Skydda Wordpress
En av de största fördelarna med att använda ett webbhotell, jämfört med att driva en egen server, är att webbhotellet tar hand om serverunderhållet. Företaget som driver webbhotellet ser till att maskinerna som webbservrarna körs på hålls säkra mot attacker. Dessa datorer är annars bland de absolut mest utsatta på hela internet.
Underhåll av tillägg och teman
För att få fullgott skydd räcker det dock inte med att Wordpress körs på säkra och välunderhållna servrar. Wordpress i sig måste också underhållas. Samma sak gäller även alla tillägg och teman. En utdaterad version av Wordpress, ett dåligt skrivet tillägg eller ett tema med säkerhetsbrister sätter hela Wordpress-webbplatsens säkerhet ur spel.
Det är av dessa anledningar viktigt att alltid installera alla uppdateringar som kommer till Wordpress kärna, tillägg och teman. När det upptäcks brister i dessa komponenter tar det inte lång tid innan angripare börjar utnyttja säkerhetsbristerna för att kapa sårbara webbplatser.
En av de senaste stora incidenterna orsakades av en säkerhetsbrist i det populära tillägget WP GDPR Compliance. Det tillägget var installerat på över 100 000 webbplatser och dess säkerhetsbrist lät angripare ge sig själva administratörsrättigheter.
Val av tillägg och tema
Det finns ingen kod som är garanterat fri från säkerhetsbrister. I rollen som Wordpress-administratör är det viktigt att tänka på detta och att agera utifrån den vetskapen. Det innebär bland annat att göra noggrann research inför val av tillägg. Teamet bakom Wordpress har ingen egen certifieringsprocess för tillägg, vilket gör det svårt att veta vilka tillägg som går att lita på.
Tilläggens installationsantal och användarbetyg ger lyckligtvis bra indikationer på tilläggens kvalitet. Change-loggarna och framförallt uppdateringsfrekvensen indikerar hur benägna utvecklarna är att underhålla tilläggen och hur snabba de är på att åtgärda funna kompatibilitets-, funktions- och säkerhetsbrister.
Ett tilläggs recensioner och uppdateringsfrekvens indikerar tilläggets kvalitet.
Undvik tillägg som inte har uppdaterats på över ett år. Wordpress utvecklas i en rasande takt och om ett tillägg inte har uppdaterats på så lång tid har utvecklaren troligtvis lagt ned underhållet. Gå också igenom alla installerade tillägg på regelbunden basis och kontrollera att utvecklingen fortfarande är aktiv.
Vikten av göra god research är lika viktig inför val av tema. Ett framtida byte av tema kan vara synnerligen komplicerat ifall webbplatsen har anpassats utifrån temats funktionalitet. Vid val av tema bör därför temats uppdateringsfrekvens och tillverkarens underhållsbenägenhet väga minst lika tungt som temats utseende.
Extra skydd med Wordfence
För att förbättra skyddet av en Wordpress-webbplats bör ett tillägg som Wordfence användas. Det är framförallt en så kallad WAF (Web Application Firewall) som spärrar attacker, till exempel ifall en bot försöker logga som administratör. Wordfence-brandväggen lär sig webbplatsens trafikmönster och spärrar abnormt beteende.
Wordfences brandvägg stoppar attacker.
Wordfence har fler funktioner. Tillägget kan också användas för att skanna efter skadlig kod och stoppa de enklaste formerna av injektionsattacker (t.ex. när en angripare skriver skriptkod i sökrutan för att försöka lura exekvering av skadlig kod).
Wordfence finns både i en gratisversion och en premiumversion. Undertecknad kör premiumversionen på alla webbplatser för att framförallt få Wordfences tvåstegsverifieringsfunktion. Den gör att alla valda konton kan skyddas med tvåstegsverifiering så att exempelvis administratörer måste logga in med rätt lösenord i kombination med en tidsbegränsad sexsiffrig kod.
Tips! Alla seriösa webbhotell stöder också tvåstegsverifiering eller Bank-ID-inloggning för skydd av webbhotellsadministrationen. Detta bör alltid aktiveras!
