Sådan styrker du din WordPress sikkerhed og den liste jeg bruger når jeg går sikkerheden igennem på din hjemmeside
Brug stærke passwords
Et stærkt password er et, som man ikke kan gætte sig til. Brug derfor IKKE passwords som fx navn1234, qwertyu eller wordpress. Et godt og stærkt password indeholder både store og små bogstaver, specialtegn og tal. Fx kO$$Yh93+x33 og gerne over 8-10 tegn.
Jo længere og sværere adgangskoden er, jo mere umuligt bliver et såkaldt bruteforce-angreb, hvor hackeren forsøger at gætte dit password ved “trial and error metoden”.
Brug IKKE admin som brugernavn
Admin er et meget udbredt brugernavn i WordPress, og altid det første, robotterne prøver at logge ind med. Vælg et andet brugernavn, så er du langt her.
Da det ikke er muligt at ændre i brugernavne, efter de er oprettet, kan du oprette en ny administratorkonto, og så slette den gamle efterfølgende.
Vil du være ekstra sikker, så undlad også at bruge dit eget navn som brugernavn (let at gætte). Find på noget helt andet som fx X3KA7.
Der har jeg lavet en sammensætning af ord og tal. Den er er blevet lang, hele 17 bogstaver.
Sådan opretter du en ny administratorkonto:
- Tryk på Brugere i menuen til venstre
- Tryk på Tilføj ny
- Udfyld nyt brugernavn, email og info på brugeren (Den samme e-mailadresse må kun bruges 1 gang, så ret evt. e-mail på din eksisterende bruger først)
- Gem den nye bruger
- Log ud med din nuværende administrator-bruger
- Log ind med din nye administrator-bruger
- Tryk Brugere i menuen til venstre
- Slet din gamle administrator-bruger
- Vælg at oprettede sider og indlæg overføres til din nye administrator bruger <<< Vigtigt, da du ellers vil lægge alle sider og indlæg i papirkurven!
- Voila
Brug kun gode webhoteller med god support
Gode webhoteller har bedre styr på sikkerheden. De bruger opdateret software, fx de nyeste versioner af PHP og MySQL.
PHP: Programmeringssproget som WordPress og alle plugins og udvidelser er programmeret i.
MySQL: Databasen, som alle data gemmes i. Altså alt, hvad du indtaster på blogindlæg, sider, kontaktoplysninger og informationer gemt i dit tema osv., gemmes i her.
Gode webhoteller tager også løbende backup af din side. Jeg bruger selv i123.dk
Backup, backup, backup
Backup er altid vigtigt! Backuppen skal være eksternt fra din hjemmeside. Du kan fx bruge Dropbox, eller et andet sted, som du har tilgang til, selvom du ikke kan komme ind på din hjemmeside.
Husk at opsætte automatisk backup, så du ikke pludselig har glemt at lave manuel backup i 6 eller 12 måneder.
Når du har opsat en automatisk og regelmæssig backup af din hjemmeside, vil du altid kunne gendanne den – evt. på et nyt webhotel.
Jeg vil dog tjekke din udbyder, om de tager backup af din hjemmeside, inden der bliver installeret en backup plugin på din hjemmeside. Se punktet over
Brug udelukkende pålidelige plugins
Plugins, du trygt kan bruge, vil være plugins, som har en masse downloads, er opdateret for nyligt og som har en udførlig change-log, hvor du kan se, hvad der er lavet af ændringer og opdateringer på plugin’et.
Brug også gerne Premium plugins, som er plugins, du betaler for. De har som regel god support, og de opdateres og udvikles løbende.
Der findes masser af gode plugins til forskellige formål.
Brug 2-faktor login
2-faktor login til WordPress kræver, at du på din telefon har en app eller lign., hvor du modtager en kode, som du indtaster på din hjemmeside for at kunne logge ind.
Jeg bruger dobbelt login via min udbyder i123.dk. Det betyder at jeg skal først logge på selve mappen wp-admin og derefter logge på WordPress som normalt.
Brug et anerkendt sikkerhedsplugin
Jeg bruger og anbefaler Wordfence.
Wordfence øger sikkerheden på din WordPress hjemmeside og skanner for dårlige filer. Gratisversionen er fin (de har også en betalt version). Du finder det her https://www.wordfence.com/
Andre plugins, der øger din WordPress sikkerhed:
- Sucuri– skanner for malware og virus (gratis er fin, tilbyder også en betalt version)
- iThemes Security– sikkerhedsplugin i stil med Wordfence (gratis er fin, tilbyder også en betalt version)
- Limit Login Attemptser også et godt gratis sikkerhedsplugin. Det begrænser antallet af login-forsøg, før brugeren blokeres
- Brug kun SFTP ikke FTP
SFTP giver dig sikker krypteret overførsel af data fra din egen computer til din webserver.
Det er som regel dit webhotel, der tilbyder SFTP. Standard på mange webhoteller er stadig FTP. Hvis dit webhotel tilbyder SFTP, så brug det!
Skift fra http:// til https://
Flere og flere hjemmesider og webshops skifter fra http til https. S’et markerer, at der er installeret et SSL-certifikat.
SSL krypterer den data, der sendes mellem dine kunders computer og din hjemmeside. Det gør dataoverførslen langt mere sikker.
SSL (Secure Sockets Layer) er i mange år blevet brugt af fx banker og andre, der håndterer personfølsomme oplysninger. Betalingsmodulet på webshops, hvor du indtaster dine kreditkortoplysninger, bruger også SSL.
SSL øger din WordPress sikkerhed
WordPress login uden SSL (http://)
WordPress login med SSL (https://)
SSL giver tryghed for dine kunder
Med SSL sender du et stærkt signal til dine kunder om, at hos os er sikkerheden i orden.
Fra oktober 2017 sigt vil bl.a. Chrome-browseren vise en ”IKKE SIKKER” advarsel på alle websites med http.
SSL er en SEO-rankingfaktor
Https (SSL) er en af de ca. 200 SEO-rankingfaktorer, som Google bruger, når de skal bedømme, hvor højt en hjemmeside skal placeres i søgeresultaterne.
Har du brug for hjælp til at skifte fra http til https, så kontakt mig her for et uforpligtende tilbud.
Deaktivér editoren
Deaktiver WordPress editoren. Hvis den er aktiv, og en hacker får adgang til din administrator-brugerkonto, kan vedkommende indsætte kode, som kan give yderligere adgang og eller helt ødelægge hjemmesiden.
Vil du deaktivere editoren, er der en how-to guide her >>>
Sæt en firewall op
En firewall vil stoppe meget skadelig trafik, før det når din hjemmeside. Dette kan gøres via fx Sucuri eller Wordfence, og det hedder en WAF (Web Application Firewall)
Skift til PHP 7
Skift til PHP 7. Ikke alene er PHP 7 omkring dobbelt så hurtig som 5.6, men det er også mere sikkert.
Kører du en gammel version af PHP fx 5.3 el.lign., og tilbyder dit webhotel ikke en højere version, så har du det forkerte webhotel!