10 kraftfulla nycklar för att säkra din WordPress-webbplats 2023

Alltför ofta upptäcker WordPress-webbplatsägare att deras webbplatser har äventyrats. Med tanke på dess popularitet som ett CMS är WordPress den mest riktade plattformen av hackare och som ett resultat får den ett dåligt namn eftersom det är osäkert.

Men så är det inte riktigt.

WordPress öppna källkod innebär att vem som helst kan använda den, och den stora majoriteten av de som använder den är inte väl insatta i grundläggande cybersäkerhetspraxis. Det är detta som skapar en illusion om att WordPress på något sätt är mindre säkert än andra alternativ för webbplatsbyggande.

De individer som använder sunda säkerhetsrutiner har sällan problem med webbplatser som hackas. Så vad gör en WordPress-webbplats säker?

 

Säkra din WordPress-webbplats

Här är 10 saker att tänka på när det gäller att säkra din WordPress-webbplats.

 

Använd en säker värd

Om du inte kommer med något annat från det här inlägget, var åtminstone uppmärksam på det här. Din WordPress-webbplats är bara lika säker som servern den lever på.

De flesta WordPress-webbplatser är byggda på delad hosting, vilket innebär att din webbplats lever på samma server som andra kunders webbplatser. Välj ett webbhotell som korrekt lagrar kontobehörigheter på sina servrar.

Kolla in det här: Bästa WordPress-värdtjänster jämfört

Det är inte ovanligt att en inträngd webbplats infekterar andra på samma server. Om du väljer en värd där behörigheterna är korrekt åtskilda för varje konto, minimeras risken för kontaminering på flera ställen.

Tvärtemot vad många tycker, VPS hosting är också mottaglig för spridning av skadlig programvara. VMescape-attacker, där skadlig programvara använder sårbarheter i virtualiseringsplattformar, kan tillåta skadlig programvara att fly en VPS och flytta till en annan VPS som lever på samma fysiska hårdvara.

Säkra värdar kommer också att ha andra begränsningar på plats. Dessa inkluderar användning av mod-säkerhet i deras webbserverkonfiguration, anti-malware-paket som Imunify360 och DDoS-skydd för att förhindra att webbplatser överväldigas av bots.

 

Håll din kärna, teman och plugins uppdaterade

De flesta WordPress-webbplatser blir hackade eftersom de börjar ta slut på koden. Det är inte en åsikt, det är ett dokumenterat faktum.

Säkerhetsforskare som utför kriminaltekniska analyser på tusentals hackade WordPress-webbplatser har utan tvekan fastställt att inaktuella plugins och teman är ansvariga för över 80 % av dem.

Föreställ dig att genom att helt enkelt hålla dina teman och plugins uppdaterade kan du eliminera 80 % av chanserna att din webbplats äventyras. Nu är det en nyckel till att säkra WordPress värt att notera.

 

Aktivera tvåfaktorautentisering

Även om inaktuella teman och plugins är ansvariga för den stora majoriteten av hackade WordPress-webbplatser, är brute force-attacker på användarnamn och lösenord de vanligaste metoderna som försöks få obehörig åtkomst till webbplatser.

Även om framgångsfrekvensen vanligtvis är låg, bröts fortfarande cirka 8 % av hackade webbplatser in genom att gissa en användares lösenord.

Ett sätt att skydda din webbplats är att aktivera 2-Factor Authentication (2FA). Utöver ditt användarnamn och lösenord kommer 2FA att kräva att du också skickar in ett engångslösenord från din mobila enhet eller från ett e-postmeddelande.

Om en hackare har ditt användarnamn och lösenord för din webbplats, men de inte har din telefon eller tillgång till din e-post, kommer de inte att kunna logga in.

Det finns flera plugins som lägger till 2-Factor Authentication till din webbplats, och många omfattande säkerhetsplugins som vi kommer att prata om i nästa avsnitt lägger också till det som en del av de många funktioner de inkluderar.

 

Installera en säkerhetsplugin

Det finns folk som säger att all säkerhet bör göras av din värd, men i cybersäkerhetsvärlden tror vi att säkerheten sker i lager. Att ha ett säkerhetsplugin på din WordPress webbplatsen är bara ytterligare ett av dessa lager.

När det kommer till säkerhetsplugins finns det en mängd att välja mellan. Här är några av de mest populära säkerhetsplugins. Du bör testa dem och se vilken som passar dina behov bäst.

 

Wordfence

Även om det här inlägget inte kommer att gå in på vilket säkerhetsplugin som är bäst, är det mest populära Wordfence – och det finns goda skäl till det.

För det första är Wordfence ett säkerhetsdedikerat företag i det att säkerhet är allt de gör. De är inte någon WordPress-plugin-utvecklare som bara råkar ha ett säkerhetsplugin i sin portfölj, de lever och andas trygghet.

Wordfence-pluginet kommer med en gratis brandvägg för webbapplikationer som kontrollerar varje begäran mot en lista över kända missbruk och blockerar dem om den hittar en matchning. De har också en skanner för skadlig programvara som letar efter tecken på skadlig aktivitet och filer. En annan bra funktion är möjligheten för skannern att kontrollera alla dina tema- och plugin-filer mot dem i WordPress.org-förvaret för att säkerställa att de matchar.

Wordfence loggar all säkerhetsrelaterad aktivitet som standard så att du kan granska den och se till att din webbplats är säker.

En annan trevlig funktion i Wordfence är att de har en modul för 2-faktorautentisering så att du kan slå ut rekommendation #3 i det här inlägget. I samma skyddslinje har de också brute force-skydd för att låsa ut IP-adresser som försöker logga in flera gånger och effektivt stoppa bots i deras spår.

 

Sucuri

Sucuri är ett annat bra säkerhetsplugin som kan hjälpa till att skydda din WordPress-webbplats. Den har många av samma fantastiska funktioner som Wordfence erbjuder med ett anmärkningsvärt undantag: det finns ingen gratis brandvägg – den är bara tillgänglig på en premiumplan.

En viktig anmärkning om Sucuri är att plugin-programmet nyligen köptes av GoDaddy så deras förmåga att stödja det korrekt har ännu inte bevisats. I webbhotellkretsar ses inte GoDaddy positivt, så bara tiden kommer att utvisa om det ryktet kommer att sträcka sig till Sucuri eller om de kommer att kunna ta sig an utmaningen.

Sucuri har också en granskningslogg så att du kan granska säkerhetsrelaterad aktivitet på din webbplats, till exempel misslyckade inloggningar.

 

Allt i ett WP-säkerhet och brandvägg

Allt i ett WP-säkerhet och brandvägg är det enda plugin som till och med kommer nära Wordfence i popularitet. Det erbjuder många av samma fördelar, inklusive en gratis brandvägg baserad på .htaccess-regler, brute force-skydd och en säkerhetsskanner.

En sak som den inte inkluderar är en 2-faktors autentiseringsmodul, så du måste lägga till en fristående plugin för den funktionen.

Det kan hävdas att All in One WP Security & Firewall faktiskt tillhandahåller den mest robusta brandväggen av alla säkerhetsplugin. Eftersom brandväggen är .htaccess-baserad, bearbetas den innan några skript körs vilket gör den mycket tillförlitlig.

Allt i ett WP Security & Firewall innehåller också en trevlig funktion för att skydda mot automatisk kommentarspam. Alternativt kan du ersätta WordPress standardkommentarsystem med Deeper Kommentarer för ytterligare funktioner och skydd.

 

Använd Cloudflare

Cloudflare blev populär bland WordPress-användare på grund av deras utmärkta (och gratis) CDN-tjänst som hjälper till att snabba upp din webbplats. Men Cloudflare erbjuder också en mängd gratis verktyg som hjälper till att härda din webbplats mot attacker.

För det första, när du pekar dina namnservrar till Cloudflare får du fördelen av en av de snabbaste och säkraste DNS-tjänsterna som finns och gratis SSL-certifikat.

Cloudflares servrar kontrollerar all trafik innan den någonsin når din server för DDoS-attacker och deras brandvägg är mycket konfigurerbar även i gratisversionen (med ett begränsat antal regler) som låter dig filtrera trafik baserat på land, ASN eller till och med URL eller frågesträng.

Som ett exempel, om du bara någonsin loggar in på din webbplats från en enda IP-adress eller ett litet antal fasta IP-adresser, kan du bygga en regel i Cloudflare som blockerar alla andra IP-adresser från att ens komma åt wp-admin eller wp-login.php . Det skulle blockera alla bots som försöker utföra dessa brute force-attacker som vi pratade om i avsnitt 3. Du kan också begränsa åtkomsten till wp-admin med din .htaccess-fil istället för Cloudflare. Du kan implementera båda om du vill ha flera lager av skydd (rekommenderas starkt).

 

Använd inte nullerade teman eller plugins

Vill du ha det premiumtemat men vill du inte betala för det? Tja, om du får det från en av dessa skissartade webbplatser som erbjuder nollställda teman och plugins, kan du få det gratis. Men det finns fortfarande ett pris...

När du använder ett nollställt tema eller plugin förlorar du garantin för att produkten är densamma som den som erbjuds av den officiella leverantören. Det betyder att du förlorar kodens integritet.

Nullerade teman och plugins är en betydande källa till skadlig programvara eftersom den som gjorde plugin-programmet nollställt, lade till sin egen skadlig programvara i den för att ta över din webbplats eller utföra andra skadliga åtgärder som att stjäla dina resurser för kryptomining.

Nullerade teman och plugins är skadlig programvara som du gärna installerar på din egen webbplats utan att ens inse det. Bara för att spara några kronor? Det är inte värt det. Om du behöver en premiumfunktion, betala en välrenommerad utvecklare för det.

 

Inaktivera filredigering

WordPress admin-dashboard har en mycket bekväm inbyggd redigerare som låter dig ändra innehållet i dina tema- och plugin-filer. Tyvärr gör den här redigeraren det också bekvämt för hackare att ändra koden för din webbplats om de råkar ta sig in på ditt konto.

Verkligheten är att du nästan är det aldrig kommer att använda den här funktionen. Om du någonsin redigerar en kärnfil kommer du förmodligen att göra det direkt via din värds filhanterare eller med en FTP-klient.

Du kan inaktivera möjligheten att redigera filer från administratörsinstrumentpanelen genom att lägga till den här raden i din wp-config.php-fil:

define('DISALLOW_FILE_EDIT', sant);

När du väl har lagt till den här raden är redigeringsmenyerna inte längre tillgängliga för plugin- och temafiler i WordPress admin-dashboard.

 

Flytta och byt namn på din wp-config.php-fil

Medan vi pratar om filen wp-config.php vet många redan att du kan flytta filen wp-config.php upp en katalog från din WordPress-installation och din webbplats kommer att fungera bra. Men låt oss ta det ett steg längre.

Visste du att du faktiskt kan byta namn på filen wp-config.php till vad du vill och flytta den från din WordPress-installation helt till en icke-offentlig mapp? Det tar lite mer arbete att göra, men det är väl värt det.

Medan själva filen i allmänhet returnerar en tom sida när den anropas i en webbläsare, i sällsynta fall när PHP-hanteraren misslyckas, kan hela innehållet i filen vara synligt som vanlig text direkt i en webbläsare.

Filen wp-config.php innehåller känslig information om din webbplats inklusive databasens användarnamn och lösenord. Denna information i fel händer kan vara katastrofal. Att byta namn på filen till något slumpmässigt hjälper till att dölja den från bots och hackare.

By flytta wp-config.php till en icke-offentlig mapp, eliminerar du möjligheten för någon att få informationen genom en webbläsare under ett PHP-handerfel.

 

Granska aktivitet på din webbplats

Om du inte håller reda på vad som händer på din webbplats kan du gå miste om nyckelinformation som kan varna dig om försök till skadlig aktivitet, eller till och med upptäcka skadlig aktivitet om din webbplats redan har utsatts för intrång.

Bortsett från säkerhetsfördelarna, om du har en webbplats med flera användare, kan ett bra granskningsplugin också hjälpa till att säkerställa att du kan spåra legitima aktiviteter. Som byrå är det ett bra verktyg för att veta om din klient kan ha förstört något även om de säger att de inte gjorde det!

Det finns flera bra plugins för att granska webbplatsaktivitet. Några av de tidigare nämnda säkerhetspluginarna har en viss nivå av revisionsloggningskapacitet, men de nedan tar det till nästa nivå genom att granska all användaraktivitet snarare än bara säkerhetsrelaterade händelser. Här är topp 3.

 

Enkel historik – användaraktivitetslogg, granskningsverktyg

Enkel historia är det mest populära plugin-programmet för revision och det är bra att börja testa med. Den loggar alla saker du kan förvänta dig, såsom innehållsuppdateringar, plugininstallationer och aktiveringar, och nästan vilken annan typ av användaraktivitet som helst.

Pluginet har ett 5-stjärnigt betyg och utvecklarteamet är ganska aktivt i supportforumen och svarar regelbundet på supportfrågor där inom en rimlig tidsram.

 

WP-aktivitetslogg

Smakämnen WP-aktivitetslogg plugin är ett annat bra alternativ att använda för din webbplats. Det har några mer konfigurerbara alternativ än det tidigare pluginet som möjligheten att aktivera och inaktivera granskning av vissa händelser och en konfigurerbar lagringsperiod för loggning. Den har också massor av tillägg för att utöka övervakningen till specialinsticksprogram som WooCommerce och WPForms.

Insticksprogrammet har ett betyg på 4.5 stjärnor och den ledande utvecklaren svarar på nästan varje enskild supportforumfråga personligen.

Om du driver en byrå, integreras WP Activity Log väl med det populära hanteringsverktyget MainWP så att du kan se granskningsloggarna för alla dina klientwebbplatser i ett enda gränssnitt. Bland byråer är WP Activity Log det första valet för revisionsloggning.

 

aktivitets~~POS=TRUNC

Ett annat populärt alternativ med 4.5-stjärnigt betyg. aktivitets~~POS=TRUNC fångar allt du kan förvänta dig och har ett stort antal aktiva installationer.

Tyvärr svarar utvecklaren inte ofta på supportförfrågningar i forumen med de flesta supportfrågor som står obesvarade på obestämd tid.

 

Använd principen om minsta privilegium

I en värld av cybersäkerhet är principen om minsta privilegium ett koncept där en användare endast har de behörigheter de behöver för att utföra sitt jobb.

I WordPress-världen är det inte ovanligt att se ett företag med 10 användare som alla är inställda på Administratör. Det kan finnas legitima skäl för denna åtkomstnivå, men det är sällsynt att behöva mer än 1 eller 2 konton med så hög behörighetsnivå.

En sak du inte kan kontrollera är vad dina användare gör när de inte aktivt utför arbete på din WordPress-webbplats. Detta betyder om de misslyckas skydda sin egen data från hackare, det finns en god chans att slarv kommer att spilla över på din webbplats.

Genom att begränsa deras åtkomst kommer du att kunna mildra eventuella skador som en användare kan orsaka oavsiktligt, som att klicka på en skadlig länk medan du fortfarande är inloggad på din webbplats. Även om du är webbplatsadministratör bör du använda ett separat redigerarkonto med begränsade behörigheter när du inte utför administrativa uppgifter på hög nivå.

Är det tråkigt att göra detta? Säker. Men det är mycket mindre tråkigt än att behöva städa upp en infekterad webbplats.

 

Bonus: Ta frekventa säkerhetskopior

I det värsta scenariot där din webbplats har äventyrats, ibland är det enda alternativet att återställa den från en ren säkerhetskopia; en som togs före infektion. De flesta anständiga webbhotell kommer att säkerhetskopiera din webbplats en gång om dagen, men de behåller vanligtvis bara dessa säkerhetskopior i ett par veckor.

Detta är problematiskt om du har en infektion som gick obemärkt förbi ett tag. Många infektioner gömmer sig effektivt för inloggade administratörer för att undvika upptäckt så länge som möjligt.

Eftersom du nu vet att säkerheten är bäst i lager kan du tillämpa samma koncept på dina säkerhetskopior genom att ta dina egna säkerhetskopior utöver ditt webbhotell.

Det finns några fantastiska gratis backup-plugins tillgängliga, inklusive UpdraftPlus, BackWPupoch Allt-i-ett-WP-migrering. Var och en har sina egna styrkor och svagheter, men de är alla mycket pålitliga och gör att du kan säkerhetskopiera din webbplats mer regelbundet. I vissa fall kan du till och med automatiskt säkerhetskopiera till fjärrmolnlagring som Dropbox eller OneDrive.

 

Avslutande tankar

WordPress-säkerhet är en viktig del av att äga en webbplats. Det kan också vara en tidskrävande och resurskrävande process om den görs felaktigt eller slarvas. Genom att implementera nycklarna i det här inlägget kan du sätta de flesta av dina säkerhetsbehov på automatiska så att du kan fokusera på det som är viktigt: ditt företag.