WordPress Sikkerhed: De 2 absolut vigtigste tiltag

Der sker desværre ofte for rigtig mange ejere af WordPress websites, at deres website bliver hacket.

Der er vores erfaring hos Skywalkr, at der er to altovervejende årsager til at det sker. Så hvis du har helt styr på de to ting, vil du minimere risikoen for at blive hacket ganske markant.

(1) Sikring af brugeradgange til websitet

Det sker jævnligt at store datatyverier finder sted. I gennem årene har det ramt blandt andet LinkedIn, Zynga og UnderAmour.

I disse tilfælde er hundredevis af millioner af e-mail adresser og passwords blevet stjålet og lækket på internettet.

Hackere bruger disse data til brute-force angreb på dit website. Det vil sige at software robotter (bots)  hele tiden forsøger med en masse forskellige e-mail og password kombinationer, for at få adgang.

Hvis du eller andre oprettede brugere på dit site, har et standard password der tidligere er blevet lækket, så er det kun et spørgmål om tid før det går galt.

Er du i tvivl om styrken af passwords kan du tvinge et password skifte til at sikkert og unikt password direkte i WordPress.

Husk også aldrig at have en (administrator) bruger ved navn admin, da du derved allerede har hjulpet hackerne med halvdelen af adgangsoplysningerne til dit site.

(2) Manglende opdatering – især plugins

Den anden årsag til at dit site kan blive hacket, er at WordPress’ kerne, temaet eller plugins ikke er opdateret.

Hackerne finder løbende sårbarheder i softwaren der kan udnyttes til at få adgang til sitet.

Udviklerne af WordPress’ kerne, dit tema eller plugins, skynder sig at patche disse sårbarheder når de opdager dem. Derefter inkludere de et fix den næste version af deres software. Så du får kun lukket hullerne ved at opdatere.

WordPress kerne er meget sikker, og de sårbarheder der opstår er ekstremt komplekse at udnytte, og giver sjældent fulde rettigheder. Alligevel er det en god idé at opdatere WordPress til den seneste version.

Temaet bør også altid holdes opdateret, men vær særlig opmærksom om sikkerheden er forsvarlig med temaer der enten er udviklede fra bunden, eller købte temaer der er meget lidt udbredte eller ikke har været opdateret længe.

De store betalte premium themes som eksempelvis Enfold, Divi og Astra/Elementor Pro kan man bedre regne med har et højere sikkerhedsniveau. Men alligevel, sørg for altid at holde temaet opdateret til den seneste version.

Her er der hele 23 plugins, der trænger til opdatering

Plugins derimod er hvor riskikoen er størst. Det er i plugins at de mest markante og farligste sikkerhedproblemer opstår.  Det er vigtigt både for at have opdaterede plugins, men også at fravælge plug-ins der ikke har været opdateret i årevis og/eller har meget få brugere.

Her kan du se at Gutenberg plugin har stor udbredelse +200.000 sites bruger det, og det er opdateret for ganske nylig. Dog er brugerratings ikke ligefrem i top. 

Husk også at gennemgå dine plugins jævnligt for at se om du rent faksisk har brug for dem. Vi ser mange plugins der er aktive men som kun er installeret for at løse en konkret enkeltstående opgave.

Konklusion

Sørg for at have et absolut minimum af brugere oprettet på sit site. Det gælder især de brugere med administrator rettigheder.
Slet de brugere der ikke skal have adgang løbende, og reset passwords for dine brugere til et sikkert og unik password.

Vær sikker på at sitet bliver opdtateret jævnligt, gerne en gang ugentligt. Hvis du ikke vil gøre det selv tilbyder de fleste WordPress konsulenter eller bureauer denne service. Hos Skywalkr har vi også denne service, i form af en sikkerheds- og opdateringspakke.

Når du har helt styr på brugeradgangene og sitet altid er opdateret, så er risikoen for at blive hacket minimal.