Å jobbe med sikring av dine WordPress nettsider handler ikke om å eleminere all sikkerhetsrisiko, men om å redusere den. Ha dette alltid i bakhodet, da det aldri vil være mulig å gjøre det umulig for noen å bryte seg inn.
I denne sikkerhetsguiden finner du de viktigste rådene vi kan gi for å sikre din WordPress installasjon bedre og på den måten tette noen av de kjente sikkerhetshullene. Har du kjøpt dine nettsider av OnNet er disse tiltakene allerede gjort før nettsidene ble levert.
Brukernavn og passord
Det største sikkerhetshullet i alle IT løsninger er brukernavnet og passordet brukerne benytter for å logge inn på en tjeneste. Er brukernavnet eller passordet ikke sterkt, dvs. vanskelig å tippe, er du garantert å få uvedkommende på besøk.
Brukernavn
Når du installerer WordPress, vil administratorens default brukernavn være admin. Det sier seg selv at dersom du ikke forandrer dette standard brukernavnet, vil det være relativt enkelt å knekke passordet gjennom et Brute force angrep på kontoen. Dvs. et script som automatisk prøver alle tenkelige passord kombinasjoner helt til de tipper korrekt passord.
Vi anbefaler at du straks etter installasjonen av WordPress oppretter en ny bruker med administrator-rettigheter og ett annet brukernavn enn “admin”. Dette gjør du i WordPress Dashboard under menyvalget “Brukere”. Denne nye brukeren får da en annen ID i databasen enn default brukeren som normalt er brukerid = 1.
Siden alle hackere vet at standard administratoren er bruker nr 1 skriver de script som gjør kall mot bruker ID istedenfor brukernavnet for å komme seg inn på nettstedet ditt. Når den nye brukeren er opprettet sletter du den gamle administrator kontoen.
Passord
Passordet bør bestå av minst 8 tegn og det bør bestå av store og små bokstaver, tall og spesialtegn. Dette for å gjøre det vanskelig å gjette korrekt passord. Bruk aldri passord som står i en ordliste eller leksikon, da hackernes script alltid prøver alle ord i offentlige ordlister og leksikon.
To-faktor Autentisering
For å ytterligere øke sikkerheten kan du vurdere å også installere et tillegg som gir deg muligheten til å opprette en to-faktor autentisering.
Hver gang du logger deg inn på din WordPress-side må du da i tillegg legge inn en ekstra kode fra mobilen din i tillegg til ditt brukernavn og passord. Dette sørger for at sikkerheten eskalerer betraktelig. Det finnes mange gode eksempler på plugins du kan benytte, f.eks. Clef og Google Authenticator.
Valg av tema
Sørg for å velge en tema som kontinuerlig oppdateres slik at sikkerheten ivaretas.
Å velge en seriøs leverandør av tema vil sørge for at sikkerhetshull, funksjonalitet og optimalisering kontinuerlig utvikles og oppdateres. Et godt kodet tema sørger dessuten for at nettsiden lastes raskere i en nettleser. Valg av et godt tema vil garantert spare deg for mye frustrasjon senere.
Valg av tillegg (plug-ins)
Gjør derfor følgende:
- Avinstaller de utvidelsene du ikke benytter. Siden hver utvidelse er et potensielt sikkerhetshull bør vi redusere risikoen ved å avinstallere alle tillegg man ikke lenger bruker.
- Alltid last ned utvidelsene fra den offisielle nedlastningssiden til WordPress via plug-ins siden i WordPress Dashboard eller fra en annerkjent distributør av WordPress plug-ins, f.eks. theameforest.net.
- Sjekk om utvidelsen blir regelmessig oppdatert og om den er kompatibel med din versjon av WordPress. Dersom du ser at utvidelsen ikke har blitt oppdatert på lang tid, er dette et tegn på at den ikke holdes oppdatert og den bør av den grunn unngås.
Sikkerhetstillegg
Oppdateringer
Såvel WordPress som ditt tema og tillegg (plug-ins) må holdes oppdatert. I WordPress er dette svært enkelt. Når du logger inn på WordPress Dashboard vil du automatisk få beskjed om du har noen nye oppdateringer som du må installere. Klikk på menyvalget “Kontrollpanel” + “Oppdateringer” og markert alle tilleggene og temaene du får opp ved å markere dem og klikke “Oppdater”. Problemet i denne sammenheng er at du ikke må glemme å logge deg inn på WordPress Dashboard for å sjekke om noen tillegg eller tema må holdes oppdatert. Lag derfor en rutine på dette så dette ikke blir glemt.
At dette gjøres er ekstremt viktig, da hackere konstant leter etter sikkerhetshull i kildekoden, temaene og tilleggen de kan utnytte ved bruk av nye teknikker. For å unngå at dette skjer kreves det at WordPress, temaet og tilleggene holdes oppdatert gjennom WordPress Dashboard.
Det er mulig å sette WordPress til å automatisk oppdatere seg selv, men husk da på at dersom du av en eller annen grunn får en feil i oppdateringen, er det ikke like fort gjort å oppdage at nettsiden din ligger nede.
Bytt Wp-Prefix
Selv om en WordPress-installasjon er meget sikker kan sikkerheten økes ytterligere ved å bytte wp-pefix for alle tabellene i databasen. Når du installerer WordPress vil alle tabellene i databasen din automatisk få prefikset wp_.
Aktører som ønsker å kompromittere din nettside vet at dette er et standardoppsett i en WordPress database. For å ikke gjøre hverdagen til de som ønsker å angripe din side enklere enn nødvendig, er det relativt fort gjort å forandre prefikset under installasjonen. Det er enklere å gjøre dette i innstallasjonsfasen enn å gjøre det senere. Jobben er gjort på få sekunder, men vil drastisk øke sikkerheten på din database og nettside.
Problemet er bare at enkelte dårlig skrevne tillegg kanskje ikke lenger vil virke, da de er hardkodet for å lete etter spesifikke WordPress tabeller og felt som begynner med wp_.
Har du allerede installert WordPress kan du bytte denne wp-prefix i IThemes security.
Filrettigheter

Logg deg inn i CPanel (kontrollpanelet til webhotellet) og klikk på Filbehandler ikonet etter innlogging og gå til mappen public_html. Her ligger filene til dine nettsider. Disse rettighetene kan du også forandre direkte i IThemes Security.
Rettighetene på en mappe vil se ut som vist i figuren til høyre.
Aktivser Brute Force brannmur
SSL
Deretter må du sette WordPress til å svare på https:// protokollen istedenfor http:// som er default innstillingene.
Logg inn på WordPress Dashbord og gå til menyvalget “Innstillinger” + “Generelt”. Her må andre nettstedets URL i to felt:
- WordPress-adresse (URL)
- Nettstedsadresse (URL)
Skriv her inn ditt domene med https:// foran, f.eks. https://dittnavn.no/ hvis domene ditt er dittnavn.no. Se figuren under for å se hvilke to felt du må endre.
Fjern Pingbacks, Tracebacks og XML-RPC
Fjern Pingbacks og Tracebacks
Pingbacks og Tracebacks er to funksjoner som skal gjøre gjøre kommunikasjonen mellom ulike WordPress nettsteder enklere. Funksjonene er idag lite brukt og gir ikke noe annet resultat enn en spam økning på 99%. Vi anbefaler derfor at du slår av denne funksjonaliteten.
Det gjør du ved å gå til menyvalget “Innstillinger” + “Diskusjon”.
Disable XML-RPC
En annen god ide for de fleste er å skru av XML-RPC, da disse funksjonene ikke brukes for 90% av brukerne av WordPress. Har du installert IThemes security går du til “WordPress Salts”, hvor du kan disable XML-RPC funksjonaliteten.
Fjern katalogvisning i WordPress
En slik indeksering av ditt nettsted kan gjøre din nettside mer sårbar for angrep ettersom viktig informasjon kan bli utnyttet.
Problemet kan du løse gjennom å slå av visningen av kataloginnholdet på din WordPress installasjon. Dette gjøres ved å legge til en kode i din .htaccess fil eller ved bruk av sikkerhetstillegget IThemes security, hvor dette gjøres under menyvalget System Tweaks.
Når dette er gjort vil nettstedet ditt vise en 404 side istedenfor fil-innholdet i katalogen.

Endre Logg-inn URL
wp-admin.php
wp-login.php
Dette vet hackere. Når de skal angripe nettstedet ditt ved bruk av et brute force angrep angriper de automatisk wp-login.php som er standard innloggingsside. Dette utgjør en sikkerhetsrisiko som du kan gjøre noe med enten ved å endre din .htaccess fil eller ved bruk av sikkerhetstillegget Wordfence, hvor du kan angi en egendefinert sti til innlogginssiden.
Når dette er gjort vil du oppleve en dramatisk nedgang i forsøket på ulovlige innlogginger.
Backup
Det finnes mange backup løsninger å velge mellom, og selv om webhotell leverandøren du har valgt har lovet å alltid ha en backup er det uansett godt å ha en rutine for å selv sørge for at du har egne backuper.
Vi anbefaler at du enten lager dine backuper via cPanel, kontrollpanlet til webhotellet, eller via et tillegg du installerer. Se våre anbefalte tillegg for mer informasjon om disse tilleggene.
Backup via CPanel
Du kan logge deg inn på CPanel og ta backup av alle dine filer under public_html.