Det finns otaliga sätt att säkra upp sin WordPress-blogg och undertecknad går här igenom tillägget All in One WP Security and Firewall som jag har goda erfarenheter av.
Varför ska man ha extra säkerhetsplugin?
WordPress är idag ett av det absolut vanligast förekommande CMS-systemen i världen då närmare 20% av världens webbsidor använder sig av WordPress som “motor”. Många kända sidor som tex eBay, Mozilla och Wall Street Journal använder WordPress för sina företagsbloggar.
Med detta stora användarantal så kommer dessvärre också sårbarheten då många gärna försöker hitta sätt att göra intrång i WordPress-sidor. En ständigt uppdaterad WordPress med få plugins som även dessa alltid är uppdaterade är relativt säker från start men det skadar inte (höh höh) att säkra upp den ännu mera mot otillåtna intrångsförsök.
Varför vill någon göra intrång i min WordPress?
Det finns många olika orsaker, en kan vara att bara komma åt/ändra sidans innehåll, en annan kan vara att utnyttja sidan för att skicka skräppost eller kanske skapa egna länkar till sina sidor och på så vis rankas högre av sökmotorerna.
Ett annat sätt är att få kontroll över sidan/servern för att sedan använda den för att utföra attacker mot andra webbsidor/tjänster.
Ett stort försökt till just detta utfördes för cirka ett år sedan där många webbhotell runt om i världen märkte en kraftig ökning av trafiken mot sina WordPress-kunders inloggningssidor.
Ni kan läsa mer om det här.
Ett enkelt sätt att stoppa många av dessa intrångsförsök är att försvåra för så kallade bottar är att först och främst aldrig använda användarnamnet “admin” till din sida. Det gäller inte bara för WordPress. Ordet admin borde förbjudas på webben helt och hållet tillsammans med lösenordet abc123. Så om du bara kommer att minnas en sak av det här blogginlägget så ska det vara att aldrig använda användarnamnet “admin” någonsin igen.
Har du plats för ytterligare information så läs gärna resterande text också.
Installera All in One WP Security and Firewall
Väl inloggad i din WordPress så går du till Tillägg–>Lägg till nytt
Sök där på “All in One WP Security and Firewall” och välj Installera nu
I din tilläggsmeny nu så har du fått upp ett nytt val som heter WP Security. Här ska du nu gå in för att börja säkra upp din sida.
Serviceläget:
En första bra sak med detta tillägg är att du kan sätta din sida i ett serviceläge. T ex när du håller på att utveckla sidan och inte vill släppa in besökare så kan du slå på detta. Endast du som inloggad kommer då åt sidan och övriga får se det meddelande du här kan skriva in.
Säkra upp din sida:
En smidig funktion för att se vilken säkerhetsnivå din sida har i nuläget är funktionen “Security Strength Meter” som du hittar under menyvalet Dashboard. Den visar hur pass säker din sida anses vara enligt utvecklarna av tillägget.
Nu är det bara att börja samla säkerhetspoäng under respektive rubrik. I den här guiden så går jag igenom några av de vanligaste momenten för att säkra upp sin WordPress-sida.
Vi börjar med att försvåra för sökbottarna att lokalisera din sida som just en WP-sida. Gå in under valet Settings och välj där WP Meta Info. Välj här att ta bort WP Generator Meta Info.
Som Loopia-kund kan du hoppa över valen för .htaccess och wp-konfig då vi tar backup av din sida kontinuerligt med upp till tre veckors backup av dina webbfiler med snabb återställning av filerna i din Loopia Kundzon och en veckas backup av databasen.
Gå nu in under User Accounts.
Om du inte lyssnat noggrant och fortfarande har användarnamnet ”admin” så kommer du här att få en banning och hjälp att byta ut det. Gör då detta.
Kontrollera också hur pass svårknäckt lösenord du har under fliken “Password”.
Härnäst så väljer du menyvalet User Login, här kan du nu göra en hel del ändringar för att försvåra för så kallade “brute force”-attacker.
Börja med att kryssa i rutan “Enable Login Lockdown” för att stänga ute en IP-adress efter för många misslyckade inloggningsförsök.
Ange sedan ett värde på hur många gånger man har på sig att logga in och även hur många minuter IP-adressen som försökt logga in ska spärras och inom vilken tidsram du ska räkna antalet misslyckade försök.
Vill du även ha ett e-postmeddelande när en IP-adress stängs ute kan du även ange det här.
Nästa menyval du ska gå till är Filesystem Security, om du har en relativt nyinstallerad WordPress via vår One-click-installer så kommer du ej att behöva ändra något här. Allt bör lysa grönt. Om så ej är fallet så kan du här ändra rättigheter för de olika filerna så att de ej kan skrivas över av misstag eller via intrång.
Härnäst så väljer du menyvalet “Brute Force”, här kan du om du vill byta ut adressen till din login-sida.
Under fliken “Login Captcha” så ges du möjligheten att slå på en enklare captcha (slumpvis verifiering) vid inloggningstillfället och även vid beställning av nytt lösenord.
Nästa menyval blir sedan “SPAM Prevention” här kan du enkelt förhindra många av de spamkommentarer och spammail som du kan få på din sida. Genom att slå på captcha för dessa formulär så förhindrar du effektivt spambottar från att utnyttja dina kommentarsfält och kontaktformulär för att sprida länkar etc.
Med dessa enkla inställningar så kan du snabbt och enkelt säkra upp din sida mot intrång. I grunden är det fortfarande absolut viktigt att du alltid håller din WordPress-sida/tema och tilägg ständigt uppdaterade men se gärna All in One WP Security and Firewall som hängslena när du redan har livremmen.
Kan vara en bra idé att nämna 2faktor-autentisering också. Så ingen kan logga in med ditt dåliga lösenord utan att ha din telefon. Exempelvis med hjälp av authy(https://wordpress.org/plugins/authy-two-factor-authentication/).
Bra guide!
Vill även tipsa om den formidabla tjänsten Cloudflare som är helt gratis. Den ersätter inte sakerna i guiden, utan är ett komplement. Fungerar för alla sajter, men för WordPress finns ett plugin som gör att man som novis kan använda tjänsten utan att strula till Google Analytics-statistiken. Cloudflare är en CDN-tjänst som även innehåller skydd mot automatiserade angrepp.
https://www.cloudflare.com/
Både Stefan & Andreas kommentarer är bra att tänka på, 2-faktor och Cloudflare kan hjälpa till mycket. MEN, CloudFlare är även en tjänst som tyvärr också används mycket till DDOS-attacker mot servrar och hemsidor. En rad svenska webhotell är dåligt förberedda mot en sådan attack via CDN.
CloudFlare fungerar ganska bra, men det beror mycket på vilket webhotell man valt för sin sajt. Jag skulle hellre rekommendera W3 Total Cache eller liknande om inte webhotellet själva erbjuder cache-funktioner.
I WordPress plugin-katalog finns många cache-pluggar att använda som är riktigt bra.
Rent säkerhetsmässing är det bra att följa vad som sägs i denna artikel. Sen kan jag även tipsa om Revision Control som håller koll på antalet versioner av dina sidor och inlägg, så att din databas i fylls upp med en massa kopior av samma material. En annan plugg är WP Security Scan som kollar genom din säkerhet och ger dig råd kring vad du bör göra.
Hej!
Tack för en fin artikel!
Tycker detta verkar vara en mycket bra och användbar säkerhets-plugin!
// Peter 🙂
En viktig del är också att testa säkerheten på sin egen WordPress-installation. Det finns ett antal gratis och betalverktyg för detta. Svenska startupen Detectify är helt klart en favorit
Både artikeln och tidigare kommentarer är i allra högsta grad relevanta.
Skulle ändå vilja tipsa om ett annat plugin som också höjer säkerheten.
Det heter Wordfence och innehåller bl s auto lock out vid fel användarna, blocked IP, virus Scan m.m.
Finns både som freeware och betalversion som innehåller ännu fler funktioner.
Hej Greger, Wordfence är absolut något jag själv också rekommenderar. Många av de funktioner du räknar upp finns dock också i WP Security and Firewall så det är lite vad som faller en i smaken. Tack för att du läser våra inlägg och för att du delar med dig av dina tips.
Är under attack. Kör All-in-One samt https://www.secsign.com för lösenordsfri login. En hel del IP-block också.