12 tips, der effektivt styrker din WordPress sikkerhed

Vil du undgå, at hackere trænger ind og laver ravage på din hjemmeside? Læs med her, og bliv klogere på, hvordan du bedst muligt styrker din WordPress sikkerhed, og beskytter din hjemmeside mod hackerangreb.

Er din WordPress blevet hacket, og har du brug for hurtig hjælp, så klik her >>>

Styrk din WordPress sikkerhed og undgå at hackere roder med din kode. Screenshot af WP-kode.

Derfor er WordPress sikkerhed meget vigtigt

Når du ikke har styr på sikkerheden på din hjemmeside, svarer det til, at du lader døre og vinduer stå åbne og ulåste, når du går fra dit hus eller din lejlighed.

Desværre er der mange webshop- og hjemmesideejere, der (ofte uden at vide det) har sikkerhedshuller på deres site, hvor hackere uden de store anstrengelser kan trænge ind, og udføre deres lyssky handlinger.

Popularitet betyder øget ”beskydning”

WordPress er det mest brugte CMS (Content Management System) i verden. 27 % af alle hjemmesider er opbygget i WordPress, og der er et stort spring ned til CMS-systemet Joomla, der blot udgør 3,3%.

Tabel over WordPress markedsandel. Popularitet kræver høj sikkerhed på WordPress. Rene Sejling

Det er derfor helt naturligt, at mange hackere vælger at gå til angreb på WordPress. Det stiller krav til dig, der ejer en WordPress hjemmeside. Sløser du med sikkerheden i WordPress, er der stor risiko for, at dit site bliver hacket. Og hackerne kan lave voldsomt meget rav i den.

Er din hjemmeside blevet hacket, er det meget vigtigt, at du hurtigst muligt får den renset.

Jeg ser desværre ofte, at der går noget tid, inden folk opdager, at deres hjemmeside er blevet hacket. Mange bliver først opmærksomme på det, når en af deres kunder fortæller dem, at der står en advarsel ved søgeresultatet i Google.

Vil du gerne have besked hurtigt, hvis din hjemmeside er hacket? Så læs mit Bonustips nederst på siden.

Måske har du selv oplevet at møde et søgeresultat i Google med teksten “Dette website er muligvis blevet hacket”, eller “Dette website kan beskadige din computer”. I nogle browsere er der også et rødt advarselsskilt.

Få styr på din WordPress sikkerhed. Google viser advarsel, når website er hacket. Renesejling.dk

Kilde: https://support.google.com/websearch/answer/190597?hl=en&ref_topic=3425513

Det er de færreste, der klikker ind på et søgeresultat med sådan en advarsel. Og det kan blive en dyr omgang i manglende kundebesøg på din hjemmeside, hvis det ikke bliver ordnet hurtigt.

Derfor er mit råd til dig: Sløs ALDRIG med WordPress sikkerheden. 

 

Sådan styrker du din WordPress sikkerhed

  1. Brug stærke passswords

    Et stærkt password er et, som man ikke kan gætte sig til. Brug derfor IKKE passwords som fx navn1234, jegergud eller fidoersej.

    Et godt og stærkt password indeholder både store og små bogstaver, specialtegn og tal. Fx kO$$Yh93+x33 og gerne over 8-10 tegn.

    Jo længere og sværere adgangskoden er, jo mere umuligt bliver et såkaldt bruteforce-angreb, hvor hackeren forsøger at gætte dit password ved trial and error metoden.

  2. Brug IKKE admin som brugernavn

    Admin er et meget udbredt brugernavn i WordPress, og altid det første, robotterne prøver at logge ind med. Vælg et andet brugernavn, så er du langt her.

    Da det ikke er muligt at ændre i brugernavne, efter de er oprettet, kan du oprette en ny administratorkonto, og så slette den gamle efterfølgende.

    Vil du være ekstra sikker, så undlad også at bruge dit eget navn som brugernavn (let at gætte). Find på noget helt andet som fx X3KA7.

    Sådan opretter du en ny administratorkonto:

    1. Tryk på Brugere i menuen til venstre

    2. Tryk på Tilføj ny

    3. Udfyld nyt brugernavn, email og info på brugeren (Den samme e-mailadresse må kun bruges 1 gang, så ret evt. e-mail på din eksisterende bruger først)

    4. Gem den nye bruger

    5. Log ud med din nuværende administrator-bruger

    6. Log ind med din nye administrator-bruger

    7. Tryk Brugere i menuen til venstre

    8. Slet din gamle administrator-bruger

    9. Vælg at oprettede sider og indlæg overføres til din nye administrator bruger <<< Vigtigt, da du ellers vil lægge alle sider og indlæg i papirkurven!

    10. Voila

  3. Brug kun gode kvalitets-webhoteller med god support

    Gode webhoteller har bedre styr på sikkerheden. De bruger opdateret software, fx de nyeste versioner af PHP og MySQL.

    PHP: Programmeringssproget som WordPress og alle plugins og udvidelser er programmeret i.

    MySQL: Databasen, som alle data gemmes i. Altså alt, hvad du indtaster på blogindlæg, sider, kontaktoplysninger og informationer gemt i dit tema osv., gemmes i her.

  4. Backup, backup, backup

    Backup er altid vigtigt! Backuppen skal være eksternt fra din hjemmeside. Du kan fx bruge Dropbox, eller et andet sted, som du har tilgang til, selvom du ikke kan komme ind på din hjemmeside.

    Husk at opsætte automatisk backup, så du ikke pludselig har glemt at lave manuel backup i 6 eller 12 måneder.

    Hvis du har en supportløsning hos mig, så bliver der automatisk lavet daglig backup af din hjemmeside på en ekstern server. Det betyder, at vi altid har en kopi af din hjemmeside, hvis uheldet er ude.

    Når du har opsat en automatisk og regelmæssig backup af din hjemmeside, vil du altid kunne gendanne den – evt. på et nyt webhotel.

  5. Brug udelukkende pålidelige plugins

    Plugins, du trygt kan bruge, vil være plugins, som har en masse downloads, er opdateret for nyligt og som har en udførlig change-log, hvor du kan se, hvad der er lavet af ændringer og opdateringer på plugin’et.

    Brug også gerne Premium plugins, som er plugins, du betaler for. De har som regel god support, og de opdateres og udvikles løbende.

    Der findes masser af gode plugins til forskellige formål.

  6. Brug 2-faktor login

    2-faktor login til WordPress kræver, at du på din telefon har en app eller lign., hvor du modtager en kode, som du indtaster på din hjemmeside for at kunne logge ind.

  7. Brug et anerkendt sikkerhedsplugin

    Jeg bruger og anbefaler Wordfence.

    Wordfence logo. Sikkerheds-plugin, der øger din WordPress hjemmeside sikkerhed.

    Wordfence øger sikkerheden på din WordPress hjemmeside og skanner for dårlige filer. Gratisversionen er fin (de har også en betalt version). Du finder det her https://www.wordfence.com/

    Andre plugins, der øger din WordPress sikkerhed:

    1. Sucuri – skanner for malware og virus (gratis er fin, tilbyder også en betalt version)

    2. iThemes Security – sikkerhedsplugin i stil med Wordfence (gratis er fin, tilbyder også en betalt version)

    3. Limit Login Attempts er også et godt gratis sikkerhedsplugin. Det begrænser antallet af login-forsøg, før brugeren blokeres

  8. Brug kun SFTP ikke FTP

    SFTP giver dig sikker krypteret overførsel af data fra din egen computer til din webserver.

    Det er som regel dit webhotel, der tilbyder SFTP. Standard på mange webhoteller er stadig FTP. Hvis dit webhotel tilbyder SFTP, så brug det!

  9. Skift fra http:// til https://

    Flere og flere hjemmesider og webshops skifter fra http til https. S’et markerer, at der er installeret et SSL-certifikat.

    SSL krypterer den data, der sendes mellem dine kunders computer og din hjemmeside. Det gør dataoverførslen langt mere sikker.

    SSL (Secure Sockets Layer) er i mange år blevet brugt af fx banker og andre, der håndterer personfølsomme oplysninger. Betalingsmodulet på webshops, hvor du indtaster dine kreditkortoplysninger, bruger også SSL.

    SSL øger din WordPress sikkerhed

    Har du et SSL-certifikat, så krypteres dine WordPress login-informationer, når du logger ind på din hjemmeside. Det betyder, at det er langt svære for hackere at opsnappe dit brugernavn og adgangskode.

    WordPress login uden SSL (http://)
    WP-login uden ssl. Login er ikke krypteret. Sikkerheden på WordPress ikke i top. Rene Sejling.

    WordPress login med SSL (https://)
    WP-login med ssl. Login er krypteret. Det giver øget sikkerhed på WordPress. Renesejling.dk

    SSL giver tryghed for dine kunder

    Med SSL sender du et stærkt signal til dine kunder om, at hos os er sikkerheden i orden.

    Har du SSL på din hjemmeside, ser det sådan her ud i Chrome:

    Google Chrome udseende med SSL, https. Hjemmesiden er sikker. Rene Sejling

    Har du en http:// uden SSL, ser det sådan her ud i Chrome:

    Google Chrome udseende uden SSL. Forbindelsen er http. Hjemmesiden er ikke sikker. Rene Sejling.
    Fra oktober 2017 sigt vil bl.a. Chrome-browseren vise en ”IKKE SIKKER” advarsel på alle websites med http.

    SSL er en SEO-rankingfaktor

    Https (SSL) er en af de ca. 200 SEO-rankingfaktorer, som Google bruger, når de skal bedømme, hvor højt en hjemmeside skal placeres i søgeresultaterne.

    Vil du vide mere om SSL, kan du læse her.

    Har du brug for hjælp til at skifte fra http til https, så kontakt mig her for et uforpligtende tilbud.

  10. Deaktivér editoren

    Deaktiver WordPress editoren. Hvis den er aktiv, og en hacker får adgang til din administrator-brugerkonto, kan vedkommende indsætte kode, som kan give yderligere adgang og eller helt ødelægge hjemmesiden.

    Vil du deaktivere editoren, er der en how-to guide her >>>

  11. Sæt en firewall op

    En firewall vil stoppe meget skadelig trafik, før det når din hjemmeside. Dette kan gøres via fx Sucuri eller Wordfence, og det hedder en WAF (Web Application Firewall)

  12. Skift til PHP 7

    Skift til PHP 7. Ikke alene er PHP 7 omkring dobbelt så hurtig som 5.6, men det er også mere sikkert.

    Kører du en gammel version af PHP fx 5.3 el.lign., og tilbyder dit webhotel ikke en højere version, så har du det forkerte webhotel!

Ekstra tip – GLEM ALDRIG! Opdater, opdater opdater

Jeg ser desværre ofte, at hjemmesider ikke bliver opdateret løbende, og det kan give store åbne sikkerhedshuller på dit site.

Såvel WordPress som (seriøse og gode) plugins forbedres og sikkerhedsopdateres løbende. Derfor er selve fundamentet for din WordPress sikkerhed,  at du altid holder WordPress og plugins opdateret!

Er du i tvivl om, hvordan du opdaterer, eller vil du slippe for af rode med det selv, så er opdateringer af WordPress og plugins en af de ting, jeg sørger for som en del af min supportpakker.

Læs mere om WordPress hjælp og mine supportpakker her >>>

Bonustips, der øger din hjemmeside sikkerhed

Screenshot Search Console. Tjek for problemer med din WordPress sikkerhed her. Renesejling.dkJeg vil anbefale, at du bruger Google Search Console på din hjemmeside.

Google Search Console er et gratis værktøj fra Google. Det kan kobles sammen med Google Analytics, og giver dig mange værdifulde informationer.

I forhold til information om hackeraktivitet, er det guld værd.

Her er, hvad Google siger om Search Console:

”Tag det helt roligt – Search Console sender dig en e-mail, hvis der er nogen usædvanlige hændelser i forhold til dine ejendomme. Usædvanlige hændelser omfatter tegn på, at dit website er blevet hacket, eller at Google oplevede problemer, da dit website blev gennemgået eller indekseret.” Kilde: Google

 

 

Når din hjemmeside er koblet sammen med Search Console, så husk at slå underretninger til, så du får en mail, hvis Google opfanger noget.

Sådan slår du underretninger til:

• Log ind på Google Search Console
• Klik på “tandhjulet” i øverste højre hjørne
• Vælg ”Indstillinger for Search Console”
• Sæt ✓ i ” Slå underretninger via e-mail til”

Der findes masser af guides til brug af Search Console på nettet. Jeg har markeret med gult på billede de steder, hvor du som minimum bør tjekke, hvis du registrerer uregelmæssigheder på din hjemmeside.

Hackerne er snu – gør dit for at holde dem ude

Hvis du bruger mine råd i denne guide, vil du forøge din WordPress sikkerhed betydeligt. Hackerne er snu, og der findes ingen 100% forsikring mod hacking, men du kan gøre meget selv.

Slip for bekymringer og utryghed

Ved du allerede nu, at du (på trods af gode intentioner) nok ikke får fulgt de gode råd. Og synes du, at noget af det lyder lige lovligt nørde-teknisk, så overvej at få en supportløsning, så sørger jeg for at sikkerheden på din hjemmeside eller webshop er i orden.

Skulle uheldet være ude, og hackeren bryder ind, så renser og geninstallerer jeg dit site gratis.

Læs mere om WordPress hjælp og mine supportpakker her >>>

God inspiration? Så del gerne indlægget!

2 Comments

  1. Flemming den 19. juli 2018 kl. 9:35

    Fin gennemgang. Men whiteliste af IP adresser som kan tilgå backend er ikke nævnt

    • René Sejling den 19. juli 2018 kl. 9:44

      Korrekt, det er også et godt tip. Det må jeg have med ved en opdatering fremadrettet 🙂

Efterlad en kommentar