Slik sikrer du WordPress-nettstedet ditt
Praktisk guide til WordPress-sikkerhet: oppdateringer, sterke passord, 2FA, sikkerhetsplugins og regelmessige sikkerhetskopier.
WordPress driver et stort antall nettsteder verden over, og det gjør plattformen til et attraktivt mål for hackere og automatiserte angrep. De gode nyhetene er at de aller fleste vellykkede angrep utnytter kjente svakheter som enkelt kan tettes med riktige rutiner. Her er det du faktisk trenger å gjøre.
Hold alt oppdatert
Den vanligste inngangsporten for angripere er utdatert programvare. WordPress-kjernen, temaer og plugins oppdateres jevnlig – ofte nettopp fordi det er avdekket sikkerhetshull.
- WordPress-kjernen oppdateres automatisk for mindre sikkerhetsoppdateringer. Større versjonshopp bør du installere manuelt, gjerne etter en rask test.
- Plugins og temaer må oppdateres regelmessig. Plugins du ikke bruker lenger, bør slettes helt – ikke bare deaktiveres.
- PHP-versjonen på hostingkontoen din bør holdes oppdatert. Eldre PHP-versjoner får ikke lenger sikkerhetsoppdateringer.
Sett av fem minutter en gang i uken til å gå gjennom WordPress-dashbordet og kjøre ventende oppdateringer.
Bruk sterke passord og unngå «admin»
Brute force-angrep prøver tusenvis av passord per minutt mot innloggingssiden din. Enkle passord og standard brukernavn som «admin» er blant de første kombinasjonene som forsøkes.
- Bruk et tilfeldig passord på minst 16 tegn. WordPress har en innebygd passordgenerator.
- Slett eller gi nytt navn til brukerkontoen «admin» hvis den eksisterer fra installasjonen.
- Gi hver bruker kun de rettighetene de faktisk trenger. En skribent trenger ikke administrator-tilgang.
Aktiver to-faktor-autentisering (2FA)
To-faktor-autentisering betyr at selv om noen får tak i passordet ditt, trenger de fortsatt tilgang til mobilen eller autentiseringsappen din for å logge inn. Det er et av de mest effektive enkeltgrepene du kan ta.
Plugins som Wordfence eller WP 2FA gjør dette enkelt å sette opp for alle brukere på nettstedet.
Installer en sikkerhetsplugin
En god sikkerhetsplugin gir deg oversikt over hva som skjer på nettstedet og kan blokkere mistenkelig aktivitet automatisk.
| Plugin | Hva den gjør |
|---|---|
| Wordfence | Brannmur, malware-skanning, innloggingsbeskyttelse |
| Sucuri Security | Aktivitetslogg, fil-integritetskontroll, brannmur (betalt) |
| iThemes Security | Hardening-funksjoner, 2FA, databaseprefiks |
Gratis-versjonene av disse pluginsene dekker behovene til de fleste mindre nettsteder.
Begrens innloggingsforsøk
Som standard tillater WordPress ubegrenset antall innloggingsforsøk. Ved å begrense dette – for eksempel til fem forsøk før IP-adressen låses midlertidig ute – gjør du brute force-angrep langt mer tidkrevende og ofte umulige i praksis.
Dette kan settes opp via en sikkerhetsplugin, eller direkte av hostingleverandøren din.
Bruk HTTPS og SSL-sertifikat
All trafikk til og fra nettstedet ditt bør krypteres. Et SSL-sertifikat sørger for at data ikke kan avlyttes mellom nettleseren og serveren. I tillegg viser nettlesere en advarsel til besøkende om nettstedet mangler HTTPS – noe som skader tilliten og rangeringen i Google.
Hos Vymo inkluderes SSL i webhotell-pakken , og du kan lese mer om oppsett i vår guide om SSL-sertifikat .
Ta regelmessige sikkerhetskopier
Ingen sikkerhetsløsning er hundre prosent, og det er derfor sikkerhetskopier er avgjørende. Hvis noe går galt – enten grunnet et angrep, en mislykket oppdatering eller en menneskelig feil – er en fersk backup det som skiller et raskt recovey fra dager med arbeid.
Les mer om hvordan du setter opp gode rutiner i vår guide om sikkerhetskopi av WordPress .
Andre gode vaner
Endre database-prefiks. Standard WordPress-prefix er wp_. Å endre det til noe tilfeldig gjør SQL-injeksjon litt vanskeligere.
Beskytt wp-login.php. Du kan legge til HTTP-autentisering foran innloggingssiden, eller begrense tilgang til bestemte IP-adresser via .htaccess.
Skjul WordPress-versjon. Angripere kan skanne etter nettsteder med kjente, sårbare versjoner. Fjern versjonsnummeret fra HTML-kilden med en enkel kodelinje i functions.php.
En sikker WordPress-installasjon handler ikke om én stor løsning, men om mange små, konsistente rutiner. De fleste angrep lykkes fordi noen glemte en oppdatering eller brukte «password123».
Riktig hosting er fundamentet
Sikkerheten på servernivå er noe hostingleverandøren din håndterer. Et godt webhotell kjører oppdatert serverprogramvare, tilbyr brannmur på servernivå, isolerer kontoer fra hverandre og har rutiner for å oppdage og respondere på angrep.
Hos Vymo får du webhotell tilpasset norske nettsteder, med inkludert SSL og support på norsk. Se priser og pakker for å finne riktig løsning for ditt nettsted.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.