WordPress sikkerhetstips for lekmannen: Sikre ditt WordPress-pålogging og andre sikkerhetsrutiner

Siden det ble introdusert for mer enn to tiår siden, har WordPress vokst (og vokst) nå trygt kåret til verdens mest populære innholdsstyringssystem. I dag drives mer enn en fjerdedel av nettstedene som finnes på WordPress.


Men siden uminnelige tider, jo mer populært noe er, desto flere ønsker å utnytte det til ubehagelige midler. Bare se på Microsoft Windows og det enorme antallet malware, virus og andre utnyttelser designet for å målrette mot akkurat dette bestemte operativsystemet.

De 10 WordPress-versjonene med mest sårbarheter (kilde). Forskning i 2017 identifiserte 74 forskjellige versjoner av WordPress på Alexa Top 1 million nettsteder; 11 av disse versjonene er ugyldige – for eksempel versjon 6.6.6 (kilde).

Hvorfor WordPress-bloggen din er et verdifullt mål?

I tilfelle du lurer på hvorfor i all verden en hacker ønsker å kontrollere WordPress-bloggen din, er det flere grunner;

  • Bruker den til å sende hemmeligheter med e-post i hemmelighet
  • Stjel dataene dine, for eksempel en adresseliste eller kredittkortinformasjon
  • Legge til nettstedet ditt i et botnett som de kan bruke senere

Heldigvis er WordPress en plattform som gir deg en rekke muligheter til å forsvare deg selv. Etter å ha hjulpet med å konfigurere og administrere flere nettsteder og blogger selv, vil jeg dele med deg noen av de mer grunnleggende tingene du kan gjøre for å sikre ditt WordPress-nettsted.

Her er 10 nyttige sikkerhetstips du kan bruke.

Sikre deg innloggingssiden for WordPress

Å beskytte innloggingssiden din kan ikke oppnås med en spesifikk teknikk, men det er absolutt trinn og gratis sikkerhetsplugins du kan ta for å gjøre angrep langt mindre sannsynlig å lykkes.

Påloggingssiden til nettstedet ditt er absolutt en av de mer utsatte sidene på nettstedet ditt, så la oss komme i gang med å gjøre innloggingssiden til WordPress-siden din litt sikrere.

1. Velg et godt administratornavn

Bruk uvanlige brukernavn. Tidligere med WordPress, måtte du starte med et standard admin-brukernavn, men det er ikke lenger. Fortsatt bruker de fleste nye nettadministratorer standard brukernavn og trenger å endre brukernavn. Du kan bruke Admin Renamer Extended for å endre admin-brukernavnet.

Brute tvinge påloggingssider er en av de vanligste formene for nettangrep som nettstedet ditt sannsynligvis vil møte. Hvis du har et lett å gjette passord eller brukernavn, vil nettstedet ditt nesten ikke bare være et mål, men til slutt et offer. Av erfaring prøver de fleste hackforsøk å logge på med tre hovedvalg av brukernavn. De to første er alltid ‘admin’ eller ‘administrator’, mens den tredje vanligvis er basert på domenenavnet ditt.

Hvis nettstedet ditt for eksempel er crazymonkey33.com, kan hackeren prøve å logge inn med ‘crazymonkey33’.

Ikke en god ide.

2. Sørg for å bruke et sterkt passord

Nå ville du sannsynligvis tro at folk ville vite å bruke sterke, komplekse passord for å beskytte kontoen sin, men det er fremdeles mange som synes “passord” er et flott en.

Splash Data samlet en liste over ofte brukte passord i 2018. Passord etter rangering når det gjelder bruk.

  1. 123456
  2. passord
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. solskinn
  9. qwerty
  10. Jeg elsker deg

Hvis du bruker et av disse passordene og nettstedet ditt mottar trafikk i det hele tatt, vil nettstedet ditt nesten helt sikkert bli tatt av før eller senere.

Et sterkt passord vil inneholde en blanding av:

  • Øvre og nedre store bokstaver
  • Vær alfanumerisk (A-Z og a-z)
  • Ta med et spesialtegn (!, @, #, $, Osv.)
  • Minst 8 tegn i lengden

Jo mer tilfeldig passordet ditt er, desto sikrere vil det være. Prøv denne tilfeldige passordgeneratoren hvis du har problemer med å komme frem til en. https://passwordsgenerator.net/

3. Implementere en reCaptcha

Vegg bots av fra WP-bloggen din.

reCaptcha ble designet for å hindre at automatiserte verktøy fungerer på et nettsted. Gitt kompleksiteten i hackingverktøy i dag, kan disse selvfølgelig ganske enkelt omgås, men i det minste er det det ekstra sikkerhetslaget.

Det er en rekke reCaptcha-plugins du kan bruke med installasjonen din som vil fungere ganske mye ut av boksen.

4. Bruk tofaktorautentisering (2FA)

2FA er en autentiseringsmetode som krever en bekreftelse på påloggingen din. Når du for eksempel har logget deg på med brukernavn og passord, kan systemet sende en SMS til mobiltelefonen din eller sende deg en e-post med en kode du trenger å oppgi for å bekrefte identiteten din.

Denne autentiseringsmetoden gir god beskyttelse og brukes av mange banker og finansinstitusjoner i dag. Igjen kan dette behovet lett oppfylles med en 2FA-plugin.

Se hvordan miniOrange (en 2FA-plugin) fungerer med WordPress-pålogging i følgende video.

T

5. Gi nytt navn til påloggingsadressen din

De fleste hackere vil forsøke å logge inn via standard innloggingsside for wordpress, som vanligvis er noe sånt

sample.com/wp-admin.

For å legge til et nytt lag med beskyttelse, endrer du påloggingssiden URL raskt og enkelt med et verktøy som WPS Hide Login.

6. Begrens antall påloggingsforsøk

Dette er en utrolig enkel teknikk for å stoppe brute force-angrep på innloggingssiden din rett i sporene deres. Et brute force-angrep fungerer ved å prøve å få brukernavnet og passordet ditt riktig ved å prøve flere kombinasjoner om og om igjen.

Hvis den spesifikke IP-en som gjør angrepet spores, kan du sperre de gjentatte forsøkene på tvingende tvinge og holde nettstedet ditt sikkert. Dette er også grunnen til at globale DDOS-angrep oppstår med flere IP-adresser med forskjellig angrep, for å kaste hosting-tjenester og nettstedets sikkerhet..

Logg inn LockDown og Innloggingssikkerhetsløsning tilbyr begge gode løsninger for å beskytte nettstedets påloggingssider. De sporer IP-adresser og begrenser antall påloggingsforsøk for å beskytte nettstedet ditt.

Harden Site Security Wall

Vi har diskutert forskjellige taktikker for å sikre deg WordPress-påloggingssiden – de nevnte trinnene ovenfor er det grunnleggende du kan gjøre. Du må også være klar over at noen webhoteller krever noen av disse sikkerhetspraksisene for sine brukere. Det er en rekke andre sikkerhetsrutiner du kan implementere på nettstedene dine.

7. Beskytt wp-admin-katalogen

Legg til et ekstra lag med sikkerhet i vertskatalogen.

Wp-admin-katalogen er hjertet i WordPress-installasjonen. Som en ekstra sikkerhet, passordbeskytte denne katalogen.

For å gjøre det, må du logge deg på kontrollpanelet for hostingkontoen. Enten du bruker cPanel eller Plesk, er alternativet du leter etter “Passordbeskytt kataloger”.

Alternativt kan du passordbeskytte en katalog ved å finjustere .htaccess- og .htpasswds-filene. Detaljer trinn-for-trinn-guide og en kodegenerator er gratis tilgjengelig på Dynamic Drive.

Vær oppmerksom på at passordbeskyttelse av wp-admin-mappen vil ødelegge offentlig AJAX for WordPress – du må tillate tillatelser til å administrere ajax via .htaccess for å unngå feil på nettstedet.

8. Bruk SSL for å kryptere data

HTTP vs HTTPS-tilkobling (Kilde: Sucuri)

Bortsett fra selve nettstedet, vil du også beskytte forbindelsen mellom deg og serveren, og det er her SSL kommer inn for å kryptere kommunikasjonen. Ved å ha en kryptert tilkobling vil ikke hackere kunne avlytte data (for eksempel passordet ditt) når du kommuniserer med serveren din..

Bortsett fra dette, er det også god praksis å implementere SSL nå, siden søkemotorer i økende grad straffer nettsteder som de anser som “ikke-sikre”..

For enkeltbloggere og småbedrifter er en gratis, delt SSL – som du vanligvis kan få fra hostingleverandøren, Let’s Encrypt eller CloudFlare – vanligvis mer enn god nok. For virksomheter som behandler kundenes betaling – er det best at du kjøper et dedikert SSL-sertifikat fra webhotellet eller en sertifikatmyndighet (CA).

Lær mer om SSL i vår omfattende A-Z-guide til SSL.

9. Benytt deg av et CDN (Content Distribution Network)

Selv om dette kanskje ikke redder nettstedet ditt fra å bli hacket, hjelper det å redusere skadelige angrep mot det. Noen hackere har som mål å få ned nettsteder, noe som gjør dem utilgjengelige for publikum. En CDN vil hjelpe demping av et distribuert Denial of Service-angrep på nettstedet ditt.

Bortsett fra det, hjelper det også å øke hastigheten på nettstedet ditt litt ved å cache noe innhold. For å utforske dette alternativet, se på CloudFlare som et eksempel. CloudFlare tilbyr CDN-tjenester til prisnivåer i flere lag, slik at du til og med kan bruke grunnleggende funksjoner gratis. https://www.cloudflare.com

10. Forsikre deg om at ALLE programvaren er oppdatert

Uansett hvor god eller kostbar programvare er, vil det alltid være nye svakheter i dem som kan gi dem åpne for å utnytte. WordPress er intet unntak, og teamet gir stadig ut nyere versjoner med fikser og oppdateringer.

Hackere søker nesten alltid å dra nytte av svakhet, og en kjent utnyttelse som blir liggende uoppfordret ber ganske enkelt om problemer. Dette koster dobbelt så mye for plugins som ofte er opprettet av mye mindre selskaper med mindre ressurser.

Hvis du bruker plugins, må du sørge for at oppdateringer blir gitt ut regelmessig, eller vurdere å finne populære plugins med lignende funksjonalitet som holdes oppdatert.

Når det er sagt, vil jeg IKKE anbefale deg å bruke automatiske WordPress- og plugin-oppdateringer, spesielt hvis du kjører et live nettsted. Noen oppdateringer kan forårsake problemer, enten det er internt eller i konflikt med andre plugins og innstillinger.

Det er ideelt å lage et testmiljø som speiler ditt live nettsted og test oppdateringene der. Når du er sikker på at alt fungerer bra, kan du bruke oppdateringen på live-siden.

Kontrollpaneler som Plesk gir deg muligheten til å opprette en nettstedskloon for dette formålet.

11. Sikkerhetskopiering, sikkerhetskopi og sikkerhetskopi!

Uansett hvilke sikkerhetstiltak eller hvor forsiktig du er, skjer ulykker. Spar deg selv fra et knusende hjertesorg og hundre timers arbeid ved ganske enkelt å sørge for at du har tilstrekkelige sikkerhetskopitjenester på plass.

Normalt vil webhotellet ditt ha noen grunnleggende sikkerhetskopifunksjoner, men hvis du er paranoid som meg, må du alltid sørge for å utføre dine egne uavhengige sikkerhetskopier. Sikkerhetskopiering er ikke så enkelt som bare å kopiere ut noen filer, men ta også hensyn til informasjonen i databasen.

Se etter en sikkerhetskopiløsning som er prøvd og bevist. Selv en liten investering er verdt det å spare på tårene i nødstilfeller. Noe som BackupBuddy kan hjelpe deg med å lagre alt inkludert databasen på en gang.

12. Nettverten din teller!

Selv om tradisjonelt sett webhotellfirmaer ganske enkelt tilbød plass for oss å være vertskap for nettsteder, har tidene endret seg. Webhotellleverandører, som anerkjenner det presserende behovet for økt sikkerhet, har trappet opp, og mange tilbyr verdiøkende tjenester for å utfylle deres webhotell.

Ta for eksempel HostGator, et av de mer etablerte navnene i spillet. Bortsett fra grunnleggende Cloudflare-funksjoner, kommer HostGator (til en pris av $ 10 + / mo) også med spamfri beskyttelse, automatisk fjerning av skadelig programvare, automatiserte sikkerhetskopieringer, personvern for domener og mer.

Administrert WordPress-leverandør, Kinsta, bygger maskinvare-brannmurer og overvåker aktivt serverne deres for malware og DDoS-angrep med det tilpassede systemet..

Hvis dette er noe som ikke har skjedd for deg enda, oppfordrer jeg deg til å se på hvilke sikkerhetsfunksjoner verten din tilbyr og sammenligne den med det som er tilgjengelig nå..

For en omfattende liste kan du sjekke WHSRs samling av de beste webvertene her.

Hva nå?

Før du løper vilt og begynner å skure Internett i panikk og leter etter en million og en sikkerhetsløsning – ta et dypt pust. Som med alt annet, vil noen ha hjulpet deg med panikk allerede og sett etter en løsning.

Selv om du implementerer så mange sikkerhetsløsninger som du kan finne, er du sikker på at du er trygg?

Her kommer noe som Security Ninja inn, som hjelper deg å undersøke nettstedet ditt etter svakheter.

Rask demo: Hvordan sikkerhet Ninja fungerer.

Det er et par overbevisende grunner til å bruke noe som Security Ninja, men la meg si at det er et verktøy som jeg vil anbefale å bruke på flere trinn i reisen din for å sikre nettstedet ditt.

Først, kjør den på nettstedet ditt “som det er” – før du gjør endringer. La plugin-en rote og prod nettstedet ditt før du gir resultatene.

Arbeid deg deretter på å sikre nettstedet basert på disse resultatene. Security Ninja utfører mer enn 50 tester for å undersøke dine forsvar. Selv etter at du har gjort endringene, kan du kjøre dem igjen (og hver gang det er endringer på nettstedet eller plugin-oppdateringer) bare for å teste nettstedet ditt.

Hvis dette høres ut som litt for mye arbeid for deg, kommer Security Ninja også med en rekke tilleggsmoduler (proversjon, enkelt nettsted $ 29) som kan hjelpe deg med å fikse problemene den finner.

Noen andre viktige funksjoner i disse modulene inkluderer:

  • Skann WP-kjernefiler for å identifisere problematiske filer
  • Gjenopprett endrede filer med ett klikk
  • Løs ødelagte WP-autooppdateringer
  • Forbud 600 millioner dårlige IP-er samlet inn fra millioner av angrepne nettsteder
  • Liste over autooppdateringer, ingen behov for vedlikehold eller manuelt arbeid
  • Beskytt påloggingsskjema mot angrep fra brute-force

Siste tanker

Selv om alt dette kan virke litt overdreven for den gjennomsnittlige WordPress-brukeren, forsikrer jeg deg om at alt det (og mer) er nødvendig. Ignorer den verdensomspennende statistikken over hacking og hva som ikke en stund, la meg dele med deg personlig informasjon på et av de mest obskure nettstedene jeg hjelper deg med.

Opprinnelig startet som et enkelt biografiside, og jeg opprettet www.timothyshim.com. Det var klart det bare var noe jeg satte opp og mesteparten av tiden lar være, rett og slett som et referansepunkt. På hver månedslange periode står dette nettstedet som i utgangspunktet ikke gjør noe og samler ingen data, over 30 angrep – en kombinasjon av brute force og komplekse.

Alt det trenger er at en av dem skal lykkes, og jeg vil ha en veldig dårlig dag.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map