Sikkerhetsguide for WordPress

Sikkerhetsguide for WordPress2018-12-31T14:59:21+00:00

Å jobbe med sikring av dine WordPress nettsider handler ikke om å eleminere all sikkerhetsrisiko, men om å redusere den. Ha dette alltid i bakhodet, da det aldri vil være mulig å gjøre det umulig for noen å bryte seg inn.

I denne sikkerhetsguiden finner du de viktigste rådene vi kan gi for å sikre din WordPress installasjon bedre og på den måten tette noen av de kjente sikkerhetshullene. Har du kjøpt dine nettsider av OnNet er disse tiltakene allerede gjort før nettsidene ble levert.

Brukernavn og passord

Det største sikkerhetshullet i alle IT løsninger er brukernavnet og passordet brukerne benytter for å logge inn på en tjeneste. Er brukernavnet eller passordet ikke sterkt, dvs. vanskelig å tippe, er du garantert å få uvedkommende på besøk.

Brukernavn

Når du installerer WordPress, vil administratorens default brukernavn være admin. Det sier seg selv at dersom du ikke forandrer dette standard brukernavnet, vil det være relativt enkelt å knekke passordet gjennom et Brute force angrep på kontoen. Dvs. et script som automatisk prøver alle tenkelige passord kombinasjoner helt til de tipper korrekt passord. 

Vi anbefaler at du straks etter installasjonen av WordPress oppretter en ny bruker med administrator-rettigheter og ett annet brukernavn enn “admin”. Dette gjør du i WordPress Dashboard under menyvalget “Brukere”. Denne nye brukeren får da en annen ID i databasen enn default brukeren som normalt er brukerid = 1.

Siden alle hackere vet at standard administratoren er bruker nr 1 skriver de script som gjør kall mot bruker ID istedenfor brukernavnet for å komme seg inn på nettstedet ditt. Når den nye brukeren er opprettet sletter du den gamle administrator kontoen. 

Passord

Passordet bør bestå av minst 8 tegn og det bør bestå av store og små bokstaver, tall og spesialtegn. Dette for å gjøre det vanskelig å gjette korrekt passord. Bruk aldri passord som står i en ordliste eller leksikon, da hackernes script alltid prøver alle ord i offentlige ordlister og leksikon.

To-faktor Autentisering

For å ytterligere øke sikkerheten kan du vurdere å også installere et tillegg som gir deg muligheten til å opprette en to-faktor autentisering.

Hver gang du logger deg inn på din WordPress-side må du da i tillegg legge inn en ekstra kode fra mobilen din i tillegg til ditt brukernavn og passord. Dette sørger for at sikkerheten eskalerer betraktelig. Det finnes mange gode eksempler på plugins du kan benytte, f.eks. Clef og Google Authenticator.

Valg av tema

Når du installerer WordPress, følger det automatisk med flere eksempel-tema som du kan benytte deg av, men ofte ønsker vi å installere et tema som har mer funksjonalitet enn det som følger med som default. Problemet er bare at kvaliteten på dem varierer i stor grad. Spesielt når vi snakker om gratis temaene du kan laste ned og installere fra WordPress.

Sørg for å velge en tema som kontinuerlig oppdateres slik at sikkerheten ivaretas.

Sjekk også hvilke omtaler temaet får, da dette kan gi deg en indikasjon på hvilke problemer andre brukere har oppdaget med dette temaet.

Å velge en seriøs leverandør av tema vil sørge for at sikkerhetshull, funksjonalitet og optimalisering kontinuerlig utvikles og oppdateres. Et godt kodet tema sørger dessuten for at nettsiden lastes raskere i en nettleser. Valg av et godt tema vil garantert spare deg for mye frustrasjon senere.

Valg av tillegg (plug-ins)

Styrken til WordPress er at det finnes tredjeparter som hele tiden utvikler utvidelser, såkalte plugins, til WordPress. Problemet er bare at hvert tillegg er en potensiell sikkerhetsrisiko, litt avhengig av hva tillegget gjør og hvor godt kildekoden er skrevet med hensyn til sikkerhetsrisikoen den utgjør.

Gjør derfor følgende:

  • Avinstaller de utvidelsene du ikke benytter. Siden hver utvidelse er et potensielt sikkerhetshull bør vi redusere risikoen ved å avinstallere alle tillegg man ikke lenger bruker. 
  • Alltid last ned utvidelsene fra den offisielle nedlastningssiden til WordPress via plug-ins siden i WordPress Dashboard eller fra en annerkjent distributør av WordPress plug-ins, f.eks. theameforest.net.
  • Sjekk om utvidelsen blir regelmessig oppdatert og om den er kompatibel med din versjon av WordPress. Dersom du ser at utvidelsen ikke har blitt oppdatert på lang tid, er dette et tegn på at den ikke holdes oppdatert og den bør av den grunn unngås.

Sikkerhetstillegg

Det finnes mange gode tillegg du kan benytte deg av for å tette noen av sikkerhetshullene som finnes i WordPress. Disse finnes både som betalte og gratisversjoner. To gratistillegg vi kan anbefale er Wordfence og IThemes security. Samlet sett gir disse gratisversjonene en god sikring av nettsidene dine. Vår favoritt blant disse sikkerhetstilleggene er IThemes security.

Oppdateringer

Såvel WordPress som ditt tema og tillegg (plug-ins) må holdes oppdatert. I WordPress er dette svært enkelt. Når du logger inn på WordPress Dashboard vil du automatisk få beskjed om du har noen nye oppdateringer som du må installere. Klikk på menyvalget “Kontrollpanel” + “Oppdateringer” og markert alle tilleggene og temaene du får opp ved å markere dem og klikke “Oppdater”. Problemet i denne sammenheng er at du ikke må glemme å logge deg inn på WordPress Dashboard for å sjekke om noen tillegg eller tema må holdes oppdatert. Lag derfor en rutine på dette så dette ikke blir glemt.

At dette gjøres er ekstremt viktig, da hackere konstant leter etter sikkerhetshull i kildekoden, temaene og tilleggen de kan utnytte ved bruk av nye teknikker. For å unngå at dette skjer kreves det at WordPress, temaet og tilleggene holdes oppdatert gjennom WordPress Dashboard.

Det er mulig å sette WordPress til å automatisk oppdatere seg selv, men husk da på at dersom du av en eller annen grunn får en feil i oppdateringen, er det ikke like fort gjort å oppdage at nettsiden din ligger nede.

Bytt Wp-Prefix

Selv om en WordPress-installasjon er meget sikker kan sikkerheten økes ytterligere ved å bytte wp-pefix for alle tabellene i databasen. Når du installerer WordPress vil alle tabellene i databasen din automatisk få prefikset wp_.

Aktører som ønsker å kompromittere din nettside vet at dette er et standardoppsett i en WordPress database. For å ikke gjøre hverdagen til de som ønsker å angripe din side enklere enn nødvendig, er det relativt fort gjort å forandre prefikset under installasjonen. Det er enklere å gjøre dette i innstallasjonsfasen enn å gjøre det senere. Jobben er gjort på få sekunder, men vil drastisk øke sikkerheten på din database og nettside. 

Problemet er bare at enkelte dårlig skrevne tillegg kanskje ikke lenger vil virke, da de er hardkodet for å lete etter spesifikke WordPress tabeller og felt som begynner med wp_. 

Har du allerede installert WordPress kan du bytte denne wp-prefix i IThemes security. 

Filrettigheter

filrettigheterSørg for at filer og mapper i din WordPress- installasjon har optimale rettigheter. Sjekk at mapper har verdien 755 og at filer har verdiene 644.

Logg deg inn i CPanel (kontrollpanelet til webhotellet) og klikk på Filbehandler ikonet etter innlogging og gå til mappen public_html. Her ligger filene til dine nettsider. Disse rettighetene kan du også forandre direkte i IThemes Security.

Rettighetene på en mappe vil se ut som vist i figuren til høyre.

 

Aktivser Brute Force brannmur

Skru på Brute Force brannmuren som er innebygd i Wordfence og IThemes security. Dette hindrer at uvedkommende kan prøve å logge seg på igjen og igjen helt til de klarer å tippe passordet. En Brute Force brannmur gir deg muligheten til å definere hvor mange ugyldige pålogginger en IP-adresse kan gjøre før de blir svartelistet for en periode. For et WordPress nettsted er dette et must for å ivareta nettstedets sikkerhet.

SSL

For å sikre at uvedkommende ikke skal kunne snappe opp ditt brukernavn og passord ved å sette opp en lyttepost mot din server må du kjøre nettsidene dine over SSL. Har du et webhotell hos OnNet er gratis SSL inkludert i webhotellet. Det er bare å gå til cPanel – kontrollpanelet til webhotellet – og her klikke på SSL ikonet etter innlogging for å aktivisere det hvis det (default er det aktivisert så dette er strengt tatt ikke nødvendig).

Deretter må du sette WordPress til å svare på https:// protokollen istedenfor http:// som er default innstillingene.

Logg inn på WordPress Dashbord og gå til menyvalget “Innstillinger” + “Generelt”. Her må andre nettstedets URL i to felt:

  • WordPress-adresse (URL)
  • Nettstedsadresse (URL)

Skriv her inn ditt domene med https:// foran, f.eks. https://dittnavn.no/ hvis domene ditt er dittnavn.no. Se figuren under for å se hvilke to felt du må endre.

ssl-url

Fjern Pingbacks, Tracebacks og XML-RPC

Fjern Pingbacks og Tracebacks

Pingbacks og Tracebacks er to funksjoner som skal gjøre gjøre kommunikasjonen mellom ulike WordPress nettsteder enklere. Funksjonene er idag lite brukt og gir ikke noe annet resultat enn en spam økning på 99%. Vi anbefaler derfor at du slår av denne funksjonaliteten.

Det gjør du ved å gå til menyvalget “Innstillinger” + “Diskusjon”.

pingbacks

Disable XML-RPC

En annen god ide for de fleste er å skru av XML-RPC, da disse funksjonene ikke brukes for 90% av brukerne av WordPress. Har du installert IThemes security går du til “WordPress Salts”, hvor du kan disable XML-RPC funksjonaliteten.

Fjern katalogvisning i WordPress

Når en webserver ikke finner en indeks fil (dvs. en fil som index.php eller index.html), gjennom et søk i en nettleser, vil den istedenfor automatisk vise en indeksside som viser innholdet i katalogen.

En slik indeksering av ditt nettsted kan gjøre din nettside mer sårbar for angrep ettersom viktig informasjon kan bli utnyttet.

Problemet kan du løse gjennom å slå av visningen av kataloginnholdet på din WordPress installasjon. Dette gjøres ved å legge til en kode i din .htaccess fil eller ved bruk av sikkerhetstillegget IThemes security, hvor dette gjøres under menyvalget System Tweaks.

Når dette er gjort vil nettstedet ditt vise en 404 side istedenfor fil-innholdet i katalogen.

Endre Logg-inn URL

Når du installerer WordPress lager WordPress automatisk to standard påloggingsadresser. Det er:

    wp-admin.php
    wp-login.php

Dette vet hackere. Når de skal angripe nettstedet ditt ved bruk av et brute force angrep angriper de automatisk wp-login.php som er standard innloggingsside. Dette utgjør en sikkerhetsrisiko som du kan gjøre noe med enten ved å endre din .htaccess fil eller ved bruk av sikkerhetstillegget Wordfence, hvor du kan angi en egendefinert sti til innlogginssiden.

Når dette er gjort vil du oppleve en dramatisk nedgang i forsøket på ulovlige innlogginger.

Backup

Den viktigste sikkerhetsrutinen er antagelig backup. Backupen vil du ikke angre på den dagen du logger deg på og skjønner at her er det ett eller annet som ikke stemmer. En backup av hele nettstedet ditt er da nødvendig å ha. 

Det finnes mange backup løsninger å velge mellom, og selv om webhotell leverandøren du har valgt har lovet å alltid ha en backup er det uansett godt å ha en rutine for å selv sørge for at du har egne backuper.

Vi anbefaler at du enten lager dine backuper via cPanel, kontrollpanlet til webhotellet, eller via et tillegg du installerer. Se våre anbefalte tillegg for mer informasjon om disse tilleggene.

Backup via CPanel

Du kan logge deg inn på CPanel og ta backup av alle dine filer under public_html.