Sikkerheden på din hjemmeside er afgørende. Sikkerhedsbrud kan føre til tab af følsomme data, kompromittering af brugeroplysninger og alvorlige økonomiske konsekvenser for din virksomhed.
På globalt plan bliver omkring 30.000 hjemmesider hacket dagligt, hvilket svarer til cirka 10-12 millioner hackede websites om året. Mange af disse hackerangreb sker ved hjælp af automatiserede værktøjer, der udnytter sårbarheder i fx forældede plugins, temaer eller svage adgangskoder.
Da WordPress er den mest anvendte hjemmeside-platform i verden, er websites udviklet i WordPress et oplagt mål for hackere.
Det er derfor vigtigt, at sikkerheden på din WordPress-hjemmeside er i top, så du beskytter både din virksomhed og brugerne af din hjemmeside mod hackerne.
Du kan heldigvis selv gøre meget for at beskytte dit website mod hacking.
I denne guide til WordPress sikkerhed får du 14 konkrete tips — og du lærer de bedste måder at sikre en WordPress-hjemmeside mod hacking og nedbrud.
Guiden er baseret på mine 20 års erfaring som professionel webdesigner.
Følger du de 14 gode råd, minimerer du riskoen for, at din hjemmeside eller webshop bliver lagt ned af et hackerangreb.
Indholdsfortegnelse:
- Stærke passwords — et vigtigt skridt for WP-sikkerheden
- Brug IKKE admin som brugernavn
- Brug kun gode kvalitets-webhoteller med god support
- Backup, backup, backup
- Brug kun pålidelige plugins
- Brug to-faktor-login
- Brug et anerkendt sikkerhedsplugin
- Brug kun SFTP ikke FTP
- Sørg for, at du har et korrekt installeret SSL-certifikat
- Deaktivér editoren
- Sæt en firewall op
- Skift til PHP 8
- Whitelist IP-adresser med ret til adgang
- GLEM ALDRIG! Opdatér WordPress og plugins jævnligt
- BONUS: Google Search Console
- Hackerne er snu – gør dit for at holde dem ude
- Få optimal WordPress sikkerhed og slip for bekymringer
14 tips til effektiv WordPress sikkerhed
-
Stærke passwords — et vigtigt skridt for WP-sikkerheden
Et stærkt password er et, som man ikke kan gætte sig til. Brug derfor IKKE passwords som fx navn1234, jegergud eller fidoersej.
Et godt og stærkt password indeholder både store og små bogstaver, specialtegn og tal. Fx kO$$Yh93+x33 og gerne over 8-10 tegn.
Jo længere og sværere adgangskoden er, jo mere umuligt bliver et såkaldt bruteforce-angreb, hvor hackeren forsøger at gætte dit password ved trial and error-metoden.
-
Brug IKKE admin som brugernavn
Admin er et meget udbredt brugernavn i WordPress, og der er altid det første, robotterne prøver at logge ind med. Vælg et andet brugernavn, så er du langt her.
Da det ikke er muligt at ændre i brugernavne, efter de er oprettet, kan du oprette en ny administratorkonto, og så slette den gamle efterfølgende.
Vil du være ekstra sikker, så undlad også at bruge dit eget navn som brugernavn (let at gætte). Find på noget helt andet som fx X3KA7.
Sådan opretter du en ny administratorkonto:
1. Tryk på Brugere i menuen til venstre
2. Tryk på Tilføj ny
3. Udfyld nyt brugernavn, email og info på brugeren (Den samme e-mailadresse må kun bruges 1 gang, så ret evt. e-mail på din eksisterende bruger først)
4. Gem den nye bruger
5. Log ud med din nuværende administrator-bruger
6. Log ind med din nye administrator-bruger
7. Tryk Brugere i menuen til venstre
8. Slet din gamle administrator-bruger
9. Vælg at oprettede sider og indlæg overføres til din nye administrator bruger. Vigtigt, da du ellers vil lægge alle sider og indlæg i papirkurven!
10. Voila
-
Brug kun gode kvalitets-webhoteller med god support
De bedste WordPress webhoteller har styr på sikkerheden. De bruger opdateret software, fx de nyeste versioner af PHP og MySQL.
PHP: Programmeringssproget som WordPress og alle WordPress-plugins og udvidelser er programmeret i.
MySQL: Databasen, som alle data gemmes i. Alt, hvad du indtaster på blogindlæg, sider, kontaktoplysninger samt alle informationer gemt i dit WordPress tema osv., gemmes i MySQL.
-
Backup, backup, backup
Backup er altid vigtigt! Backuppen skal være eksternt fra din hjemmeside. Du kan fx bruge Dropbox, eller en anden backup, som ikke bliver påvirket, hvis din hjemmeside bliver ramt.
Husk at opsætte automatisk daglig backup, så du ikke pludselig har glemt at lave manuel backup i 6 eller 12 måneder.
Hvis du har en WordPress serviceaftale hos mig, bliver der automatisk lavet daglig backup af din hjemmeside på en ekstern server. Det betyder, at vi altid har en kopi af din hjemmeside, hvis uheldet er ude.
Når du har opsat en automatisk og regelmæssig backup af din hjemmeside, vil du altid kunne gendanne den — evt. på et nyt webhotel.
-
Brug kun pålidelige plugins
Mange hackerangreb sker via sårbarheder i plugins. Vælg derfor kun pålidelige plugins.
Der er over 55.ooo forskellige plugins til WordPress, så det er lidt af en jungle.
Men her er et par grundregler til valg af plugins:
– Vælg plugins, der har en masse downloads, er opdateret for nyligt. Sørg for at de har en udførlig change-log, hvor du kan se, hvad der er lavet af ændringer og opdateringer på pluginet.
– Brug gerne betalte Premium-plugins. De har som regel god support, og de bliver løbende opdateret og udviklet.
Der findes masser af gode plugins til forskellige formål.
Vil du være 100 % tryg ved dine valg af plugins, så læs min guide til de bedste plugins til WordPress →
-
Brug to-faktor-login
To-faktor-login til WordPress kræver, at du har en app på din mobil, hvor du modtager en kode, som du indtaster på din hjemmeside for at kunne logge ind.
Brug fx Google Authenticator eller Microsoft Authenticator.
-
Brug et anerkendt sikkerhedsplugin
Jeg bruger og anbefaler Wordfence.
Wordfence øger sikkerheden på din WordPress hjemmeside og skanner for dårlige filer. Gratisversionen er fin (de har også en betalt version).
Du finder det her https://www.wordfence.com/
Andre plugins, der øger sikkerheden på din WordPress hjemmeside:
1. Sucuri – skanner for malware og virus (gratis er fin, tilbyder også en betalt version)
2. iThemes Security – sikkerhedsplugin i stil med Wordfence (gratis er fin, tilbyder også en betalt version)
3. Limit Login Attempts er også et godt gratis sikkerhedsplugin. Det begrænser antallet af login-forsøg, før brugeren blokeres
-
Brug kun SFTP ikke FTP
SFTP giver dig sikker krypteret overførsel af data fra din egen computer til din webserver.
Det er som regel dit webhotel, der tilbyder SFTP. Standard på mange webhoteller er stadig FTP. Hvis dit webhotel tilbyder SFTP, så brug det!
-
Sørg for, at du har et korrekt installeret SSL-certifikat
De fleste hjemmesider og webshops har efterhånden skiftet fra http til https. S’et markerer, at der er installeret et SSL-certifikat.
SSL krypterer den data, der sendes mellem dine kunders computer og din hjemmeside. Det gør dataoverførslen langt mere sikker.
SSL (Secure Sockets Layer) er i mange år blevet brugt af fx banker og andre, der håndterer personfølsomme oplysninger. Betalingsmodulet på webshops, hvor du indtaster dine kreditkortoplysninger, bruger også SSL.
Hvorfor er SSL vigtigt for sikkerheden på din hjemmeside?
Med et SSL-certifikat, krypteres dine WordPress login-informationer, når du logger ind på din hjemmeside. Det betyder, at det er langt svære for hackere at opsnappe dit brugernavn og adgangskode.
WordPress login uden SSL (http://)
WordPress login med SSL (https://)
SSL giver tryghed både for kunder og Google
Med SSL sender du et stærkt signal – både til de besøgende og til Google – at hos os er sikkerheden i orden.
Google værdsætter sikre hjemmesider og favoriserer dem, der har implementeret SSL-certifikater og andre sikkerhedsforanstaltninger.
Hvis din hjemmeside bliver kompromitteret eller ikke fremstår sikker, kan det skade både din troværdighed over for brugerne og dine placeringer i søgeresultaterne.
Siden 2018 har Google Chrome og en række andre browsere markeret hjemmesider, der ikke har SSL, med en “IKKE SIKKER” advarsel.
Har du SSL på din hjemmeside, ser det sådan her ud i Chrome:
Har du ikke SSL, ser det sådan her ud i Chrome:Har du brug for hjælp til at installere SSL-certifikatet korrekt, så kontakt mig for et uforpligtende tilbud.
-
Deaktivér editoren
Deaktiver WordPress-editoren. Hvis den er aktiv, og en hacker får adgang til din administrator-brugerkonto, kan vedkommende indsætte kode, som kan give yderligere adgang og helt ødelægge hjemmesiden.
-
Sæt en firewall op
En firewall vil stoppe meget skadelig trafik, før det når din hjemmeside. Dette kan gøres via fx Sucuri eller Wordfence, og det hedder en WAF (Web Application Firewall)
-
Skift til PHP 8
PHP står for “Hypertext Preprocessor” og er programmeringssproget.
Skift til PHP 8. Ikke alene er PHP 8 omkring 30% hurtigere end PHP 7, men det er også mere sikkert.
Kører du en gammel version af PHP fx 5.3. 5.6 el.lign., og tilbyder dit webhotel ikke en højere version, så har du det forkerte webhotel!
-
Whitelist IP-adresser med ret til adgang
Du kan lave en whitelist med de IP-adresser, der har ret til adgang.
-
GLEM ALDRIG! Opdatér WordPress og plugins jævnligt
Jeg ser desværre ofte, at hjemmesider ikke bliver opdateret løbende, og det kan resulterer i store åbne sikkerhedshuller på dit site.
Såvel WordPress som (seriøse og gode) plugins forbedres og sikkerhedsopdateres løbende. Derfor er selve fundamentet for din WordPress sikkerhed, at du altid holder både WordPress og plugins opdateret.
Er du i tvivl om, hvordan du opdaterer, eller vil du slippe for af rode med det selv? Med en WordPress serviceaftale kan du overlade opdatering, sikkerhed og backup til mig.
Bonustips: Google Search Console — en del af din hjemmeside sikkerhed
Jeg vil anbefale, at du bruger Google Search Console på din hjemmeside.
Google Search Console er et gratis værktøj fra Google, der giver dig mange værdifulde informationer. Search Console overvåger bl.a. din hjemmeside for sikkerhedsproblemer og advarer dig, hvis der foregår noget mistænkeligt.
Sådan kan Search Console hjælpe:
- Sikkerhedsproblemer – oversigt: Google Search Console har en sektion kaldet “Sikkerhedsproblemer” (Security Issues), hvor du bliver advaret, hvis Google har opdaget hacking-aktiviteter på din side, som fx malware, phishing eller usædvanlig aktivitet. Hvis Google identificerer, at din hjemmeside er blevet kompromitteret, vil den specificere, hvilke sider der er berørte, og hvilken type sikkerhedsproblem der er tale om.
- Advarsler via e-mail: Som ejer af en hjemmeside kan du modtage automatiske e-mail-notifikationer, hvis Google finder sikkerhedsproblemer. Det giver dig mulighed for hurtigt at reagere, få fjernet de skadelige filer og gendanne din side.
- Overvågning af indeksering: Hvis din hjemmeside bliver hacket, kan det påvirke indekseringen af dine sider i Google. Du kan tjekke, om Google har markeret sider som “udelukket” eller fjernet dem fra søgninger, hvilket ofte sker i tilfælde af hacking.
- Sitemaps og URL-inspektion: Ved at bruge værktøjet kan du inspicere specifikke URL’er og sikre dig, at Google crawler og indekserer dem korrekt uden nogen sikkerhedsadvarsler.
Det er vigtigt, at du reagerer hurtigt på meddelelser om sikkerhedsproblemer. Jo længere tid din side er nede, desto mere kan det koste dig i tabt omsætning og kundetillid.
Mange opdager desværre først, at de er blevet hacket, når en kunde fortæller, at der er problemer med hjemmesiden.
Med hjælp fra Search Console får du en underretning, så snart Google opfanger noget.
Jeg har markeret med gult, hvor du som minimum bør tjekke, hvis du registrerer uregelmæssigheder på din hjemmeside.
Når din hjemmeside er koblet sammen med Search Console, så husk at slå underretninger til, så du får en mail, hvis Google opfanger noget.
Sådan slår du underretninger til:
• Log ind på Google Search Console
• Klik på “tandhjulet” i øverste højre hjørne (Brugerindstillinger)
• Vælg ”Mailpræferencer”
• Sæt ✓ i ”Aktivér notifikation via mail”
Hackerne er snu – gør dit for at holde dem ude
Hvis du bruger mine råd i denne guide, vil du forøge din WordPress sikkerhed betydeligt.
Hackerne er snu, og der findes ingen 100% forsikring mod hacking, men du kan gøre meget selv.
Er din hjemmeside blevet hacket, så kontakt mig hurtigst muligt. Jeg behandler hacking som hastesager, og løser det så hurtigt, det er fysisk muligt.
Få optimal WordPress sikkerhed og slip for bekymringer
Ved du allerede nu, at du ikke får fulgt de gode råd i denne guide. Eller synes du, det hele lyder lige lovligt nørde-teknisk, kan du overveje at tegne en WordPress Serviceaftale.
Med en serviceaftale sørger jeg for sikkerhed, opdatering og backup. Skulle uheldet være ude, og hackerene bryder ind, så renser og geninstallerer jeg dit website gratis.
Læs om alle mulighederne for WordPress hjælp og support her >
God inspiration? Del gerne indlægget.
Fin gennemgang. Men whiteliste af IP adresser som kan tilgå backend er ikke nævnt
Korrekt, det er også et godt tip. Det må jeg have med ved en opdatering fremadrettet 🙂