Slik sikrer du WordPress-nettstedet ditt fra hackere (17 eksperttips)

Vil du sikre WordPress-siden din mot hackere?

WordPress-sikkerhet er ikke bare et alternativ. Det er nødvendig å beskytte nettstedet ditt mot sikkerhetsrisikoer som ondsinnet kode, skadelig programvare, roboter og mye mer.

Hver uke svartelister Google over 10 000 nettsteder daglig for skadelig programvare og over 50 000 for nettfisking. Så hvis du er seriøs med å holde nettstedet ditt trygt, er du på rett sted.

I denne WordPress-sikkerhetsguiden viser vi deg hvordan du sikrer WordPress-nettstedet ditt mot de fleste sikkerhetsproblemer.

Kan WordPress være sikkert?

WordPress kan være et sikkert innholdsstyringssystem (CMS) hvis du tar de nødvendige sikkerhetstiltakene for nettstedet. Nedenfor vil vi dele de viktigste sikkerhetstiltakene for nettstedet du bør ta, og forklare hvorfor det er viktig for bedriftens nettsted.

Grunnleggende om WordPress-sikkerhet

La oss starte med å forstå hvorfor det er viktig å holde WordPress-nettstedet ditt sikkert for å lykkes, og hvordan du implementerer noen grunnleggende sikkerhetstiltak.

Først kan du spørre deg selv hvorfor er WordPress-sikkerhet viktig?

1. Forstå hvorfor WordPress-sikkerhet er viktig

Tenk deg å våkne opp en dag og oppdage at WordPress-nettstedet ditt er kompromittert. Alt som jobber med å bygge et profesjonelt forretningsnettsted, blogg eller e-handelsnettsted blir knust av irriterende hackere.

Hackere kan introdusere sikkerhetssårbarheter som ikke bare skader bedriftens inntekter og omdømme. De kan også stjele personlig informasjon, for eksempel passord og kredittkortdetaljer, og installere skadelig programvare som sender skadelig programvare til brukerne dine.

Det som er verre er at du kan bli offer for å betale løsepengeprogramvare for å få tilbake tilgang til nettstedet ditt.

Hvis nettstedet ditt er en bedrift og du vil unngå det marerittet, må du være mer oppmerksom på WordPress-sikkerheten din. Det begynner med den enkle praksisen med å holde kjerneversjonen av WordPress oppdatert.

2. Hold WordPress Core Files oppdatert

Siden WordPress er åpen kildekode, vedlikeholdes og oppdateres den jevnlig. Din standard WordPress-installasjon vil automatisk installere mindre oppdateringer, men du må oppdatere WordPress til den nyeste versjonen for større utgivelser manuelt.

På samme måte har WordPress tusenvis av plugins og temaer. Utviklerne av disse tredjepartsverktøyene slipper også regelmessige oppdateringer.

I tillegg inneholder oppdateringer ofte sikkerhetsoppdateringer som fikser sårbarheter. Så det er viktig å oppdatere WordPress-plugins og temaer ofte for å sikre nettstedets stabilitet og sikkerhet.

3. Slett ubrukte temaer og plugins

I tillegg til å holde plugins og temaer oppdatert, bør du også slette alle du ikke lenger bruker.

Å ha unødvendige temaer og plugins er som å la ubrukte husdører være ulåste. Den tilbyr en bakdør for hackere å få tilgang, så bli kvitt alt du ikke trenger.

Å lese:  Få massiv trafikk til nettstedet ditt: 8 effektive...

4. Bruk sterke passord og tillatelser

Noen av de vanligste WordPress-hackingforsøkene bruker stjålne brukernavn og passord for å få tilgang til et nettsted. For å gjøre hackingforsøk vanskeligere, bruk sterke passord som er unike for WordPress-nettstedet ditt.

Dette gjelder WordPress-nettstedet ditt, hosting, FTP-kontoer, bedrifts-e-postadresse og mer.

Selv om det er fristende å bruke kjæledyrets navn fordi det er lett å huske, er det også lett å gjette.

Den beste praksisen er å bruke et passord med minst 12 tegn. Disse tegnene skal ha store og små bokstaver, symboler og bokstaver.

Mange WordPress-brukere unngår å lage komplekse passord fordi de er vanskelige å huske. Den gode nyheten er at du kan bruke passordbehandlere til å generere og lagre sterke passord sikkert.

Et annet viktig tips er å holde WordPress-administratorkontoen din privat. Hvis du har et stort team som jobber på nettstedet ditt, eller flere WordPress-forfattere, kan du tildele dem spesifikke brukerroller og tillatelser før de legger til sine nye brukerkontoer.

5. Velg et sikkert WordPress-vertsselskap

Et annet grunnleggende sikkerhetstrinn er å sikre at du bruker anerkjent webhotell. De beste WordPress-vertsleverandørene, som Bluehost, SiteGround og Hostinger, tar ekstra vare på å beskytte serverne sine mot sikkerhetsbrudd.

Et godt WordPress-vertsfirma vil ofte jobbe i bakgrunnen for å beskytte nettstedet ditt ved å bruke følgende tiltak:

  • Overvåk for mistenkelig aktivitet
  • Opprettholde verktøy for å forhindre DDOS-angrep i stor skala
  • Hold serverprogramvare, maskinvare og PHP-versjoner oppdatert
  • Disaster recovery og ulykkesplaner for større hendelser

Mange verter tilbyr delte hostingplaner der du deler webserverressurser med andre kunder.

Siden dette kan risikere at hackere bruker nabosider for å angripe dine, kan det være best å bruke administrert WordPress-hosting i stedet.

Administrerte WordPress-vertsleverandører som WPEngine har en sikrere plattform. De tilbyr også automatisk sikkerhetskopiering, WordPress-oppdateringer og avansert sikkerhet.

Ingen kode WordPress sikkerhetstrinn

Vi forstår at det kan være skummelt å forbedre WordPress-sikkerheten din, spesielt for nye nettstedeiere og nybegynnere. Ikke bekymre deg; trinnene nedenfor krever ingen teknisk ekspertise.

Om noen minutter er du på vei til å styrke WordPress-sikkerheten din uten å skrive kode.

6. Installer en WordPress sikkerhetskopiløsning

Sikkerhetskopiering av WordPress er et av dine første forsvar mot hackere. Hvis noe forferdelig skjer, lar de deg gjenopprette nettstedet til den forrige tilstanden.

De beste WordPress backup-plugins har gratis og betalte versjoner med tilleggsfunksjonalitet, for eksempel WordPress-database og filoverføringer, gjenopprettingspunkter og e-postvarsler. Den viktigste funksjonen å se etter er imidlertid muligheten til regelmessig å utføre og lagre sikkerhetskopier til et eksternt sted.

Se etter sikkerhetskopieringsløsninger med ekstern lagring på steder som Amazon, Dropbox eller privat skylagring. I tillegg kan du velge plugins som tillater sikkerhetskopiering som passer til timeplanen din, for eksempel sikkerhetskopiering én gang per dag eller sanntidssikkerhet.

Noen populære backup-plugins med disse funksjonene inkluderer Duplikator, UpdraftPlus, BlogVault og Jetpack VaultPress Backups. De er enkle å bruke, pålitelige og krever ikke koding.

7. Velg den beste WordPress sikkerhetsplugin

Etter å ha anskaffet en sikkerhetskopiløsning, er neste oppgave å sette opp et overvåkingssystem for å spore aktiviteten på nettstedet ditt. Denne aktiviteten kan omfatte mislykkede påloggingsforsøk, filintegritetsovervåking, skanning av skadelig programvare og mer.

Å lese:  Fem gode eksempler på forretningsblogg

De fleste av disse overvåkingsoppgavene håndteres enkelt av Sucuri Scanner, den beste gratis WordPress-sikkerhetsplugin. Etter å ha installert og aktivert Sucuri, naviger til Sucuri Sikkerhet » Innstillinger fra WordPress-dashbordet og klikk på Herding-fanen.

Gå nå gjennom hvert alternativ og klikk på Påfør herding knapp.

Disse innstillingene hjelper til med å låse ned områder på nettstedet ditt som hackere ofte bruker i sine angrep. Det eneste alternativet du må betale for å oppgradere er nettapplikasjonsbrannmuren som vi vil forklare i neste trinn.

Andre alternative WordPress-sikkerhetsplugins inkluderer WordFence og iThemes Security.

8. Bruk en brannmur for nettapplikasjoner (WAF)

Å bruke en brannmur er en effektiv måte å blokkere ondsinnet trafikk før den når WordPress-siden din, og det er flere typer å velge mellom.

  • Nettstedbrannmur på DNS-nivå: Ruter nettstedtrafikk gjennom cloud proxy-servere, og sender kun ekte trafikk til webserveren din.
  • Brannmur på applikasjonsnivå: Undersøker trafikk når den når serveren din, men før du laster WordPress-skript.

Som nevnt ovenfor er Sucuris brannmur en robust løsning for dette. Sucuri hjalp WPBeginner med å blokkere 450 000 angrep på 3 månedersom beviser effektiviteten.

Programtillegget kommer også med opprydding av skadelig programvare og en garanti for fjerning av svarteliste, så hvis du blir hacket mens du bruker dem, vil de fikse nettstedet ditt uten spørsmål. Tatt i betraktning at de fleste sikkerhetseksperter tar rundt $250 per time, er denne tjenesten en tyveri til bare $199 per år.

Forbedre WordPress-sikkerheten din med Sucuri Firewall i dag.

9. Bytt fra HTTP til SSL/HTTPS

Hvis du ikke allerede har gjort det, er det et avgjørende neste skritt å legge til SSL-kryptering på WordPress-siden din. SSL, forkortelse for Secure Sockets Layer, krypterer dataoverføringer mellom nettstedet ditt og besøkendes nettlesere. Det gjør det i utgangspunktet vanskeligere for hackere å stjele informasjon.

Når SSL er aktivert, vil nettstedet ditt bruke HTTPS i stedet for HTTP. Det vil også være et hengelåsikon ved siden av adressen din i nettlesere.

SSL-sertifikatpriser varierer fra 80 til hundrevis av dollar årlig, noe som gjør det til noe mange nettstedeiere unngår. Men siden Let’s Encrypt begynte å tilby gratis SSL-sertifikater, tilbyr mange hostingselskaper dem som en del av planene deres.

Hvis webverten din ikke tilbyr SSL, kan du kjøpe en fra domain.com. De har den mest pålitelige SSL-avtalen, med en sikkerhetsgaranti på $10 000 og TrustLogo-sikkerhetssegl.

Avanserte WordPress sikkerhetstips

Når du har mestret sikkerhetstrinnene ovenfor, er det på tide å gå opp i nivå. Det er alltid mer du kan gjøre for å sikre WordPress-siden din, la oss utforske noen avanserte sikkerhetstiltak.

Merk: Noen av trinnene nedenfor kan kreve kodekunnskap.

10. Begrens påloggingsforsøk

For ytterligere å beskytte nettstedet ditt mot trusselen om brute force-angrep, kan du begrense forsøk på å logge på WordPress. På den måten, når noen taster inn feil passord gjentatte ganger, blir de utestengt fra nettstedet ditt for en tid.

En måte å implementere denne funksjonen på er å bruke Begrens påloggingsforsøk lastet inn på nytt plugg inn.

Å lese:  Hvordan bygge et fantastisk advokatnettsted for nesten ingenting

Den lar deg spesifisere maksimalt antall feil passord som er tillatt før du låser brukeren ute og sender deg e-post når en pålogging mislykkes.

For fullstendige instruksjoner om hvordan du konfigurerer denne plugin, sjekk ut denne veiledningen på hvordan begrense påloggingsforsøk i WordPress.

11. Bruk tofaktorautentisering

Tofaktorautentisering gjør påloggingsprosessen for legitime brukere mer komplisert og irriterende og bidrar til å holde uønskede fra nettstedet ditt.

Som navnet tilsier, krever tofaktorautentisering at brukere fullfører to sikkerhetstrinn før de kan bruke nettstedet. Det første trinnet er vanligvis den tradisjonelle utfordringen med navn/passord. Det andre trinnet innebærer å skrive inn en sikkerhetskode sendt til dem via tekstmelding eller annen sikker enhet.

Mange plugins lar deg sette opp tofaktorautentisering, for eksempel gratis WordPress Two Factor Authentication-plugin.

Etter at du har installert og aktivert plugin-en, klikker du på Tofaktoraut link i WordPress-administratoren din, som avslører en engangsoppsettkode.

Installer og åpne deretter en autentiseringsapp på telefonen din, for eksempel Google Authenticator, og klikk på plussikonet for å legge til en ny kode.

Derfra kan du skanne QR-koden på pluginens innstillingsside for å fullføre oppsettet.

Neste gang du logger på WordPress-nettstedet ditt, vil det be deg om tofaktorautentiseringskoden etter å ha skrevet inn passordet ditt.

12. Skjul din WordPress-påloggingsside

Nesten alle hackere vet at en WordPress admin-side vanligvis åpnes ved å legge til /wp-admin etter domenenavnet. For eksempel, hvis domenenavnet ditt er xyz.com, er administratorsiden sannsynligvis tilgjengelig via følgende URL: http://xyz.com/wp-admin.

De vet også at navnet på påloggingssiden er wp-login.php.

Heldigvis kan du endre det. Plugins, som f.eks WPS Skjul pålogginglar deg tilpasse påloggings-URLen.

Det blir mye vanskeligere for hackere å bryte seg inn i systemet ditt hvis de ikke finner påloggingssiden din. Du kan også følge denne veiledningen om hvordan du endrer din WordPress-påloggings-URL.

13. Endre ditt standard administratorbrukernavn

På samme måte kan WordPress-installasjonen din gi administratorkontoer brukernavnet “admin.” Det er best å endre dette navnet så snart som mulig fordi hackere er kjent med det og kan prøve et “brute force”-hack (forsøker forskjellige passord gjentatte ganger) med det brukernavnet.

Mange vertsleverandører er klar over dette potensialet for et angrep og unngår som et resultat å opprette administratorkontoen med navnet «admin». Det er imidlertid fortsatt verdt å sjekke for å forbedre sikkerheten.

14. Gi administratortilgang via IP

Hvis du er den eneste som er autorisert til å utføre administrative oppgaver på WordPress-nettstedet ditt, kan du også begrense administrativ tilgang med IP-adresse.

IP-adressen din er en kvartett av tall som identifiserer deg på nettet. Tenk på det som din digitale adresse.

Med dette i tankene, kan du fortelle WordPress bare å la folk få tilgang til administratoren hvis de har en spesifikk IP-adresse. Det betyr at hackere som prøver å få tilgang til nettstedet ditt fra en hvilken som helst annen IP vil mislykkes.

For å implementere denne sikkerhetsfunksjonen, gå til whatismyip.com for å finne din IP-adresse. Deretter må du endre .htaccess-filen i vertsleverandørens admin-katalog for å gjøre sikkerhetsendringen.

Hvis du ikke vet hvordan du gjør det, ring hostingselskapets tekniske støttelinje og be en tekniker om å gjøre det for deg.

Å lese:  Slik viser du de siste videoene med YouTube Showcase i WordPress

Nærmere bestemt vil du ha noe som ser slik ut lagt til filen:

bestille nekte, tillat nekte fra alle Tillat fra xxx.xxx.xxx.xxx

Erstatt “xxx.xxx.xxx.xxx” med IP-adressen du så på whatismyip.com. Når det er gjort og filen er lagret, kan bare personer med den spesifikke IP-adressen få tilgang til WordPress-administratoren din.

Merk: Din Internett-leverandør (ISP) vil noen ganger endre IP-adressen din. Hvis det skjer, blir du utestengt fra nettstedet ditt. Løsningen er å ringe teknisk support og be en tekniker om å oppdatere IP-adressen tilsvarende. Gjør dette på egen risiko.

15. Deaktiver XML-RPC i WordPress

ML-RPC er en funksjon introdusert i WordPress 3.5 som hjelper deg med å koble WordPress-nettstedet ditt med nett- og mobilapper. Men på grunn av hvor kraftig den er, kan den også forsterke brute-force-angrep.

For eksempel, tidligere, hvis en hacker ønsket å prøve 500 forskjellige passord, måtte de gjøre 500 påloggingsforsøk som pluginene for grensepåloggingsforsøk vanligvis ville fange. Men med XML-RPC kan hackere bruke system.multicall-funksjonen til å prøve tusenvis av passord med færre forespørsler.

Følgelig, hvis du ikke bruker XML-RPC, er det best å deaktivere det. For fullstendige instruksjoner, se denne veiledningen på hvordan deaktivere XML-RPC i WordPress.

16. Deaktiver filredigering

WordPress har en innebygd koderedigerer som lar deg redigere WordPress-tema- og plugin-filer fra WordPress-administrasjonsområdet. I feil hender kan denne funksjonen risikere sikkerheten til nettstedet ditt, og det er derfor det er best å slå den av.

Du kan enkelt gjøre dette ved å legge til følgende kode i filen wp-config.php.

nekter fra alle

Alternativt kan du slå av filredigering ved å bruke Hardening-funksjonen i den gratis Sucuri-pluginen nevnt tidligere.

17. Skann WordPress-nettstedet ditt for skadelig programvare

Du har sannsynligvis allerede antivirusprogramvare på PC-en din som skanner harddisken din for potensielle trusler. Hvis du har installert en WordPress-sikkerhetsplugin, vil den rutinemessig sjekke nettstedet ditt for sikkerhetsbrudd og skadelig programvare.

Imidlertid kan et plutselig fall i trafikken til nettstedet eller søkemotorrangeringene indikere at noe er galt, og du bør kjøre en manuell skanning. Du kan bruke WordPress sikkerhetsplugin eller skadelig programvare og sikkerhetsskanner for dette.

Det er enkelt å kjøre en nettskanner. Bare skriv inn nettadressene dine, så vil skanneren gjennomsøke nettstedet ditt på jakt etter skadelig programvare og skadelig kode.

Selv om disse skannerne kan skanne nettstedet ditt, kan de ikke fjerne skadelig programvare eller rense et hacket nettsted.

Neste skritt

Vi håper du fant denne veiledningen om hvordan du sikrer WordPress-siden din fra hackere nyttig. WordPress-nettstedet ditt er like utsatt for inntrenging som alle andre nettsteder på nettet, men du kan redusere risikoen for angrep ved å følge de beste WordPress-sikkerhetspraksisene.

For ytterligere lesing, sjekk ut følgende veiledninger og veiledninger:

Takk for at du leste! Vi vil gjerne høre dine tanker, så legg gjerne igjen en kommentar med spørsmål og tilbakemeldinger.

Du kan også følge oss på YouTube, X (tidligere Twitter)og Facebook for mer nyttig innhold for å utvide virksomheten din.

Stacey har skrevet om WordPress og digital markedsføring i over 10 år og om andre emner mye lenger. Ved siden av dette er hun fascinert av webdesign, brukeropplevelse og SEO.

Nye publikasjoner:

Anbefaling