Sikkerhed i WordPress

WordPress er verdens mest anvendte CMS-system. Netop grundet den store popularitet er det desværre også et yndet mål for hackere.

Af

Mads Bjørn Teglgård, afdelingsleder, WordPress

Ofte skyldes sikkerhedsproblemerne plugins eller temaer, som ikke er kodet med sikkerhed for øje. Men der er også en del andre faktorer, som spiller ind, for at mindske risikoen for at blive hacket eller kompromittiert.

Nedenfor har vi samlet en håndfuld gode råd til hvordan du kan sikre din WordPress løsning mod angreb.

Sikker hosting

Fundamentet for en sikker WordPress-løsning er, at hosting-delen varetages professionelt og pålideligt. Det handler nemlig ikke kun om at beskytte dit websted. Sikkerheden på webserver-niveau er nemlig afhængig af din hosting-udbyder. Du bør vælge en hosting-udbyder, som er proaktiv i forhold til sikkerhed. Servere skal opdateres, så de kører på de seneste operativsystemer og sikkerhedsoftware. Derudover skal de løbende testes, scannes og patches for sårbarheder. 

Ved at overlade hosting til nogen, som ved hvad de gør, sparer du tid og ressourcer. Peytz tilyder forskellige former for hosting, du kan læse mere om vores løsninger her.

Opdater til seneste version

Der bør som udgangspunkt benyttes den nyeste version, og derfor er det vigtigt, at din leverandør tager ansvar for det. Der kommer ofte opdateringer med nye features, som ikke nødvendigvis kræver hurtig opdatering, men det gør sikkerhedsopdateringer. Det er nemlig gennem de gamle plugin-sårbarheder, at hackere har størst mulighed for at hacke din webside. 

For at holde WordPress sikkert er det vigtigt at benytte den nyeste version af PHP. Hvis man kører på version PHP 7.1 eller derunder, har man ikke længere sikkerheds støtte, hvilket kan give store problemer.

Sikkerheds-plugin

Man kan sagtens benytte sig af et af de mange sikkerheds-plugins, der findes til WordPress, men det afhænger af det tekniske setup. Hos Peytz har vi et setup, der gør at sikkerhedsplugins overflødige, da de også kan påvirke performance negativt.

Vi sikrer, at der er styr på serverne, og det er ikke muligt at redigere systemfilerne. I "upload"-mappen har vi sikret, at der ikke kan eksekveres scripts. Hver gang vi deployer, laves et nyt release, som svarer til at oprette kodebasen på ny hver gang.

Benyt WPscan
WPScan WordPress Security Scanner er et værktøj til dit WordPress-site. WPscan indeholder et bibliotek over kendte sårbarheder i plugins og themes. De har et gratis plugin, og hvis du har under 24 plugins og temaer, er du dækket af deres gratis udgave, som dagligt validerer, om du er ramt af nogle af disse sårbarheder.

Hos Peytz benytter vi os selv af denne tjeneste, hvor vi får notifikationer så snart nye sikkerhedshuller offentliggøres. Vi scanner alle sites, vi drifter, for at tjekke om et eller flere vores sites hos en sikkerhedsudfordring, hvilket vi kan håndtere med det samme.

Brugernavn og adgangskode

Det er nemt at hacke et webside, hvis der ikke er styr på brugernavn og adgangskode. Derfor er det altid en god tommelfingerregel at finde en god adgangskode, som er svær eller umuligt at gætte. Brug evt et password-tool til at opbevare adgangskoder og brugernavn.

Hvis du låser dit WordPress admin-område og login, kan du øge sikkerheden. Du skal først ændre din standard wp-admin login-URL og derefter begrænse login-forsøg. Tilføj gerne to-faktors godkendelse, dermed er du sikret at kun du kan logge ind.

Standardlogin-området findes som standard på "domænet".dk/wp-admin eller "domænet".dk/login. I Peytz her har vi flyttet dette til "domænet".dk/" - noget som ikke er standard". Denne sikkerhedsforanstaltning er med til at holde nogle bots væk. Derudover har har vi lavet det sådan, så hvis en bot har et brugernavn og prøver med masser af forskellige passwords, så "lukker" vi for muligheden for at logge på efter x antal forsøg.

Skjul version

Du kan gøre det sværere for andre at se svagheder i WordPress, hvis du skjuler din version. Dog anbefales det, at du løbende opdaterer din WordPress-løsning, så det ikke behøver at være en bekymring.

HTTPS

Du kan øge sikkerheden i din WordPress-installation ved at udnytte HTTP-sikkerheds-headers. De fortæller browseren, hvordan man opfører sig, når websitets indhold skal håndteres. For at anvende HTTPS, skal man have et SSL-certifikat. Der er flere udbydere, men den største er Lets Encrypt, som har gratis certificate. Nogle hosts kræver dog at man selv fornyer dem hver 3. måned, hos andre sker det helt automatisk.

Peytz sikrer at at SSL-certifikaterne forneys automatisk. Vi har en overvågning, som gør, at når et certifikat er ved at udløbe, bliver det automatisk fornyet. Hvis det af en eller anden årsag ikke kan fornyes, får Drift-teamet automatisk en alarm herom, så certifikatet kan fornyes manuelt.

Sikre forbindelser

Det er ekstremt vigtigt at benytte sikre forbindelser med WordPress f.eks. ved brug af SFTP eller SSH. VSørg også for at sikre din hjemmerouter ved at aktivere VPN, aktivere det højeste krypteringsniveau på din WiFi og holde firmware på din router opdateret.

DDoS beskyttelse

DDoS er en type angreb, hvor hackeren være målrettet mod et enkelt system og lukke det ned i et par timer eller dage. For at sikrer sig mod et DDoS-angreb kan man anvende en tredjeparts sikkerhedstjeneste, som kan skjule din IP-adresse bag en proxy.

Man kan også benytte sig af en CDN, som fx CloudFare eller CloudFront, som begge har nogle sikkerheds lag, men også beskytter dit site mod DDoS angreb.

Sikkerhedskopier

Selvom du følger alle ovenstående råd, så vil din Wordpress-løsning aldrig være 100% sikker. Derfor er det ekstremt vigtigt, at du tager sikkerhedskopier. Skulle uheldet være ude kan du let tilgå dine filer, gendanne dit website og hurtigt være oppe igen. De fleste hosting udbydere tilbyder automatisk backup af filer og database. Sørg for at få tjekket op på hvordan de gælder for dig, da det kan variere mellem daglig og ugenligt.


Få også gerne testet at disse backups virker, og at du kan gendanne fra dem, før uheldet er ude. Har du en WooCommerce Shop, hvor der er kommet ordre i mellemtiden, skal du sørge for at have en plan, da en backup vil fjerne disse ordre for systemet. 

Sikkerheds headers

Der er forskellige headers der kan opsættes på sitet, som giver et ekstra lag af sikkerhed. Et eksempel på dette er: X-frame-options: SAMEORIGIN Det fortæller, at andre domæner/sites ikke må iframe dit website. Det sikre bl.a mod Clickjacking, 

Filrettigheder og script eksekvering

Ved at ændre skriverettigheder på installationens filer og mapper på serveren umuliggør det at hackere kan oprette og redigere filer. Det er et vigtigt step, da mange hacker angreb, går ind og injecter kode i filerne, der f.eks. gør at alle besøgende redirectes til at spam site. Det vil dog medføre, at plugins ikke kan installeres og opdateres via administrationen.

/uploads/ mappen, skal der dog stadig kunne skrives og redigeres i, da det er her WordPress opretter billeder. Det vi har gjort hos Peytz, er så at gøre, at der ikke kan eksekveres scripts heri. Så skulle en hacker få adgang og uploade usikker kode i /uploads/ mappen, vil det ikke have nogen betydning da koden ikke vil kunne køres.

Vil du vide mere om WordPress?

Mads Bjørn Eriksen 460x329

Mads Bjørn Teglgård
Afdelingsleder WordPress

mbe@peytz.dk
+45 7220 0101
+45 2421 4711

 

(Opdateret 7. november 2022)

Publiceret 4. marts 2022