet ditt, og ikke glem å lagre sikkerhetskopifilene utenfor stedet for å sikre at disse filene ikke ender opp også.

6. Harden Admin Area

Når det gjelder å herde administrasjonsområdet, må du endre standard admin-URL og begrense antall mislykkede påloggingsforsøk før en bruker blir låst ute av nettstedet ditt.

Som standard vil administrator-URL-en for nettstedet ditt se slik ut: yourdomain.com/wp-admin. Hackere vet dette og vil prøve å få tilgang til denne URL-en direkte, slik at de kan få tilgang til nettstedet ditt.

Du kan endre denne URL-en med en plugin som WPS Skjul pålogging.

WPS Skjul pålogging

Du kan bruke så langt som å begrense antall mislykkede påloggingsforsøk Innlogging Lockdown-plugin.

Pålogging LockDown

7. Hold filer oppdatert

Som vi har nevnt tidligere, utdaterer utdaterte filer en sikkerhetsrisiko fordi de lar nettstedet ditt være sårbart for andre utnyttelser. Derfor må du installere oppdateringer så snart de er utgitt.

Mens du er inne på det, må du huske å regelmessig gå gjennom de installerte programtilleggene og deaktivere og slette programtilleggene du ikke bruker lenger..

8. Beskytt datamaskinen

Du lurer kanskje på hva datamaskinen din har med nettstedet ditt å gjøre. Hvis datamaskinen din er infisert med et virus og du får tilgang til nettstedet ditt eller laster opp filer til det, kan de infiserte filene også smitte på nettstedet ditt. Kort sagt, du vil sørge for å:

  • Unngå å bruke offentlige Wi-Fi-nettverk for å få tilgang til nettstedet ditt
  • Installer antivirusprogramvare og sørg for at den er oppdatert

9. Endre databaseprefikset

Et annet faktum som er velkjent av WordPress-hackere er at databaseprefikset er satt til wp. Dette faktum gjør det enkelt for dem å gjette tabellenes prefiks og bruke automatiserte SQL-injeksjoner for å få tilgang til nettstedet ditt.

Å endre databaseprefikset er en manuell prosess som innebærer redigering av wp-config.php fil og endre tabellnavn ved hjelp av phpMyAdmin. Før du gjør endringen, må du ta sikkerhetskopi av nettstedet ditt som et forebyggende tiltak.

Redigering av wp-config

Du må logge deg på hostingkontoen din og få tilgang til cPanel eller hvilket kontrollpanel verten din bruker. Gå deretter til File Manager og finn din wp-config.php fil i WordPress-katalogen.

Finn tabellenes prefikslinje som ser slik ut: $ table_prefix etterfulgt av et = tegn og selve tabellen prefikset. Bytt ut standardstrengen med ditt eget prefiks ved å bruke en kombinasjon av tall, understrekinger og bokstaver slik:

$ table_prefix = ‘hgwp_3456_’;

Når du er ferdig med å redigere wp-config.php fil, avslutt File Manager og tilgang til phpMyAdmin slik at du kan endre alle tabellenavn. Å gjøre dette manuelt kan være kjedelig ettersom det totalt er 11 tabeller du trenger å redigere. I stedet kan du legge inn et SQL-spørsmål ved å gå til SQL-fanen

kjører en SQL-spørring

Skriv deretter inn dette:

RENAME tabell `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME-tabellen `wp_comments` TO` hgwp_3456_comments`;

RENAME-tabell `wp_links` TIL` hgwp_3456_links`;

RENAME-tabell `wp_options` TO` hgwp_3456_options`;

RENAME-tabellen `wp_postmeta` TIL` hgwp_3456_postmeta`;

RENAME-tabellen `wp_posts` TIL` hgwp_3456_posts`;

RENAME-tabell `wp_terms` TO` hgwp_3456_terms`;

RENAME-tabell `wp_termmeta` TIL` wp_a123456_termmeta`;

RENAME-tabell `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME-tabell `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME tabell `wp_usermeta` TIL` hgwp_3456_usermeta`;

RENAME-tabellen `wp_users` TO` hgwp_3456_users`;

Selv om spørringen ovenfor skal endre databaseprefikset overalt, er det en god idé å kjøre en annen spørring for å sikre at andre filer som bruker det gamle databaseprefikset blir oppdatert:

VELG * FRA `hgwp_3456_options` WHERE` option_name` LIKE '% wp_%'

Du vil også søke etter theusermeta og erstatte eventuelle gamle prefikser som er igjen med den nye:

VELG * FRA `hgwp_3456_usermeta` WHERE` meta_key` LIKE '% wp_%'

10. Harden .htaccess- og wp-config.php-filer

.htaccess og wp-config.php er de viktigste filene i WordPress-installasjonen. Som sådan må du sørge for at de er sikre og beskyttet.

Bare legg til kodene nedenfor i .htaccess-filen din, utenfor # BEGIN WordPress og # END WordPress-tagger for å sikre at endringene ikke blir overskrevet med hver nye oppdatering.



ordre tillate, nekt

nekte fra alle





ordre tillate, nekt

nekte fra alle





ordre nekte, tillat

Nekt fra alle

# tillat tilgang fra min IP-adresse

tillat fra 192.168.1.1

Utdragene over beskytter wp-config og .htaccess i tillegg til å begrense tilgangen til wp-login.php skjerm.

Til slutt legger du til utdraget nedenfor for å forhindre utføring av PHP-fil:



nekte fra alle

11. Kontroller og endre filtillatelser

Når du er ferdig med å sikre deg .htaccess og wp-config.php fil, hold deg litt lenger i cPanel og sjekk filtillatelsene for filene og mappene på WordPress-nettstedet ditt.

Filtillatelser

Ifølge WordPress codex, tillatelsene bør settes som følger:

  • Alle kataloger skal være 755 eller 750
  • Alle filene skal være 644 eller 640
  • wp-config.php skal være 600

Hvis innstillingene dine er forskjellige, kan hackere enkelt lese innholdet i tillegg til å endre innholdet i filene og mappene som kan føre til at nettstedet ditt blir hacket, så vel som andre nettsteder på den samme serveren blir hacket.

12. Bruk tofaktorautentisering

Vurder å bruke en plugin som Google Autentisering å sette opp tofaktorautentisering for nettstedet ditt. Dette betyr at du, i tillegg til å oppgi passordet ditt, også må oppgi en kode generert av en mobilapp for å logge inn på nettstedet ditt. Dette kan stoppe angrep fra brute-force, så det er en god idé å sette den opp nå.

Google Autentisering

13. Deaktiver XML-RPC

XML-RPC lar nettstedet ditt opprette en forbindelse med WordPress mobilapper og plugins som Jetpack. Dessverre er det også en favoritt blant WordPress-hackere fordi de kan misbruke denne protokollen for å utføre flere kommandoer samtidig og få tilgang til nettstedet ditt. Bruk en plugin som Deaktiver XML-RPC-plugin for å deaktivere denne funksjonen.

Deaktiver XML-RPC

14. Bruk HTTPS og SSL

Internett har surret av blogginnlegg og artikler om viktigheten av HTTPS-protokoll og lagt SSL-sikkerhetssertifikater på nettstedet ditt i ganske lang tid nå.

HTTPS står for Hypertext Transfer Protocol Secure mens SSL står for Secure Socket Layers. I et nøtteskall lar HTTPS besøkende av nettleseren opprette en sikker forbindelse med hosting-serveren din (og derfor nettstedet ditt). HTTPS-protokollen er sikret via SSL. Sammen sørger HTTPS og SSL for at all informasjonen mellom besøkende til nettleseren og nettstedet ditt er kryptert.

Bruk av begge på nettstedet ditt vil ikke bare øke nettstedets sikkerhet, men det vil også gjøre søkemotorrangementen din bedre, skape tillit til de besøkende og forbedre konverteringsfrekvensen.

Snakk med hostingleverandøren din og spør om muligheten for å skaffe et SSL-sertifikat eller å peke deg i retning av et anerkjent selskap der du kan kjøpe et.

15. Deaktiver redigering av tema og plugin gjennom ditt WordPress-instrumentbord

Det er praktisk å ha muligheten til å redigere tema- og plugin-filer rett i WordPress-dashbordet når du raskt trenger å legge til en kodelinje. Men det betyr også at alle som logger seg på nettstedet ditt, kan få tilgang til disse filene.

Deaktiver denne funksjonen ved å legge til følgende kode til din wp-config.php fil:

// Tillat redigering av filer

definere ('DISALLOW_FILE_EDIT', sant);

16. Flytt wp-config.php-filen til en ikke-WWW-katalog

Som nevnt tidligere wp-config.php fil er en av de viktigste filene i WordPress-installasjonen. Gjør det vanskeligere å få tilgang til ved å flytte den fra rotkatalogen til en katalog som ikke er tilgjengelig på www.

  1. Til å begynne med, kopier innholdet på din wp-config.php fil i en ny fil og lagre den som wp-config.php.
  1. Gå tilbake til din gamle wp-config.php fil og legg til kodelinjen nedenfor:
  1. Last opp og lagre det nye wp-config.php fil til en annen mappe.

17. Endre WordPress-sikkerhetstastene

WordPress sikkerhetsnøkler er ansvarlig for å kryptere informasjonen som er lagret i brukerens informasjonskapsler. De ligger i wp-config.php arkiver og se slik ut:

define ('AUTH_KEY', 'legg din unike setning her');

define ('SECURE_AUTH_KEY', 'legg den unike setningen her');

define ('LOGGED_IN_KEY', 'legg din unike setning her');

define ('NONCE_KEY', 'legg din unike setning her');

define ('AUTH_SALT', 'legg din unike setning her');

define ('SECURE_AUTH_SALT', 'legg den unike setningen her');

define ('LOGGED_IN_SALT', 'legg din unike setning her');

define ('NONCE_SALT', 'legg din unike setning her');

Bruke WordPress Salts Key Generator for å endre dem og gjøre nettstedet ditt sikrere.

18. Deaktiver feilrapportering

Feilrapportering er nyttig for feilsøking og bestemme hvilket spesifikt plugin eller tema som forårsaker en feil på WordPress-nettstedet ditt. Når systemet først rapporterer en feil, viser det imidlertid serverbanen din også. Unødvendig å si, dette er en perfekt mulighet for hackere å oppdage hvordan og hvor de kan dra nytte av sårbarheter på nettstedet ditt.

Du kan deaktivere dette ved å legge koden nedenfor til din wp-config.php fil:

error_reporting (0);

@ini_set (‘display_errors’, 0);

19. Fjern WordPress versjonsnummer

Alle som ser på kildekoden til nettstedet ditt, kan fortelle hvilken versjon av WordPress du bruker. Siden hver WordPress-versjon har offentlige byttelister som inneholder en liste over feil og sikkerhetsoppdateringer, kan de enkelt bestemme hvilke sikkerhetshull de kan dra nytte av.

WordPress versjon

Heldigvis er det en enkel løsning. Du kan fjerne WordPress-versjonsnummeret ved å redigere temaets features.php-fil og legge til følgende:

remove_action ('wp_head', 'wp_generator');

20. Bruk sikkerhetshoder

En annen måte å sikre WordPress-nettstedet ditt er å implementere sikkerhetsoverskrifter. Vanligvis er de satt på servernivå for å forhindre hackingangrep og redusere antall sikkerhetssårbarhetsutnyttelser. Du kan legge dem til selv ved å endre temaet ditt functions.php fil.

Sikkerhetsoverskrifter

Angrep på tvers av skrifter

Legg til følgende kode til hviteliste tillatt innhold, skript, stiler og andre innholdskilder:

header ('Content-Security-Policy: default-src https:');

Dette vil forhindre at nettleseren laster inn skadelige filer.

Iframe clickjacking

Legg til linjen nedenfor for å instruere nettleseren om ikke å gjengi en side i en ramme: header (‘X-Frame-Options: SAMEORIGIN’);

Alternativer for X-XSS-beskyttelse og X-innhold

Legg til følgende linjer for å forhindre XSS-angrep, og fortell Internet Explorer om ikke å snuse mime-typer

header ('X-XSS-Protection: 1; mode = block');

header ('X-Content-Type-Options: nosniff');

Håndhev HTTPS

Legg til koden nedenfor for å instruere nettleseren om å bare bruke HTTPS:

header ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preeload');

Informasjonskapsel med HTTPOnly og Secure flagg i WordPress 

Be nettleseren bare stole på cookien som er angitt av serveren, og at informasjonskapselen er tilgjengelig over SSL-kanaler ved å legge til følgende:

@ini_set ('session.cookie_httponly', sant);

@ini_set ('session.cookie_secure', sant);

@ini_set ('session.use_only_cookies', sant);

Hvis du ikke vil legge til disse topptekstene manuelt, kan du vurdere å bruke en plugin som Sikkerhetsoverskrifter. Uansett hvilken metode du velger å implementere sikkerhetsoverskriftene, må du huske å teste dem ved å bruke https://securityheaders.io nettsted og angi nettadressen til nettstedet ditt.

21. Forhindre hotlinking

Hotlinking er ikke et sikkerhetsbrudd i seg selv, men med tanke på at det refererer til et annet nettsted som bruker nettstedets URL for å peke direkte på et bilde eller en annen mediefil, regnes det som tyveri. Som sådan kan hotlinking føre til uventede kostnader, ikke bare fordi du må håndtere juridiske konsekvenser, men også fordi hostingregningen din kan gå gjennom taket hvis nettstedet som stjal bildet ditt får mye trafikk..

Legg til koden nedenfor i .htaccess-filen din hvis du bruker Apache-serveren og erstatt dummy-domenet med det faktiske domenenavnet:

RewriteEngine on

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Alternativt, hvis du bruker NGINX-servere, vil du endre konfigurasjonsfilen din med følgende:

beliggenhet ~. (gif | png | jpe? g) $ {

valid_referers none blokkerte ~ .google. ~ .Bing. ~ .yahoo yourdomain.com * .yourdomain.com;

if ($ invalid_referer) {

retur 403;

}

}

22. Logg ut Idle brukere

Det siste tipset i denne guiden for å øke nettstedets sikkerhet er å logge av inaktive brukere etter en periode med inaktivitet. Du kan bruke en plugin som Inaktiv avlogging for automatisk å avslutte inaktive økter.

Inaktiv avlogging

Dette er nødvendig fordi hvis du logger deg på nettstedet ditt for å legge til et nytt blogginnlegg og bli distrahert av en annen oppgave, kan økten bli kapret og hackere kan misbruke situasjonen for å infisere nettstedet ditt. Det er enda viktigere å avslutte inaktive økter hvis du har flere brukere på nettstedet ditt.

Hvordan gjenopprette fra en hack

Sikkerhetstiltakene ovenfor er en flott måte å sikre nettstedet ditt. Men hva hvis nettstedet ditt blir hacket likevel? Her er noen få trinn å følge i tilfelle nettstedet ditt ble hacket.

1. Bekreft haken og endre passordet ditt

Hvis nettstedet ditt ble hacket, må du først få panikk. Dette hjelper deg ikke og gjerningen er gjort, så det er viktig å handle raskt. Start med å sjekke nettstedet ditt og se om du kan logge deg på dashbordet. Sjekk om nettstedet ditt viderekobler til et annet nettsted, eller om du ser mistenkelige eller rare lenker eller annonser.

Endre passordet ditt umiddelbart, og fortsett deretter til neste trinn.

2. Ta kontakt med ditt vertsfirma

Kontakt verten din og la dem få vite at nettstedet ditt har blitt hacket. De kan hjelpe deg med å identifisere kilden til hackingen. Noen verter vil også rydde opp på nettstedet ditt og fjerne skadelig kode og filer.

Bruk en sikkerhetskopi for å gjenopprette nettstedet ditt

Hvis du har vært flittig med å sikkerhetskopiere nettstedet ditt, må du finne en sikkerhetskopi fra før hackingen og bruke det til å gjenopprette nettstedet. Selv om du kanskje mister noe av innholdet, vil du kunne få nettstedet ditt i gang som det var før angrepet skjedde.

3. Skann nettstedet ditt etter skadelig programvare

Bruk Sucuris gratis skanner til å skanne nettstedet ditt for malware og identifisere kompromitterte filer. Du kan også velge nettoppryddingstjenesten deres hvis du ikke vet hvordan du fjerner skadelig programvare selv.

4. Sjekk nettstedets brukere

Logg deg på WordPress-nettstedet ditt og gå til Brukere> Alle brukere. Forsikre deg om at det ikke er noen brukere som ikke skal være der, og slett dem om nødvendig.

5. Endre de hemmelige nøklene

Bruk den nevnte WordPress Salts Key Generator for å generere nye sikkerhetsnøkler og legge dem til wp-config.php-filen. Siden disse nøklene krypterer passordet ditt, vil hackerne forbli pålogget til informasjonskapslene deres blir ugyldig. Nye sikkerhetsnøkler vil gjøre nettopp det og tvinge hackeren ut av nettstedet ditt.

6. Ansett en profesjonell

Til slutt, ansett en profesjonell for å rydde opp i hacket og fjerne skadelig programvare fra nettstedet ditt. Husk at hackere kan skjule ondsinnet kode i flere filer, så hvis du ikke har erfaring med fjerning av skadelig programvare, er det lett å gå glipp av en infisert fil. Dette gjør det enkelt for hackere å hacke nettstedet ditt igjen, så det er sterkt anbefalt å ansette en profesjonell.

7 Vanlige typer WordPress-sikkerhetsproblemer

Før vi går videre med denne artikkelen, la oss adressere elefanten i rommet: er WordPress sikkert? Svaret på det spørsmålet er ja. Kjernen i WordPress-programvare er sikker, og selskapet bak WordPress tar sikkerhet på alvor.

Deres sikkerhetsteam har 50 eksperter ombord som inkluderer blyutviklere og sikkerhetsforskere som jobber bak kulissene for å sikre at WordPress er trygt.

Faktisk er de fleste sikkerhetshendelser og risikoer et resultat av menneskelig feil sammenkoblet med tilstedeværelsen av et sikkerhetsproblem.

Det er syv typer WordPress-sårbarheter du trenger å være klar over:

  • Utdaterte WordPress-filer
  • Bakdør utnytter
  • Pharma hacks
  • Svake passord
  • Ondsinnede viderekoblinger
  • Sårbarheter i vertsplattformen
  • Nektelse av tjenesteangrep

La oss gå over dem og forklare hva de er.

1. Utdaterte WordPress-filer

Utdaterte WordPress-filer refererer til WordPress versjon, tema og plugin-filer. De utgjør en sikkerhetsrisiko fordi de lar nettstedet ditt bli utsatt for andre sårbarheter, for eksempel utnyttelse av bakdører og farmasøytiske hacks.

Som sådan må du sørge for at WordPress-installasjonen din er oppdatert, så vel som tema og plugins. Du bør bruke oppdateringer proaktivt når de blir utgitt fordi de ikke bare kommer med nye funksjoner, men de inkluderer også forskjellige sikkerhets- og feilrettinger.

2. Bakdørsutnyttelse

Når det gjelder utnyttelse av bakdører, vil hackere dra nytte av de utdaterte WordPress-filene for å få tilgang til nettstedet ditt. Bortsett fra utdaterte filer, kan de også få tilgang til nettstedet ditt gjennom SFTP, FTP og lignende.

Når de har tilgang til nettstedet ditt, smitter de nettstedet ditt og kan også infisere andre nettsteder som er på samme server som nettstedet ditt. Innsprøytninger på bakdøren ser ut som vanlige WordPress-filer for den uerfarne brukeren. Men bak kulissene drar de nytte av feil i utdaterte filer for å få tilgang til databasen din og skaper ødeleggelser på nettstedet ditt, så vel som tusenvis av andre nettsteder.

3. Pharma Hacks

Pharma hacks refererer til utnyttelse av sårbarheter i utdaterte WordPress-filer der en hacker setter inn kode i disse filene. Når koden er satt inn, viser søkemotorene annonser for farmasøytiske produkter i stedet for nettstedet ditt. Dette kan føre til at søkemotorer markerer nettstedet ditt som spam.

4. Svake passord

Svake passord kan være lett å huske, men de gjør det også enkelt for hackere å få tilgang til nettstedet ditt gjennom et brute force-angrep. Et brute force-angrep skjer når en hacker bruker automatiserte skript som kjører i bakgrunnen for å prøve forskjellige brukernavn og passordkombinasjoner til de finner en fungerende kombinasjon.

5. Ondsinnede viderekoblinger

På samme måte som å bruke utdaterte filer og FTP- eller SFTP-protokoll for å injisere kode som resulterer i et pharma-hack eller en bakdørsutnyttelse, vil hackere bruke .htaccess-filen i WordPress-installasjonen for å omdirigere besøkende til et ondsinnet nettsted.

De besøkende kan da ende opp med et virus eller bli byttedyr for phishing.

6. Sårbarheter i vertsplattformen

Noen ganger kan sikkerheten til nettstedet ditt bli kompromittert fordi du bruker et vertsfirma som ikke har sikkerhetsfunksjoner som brannmur eller filovervåking. Dette er vanligvis tilfelle med billigere hostingleverandører, noe som betyr at å velge en billigere vert ironisk nok vil koste deg mer hvis nettstedet ditt blir hacket.

Husk at billigere hostingplattformer også utgjør en høyere sikkerhetsrisiko fordi nettstedet ditt kan bli infisert eller hacket som et resultat av at hackere utnytter sårbarheter på et annet nettsted som er vert på den samme serveren.

7. Angrep om nektelse av tjeneste

Denial of Service-angrep eller DDOS-angrep er en av de farligste truslene for enhver websideeier. I et DDOS-angrep vil en hacker utnytte feil og kodefeil som fører til at hukommelsen til nettstedets operativsystem blir overveldet. DDOS-angrep vil vanligvis få ned et stort antall nettsteder som bruker en spesifikk plattform, for eksempel WordPress.

Nå som du vet hva som er de vanlige sårbarhetene som er knyttet til WordPress, la oss gå videre til tipsene, beste praksis og sikkerhetsanbefalinger som vil hjelpe deg med å sikre WordPress-nettstedet ditt.

Pakk inn

WordPress er et kraftig og populært CMS som gjør det enkelt for alle å lage et nettsted. Men fordi det er så populært, er det også et yndet mål for hackere. Heldigvis er det en rekke trinn du kan ta for å beskytte WordPress-nettstedet ditt, og hvis du følger tipsene i denne artikkelen, vil du være på god vei til å ha et sikkert WordPress-nettsted.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map