Att WordPress-hemsidor blir hackade är tyvärr vanligt. Konsekvenserna kan vara allvarliga, särskilt om du driver en sida som är viktig för din verksamhet. Hemsidan kan gå sönder, betalningar kan försvinna och sidans ranking i sökmotorer kan påverkas negativt. Nedan beskrivs hur en WordPress-sida vanligtvis blir hackad samt vad du själv kan göra för att undvika intrång.
Hur blir en WordPress-sida hackad?
Det finns två huvudsakliga sätt som WordPress-sidor hackas på. En av dessa är via sårbarheter i hemsidans kod. Sårbarhet i kod innebär att misstag gjorts i utvecklingen av ett tema eller ett tillägg (plugin) som du använder. Misstaget kan göra det möjligt för en hackare att ändra innehållet på din hemsida eller ladda upp skadlig programvara.
Det andra sättet är en så kallad “brute force”-attack. Då består angreppet i en stor mängd försök att gissa användarnamn och lösenord för att få tillgång till din WordPress-sidas administrationsgränssnitt och därifrån ladda upp skadligt innehåll eller ändra något i koden.
Hur skyddar jag min WordPress-sida mot intrång?
För att skydda dig mot angrepp kan du installera ett säkerhetsplugin. Installerar du WordPress via Loopias One-click installer ingår säkerhetstillägget Wordfence från start. Wordfence innehåller både en brandvägg som blockerar intrångsförsök och en scanner som söker efter infektioner och sårbarheter. Nedan följer några tips om hur du använder de grundläggande funktionerna i Wordfence.
Wordfence brandvägg
Wordfence innehåller en smart brandvägg som inte bara blockerar de vanligaste angreppen utan även kontinuerligt uppdateras för att skydda din sida mot nya hot. Direkt efter att du installerat Wordfence är brandväggen i en inlärningsfas som kallas Learning mode. Detta är en period på sju dagar då brandväggen lär sig hur du normalt använder din sajt. Syftet med detta är att minska risken att något blir blockerat av misstag. Du kan välja att antingen:
- Låta brandväggen lära sig hur du använder WordPress. Du fortsätter då att använda din sajt som vanligt. Efter 7 dagar aktiveras brandväggen fullt ut och börjar blockera attacker på din hemsida.
- Aktivera brandväggen direkt. Detta gör du via sidan “Firewall” och ändrar då status från “Learning mode” till “Enabled and protecting”. Brandväggen börjar då blockera attacker direkt. Det finns nu en liten risk att saker som du inte vill blockera kan bli blockerade. Var därför under de följande dagarna uppmärksam på om allt i ditt administrationsgränssnitt i WordPress fungerar som det ska.
För att brandväggen ska fungera ännu bättre kan du välja att optimera den. När brandväggen är optimerad laddas den före all annan kod på din hemsida, vilket ökar både säkerheten och prestandan. Klicka på notisen i WordPress-admin där det står “To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall” och följ instruktionerna.
En sista detalj du kan vilja konfigurera är att bestämma hur många inloggningsförsök som det ska vara tillåtet att göra på din sajt. Hur många försök som är rimligt beror på vilken typ av sajt du har. Är det bara du som ska kunna logga in räcker det ofta med tre försök. Har du medlemmar på sajten vill du antagligen tillåta lite fler – kanske fem eller tio. Du ändrar detta via inställningen “Lock out after how many login failures” i sektionen “Brute Force Protection” under “Firewall”.
Wordfence scanner
Vet du om din sajt är säker i nuläget? Ibland kan det ta månader innan man upptäcker att man blivit hackad. Med Wordfence scanner kan du undvika det scenariot. Wordfence scanner är lätt att använda. Klicka bara på “Scan” för att starta. Wordfence söker nu igenom all kod på din hemsida och letar efter skadlig programvara, farliga länkar, misstänkta filer, misstänkta användarkonton och mycket mer. Wordfence kollar också ifall din domän eller din IP-adress är svartlistad. Om så är fallet bör du kontakta Loopia omedelbart.
När du installerat Wordfence är det bra att köra en scan direkt. Efter det behöver du inte logga in och scanna varje dag, det sköter Wordfence åt dig automatiskt.
Gratis och premium
Wordfence finns i en gratisversion och en premiumversion. Båda versionerna kommer med brandvägg och scanner. Teamet som utvecklar Wordfence jobbar ständigt med hotanalys och upptäcker nya typer av attacker. När ett nytt hot upptäcks utvecklas brandväggsregler som skyddar mot dessa. Har du Wordfence premium skickas dessa regler ut till din sajt i realtid. Premiumversionen har också en “svart lista” (Blacklist) med IP-adresser som inte tillåts besöka din sajt över huvud taget. Listan är dynamisk och förändras konstant beroende på hur IP-adresser beter sig. Detta maximerar skyddet samtidigt som det minimerar risken för oönskad blockering.
Med premium får du också tillgång till tvåfaktorsautentisering (Two factor authentication) och regionsblockering (Country blocking). Dessa kan användas för att öka säkerheten för din WordPress-inloggning. När tvåfaktorsautentisering är aktiverat krävs en extra kod för att kunna logga in på din sida. Denna kod får du via SMS eller via en autentiseringsapp på din mobiltelefon. Med regionsblockering kan du bestämma att det endast ska gå att logga in från vissa länder, exempelvis Sverige.
Fem tips för att säkra din sajt
Oavsett om du väljer Wordfence eller ett annat säkerhetsplugin (eller inget alls) så gäller det att ha koll på några saker. Nedan följer fem tips som gäller generellt för WordPress-sajter och som minskar risken att din sajt blir hackad.
1. Använd ett komplicerat lösenord
Har du ett för enkelt lösenord spelar det ingen roll vilken övrig säkerhet du har. Se alltid till att använda komplicerade lösenord. WordPress har en inbyggd funktion som automatiskt genererar dessa. Har du svårt att hålla koll på lösenord, använd en lösenordshanterare.
2. Aktivera en brandvägg för extra skydd
En brandvägg kan skydda din sajt även om du av misstag installerat ett tema eller ett plugin som har sårbarheter. När du väljer brandvägg bör du välja en som specifikt skyddar WordPress.
3. Använd en scanner för att söka efter skadlig kod
Med en scanner som söker efter skadlig kod får du snabbt veta om du blivit hackad. Ju snabbare du får veta, desto mindre är risken att intrånget får allvarliga konsekvenser. Efter ett intrång ska du alltid byta lösenord. Du bör också försöka lista ut hur de kom in så att du kan förhindra att det sker igen. Skaffa professionell hjälp om du behöver.
4. Var försiktig när du installerar teman och plugins
Ta hänsyn till säkerhetsaspekter när du köper och installerar teman och plugins. Vet du vem som utvecklat koden? Uppdateras koden regelbundet? Finns support tillgängligt? Ladda inte hem teman och plugins från skumma sajter.
5. Ta bort gammal kod
Vissa säkerhetshål går att nyttja även om ett tema eller ett plugin är avaktiverat. Det räcker alltså inte med att avaktivera dessa, gamla teman och plugins ska raderas helt.
Vill du lära dig mer? Besök gärna Wordfence Learning center. Där finns artiklar med fler säkerhetstips.
Behöver du hjälp med Wordfence?
Både gratis- och premiumversionen av Wordfence har support. Har du gratisversionen kan du få hjälp via forumet på WordPress.org och har du premiumversionen kontaktar du Wordfence direkt.
Skapa en hemsida till företaget i WordPress
WordPress är världens största hemsidesverktyg och används flitigt av både privatpersoner och företag. Installera med ett klick hos Loopia och välj bland tusentals teman och tillägg för att få företagets hemsida exakt så som du vill ha den. Säkerhetspluginet Wordfence ingår från start när du installerar via Loopia. Läs mer om WordPress hos Loopia »
Inlägget är skrivet av Åsa Rosenberg.
Åsa Rosenberg har 18 års erfarenhet av webbutveckling och har forskat inom kriminologi och internetanvändning. Hon jobbar nu som teknisk supportspecialist på Defiant, säkerhetsföretaget bakom Wordfence.