Hoppa till innehåll

Höj säkerheten i WordPress

Den enormt utbredda användningen av WordPress som CMS innebär både för- och nackdelar för dig som ansvarar för en webbsida som baseras på WordPress.

Den här artikeln är tänkt för dig som har lite bakgrundsinformation kring hur webben fungerar. Om allt känns som hieroglyfer så kan du hoppa ner till kontakta oss längst ner på sidan för möjligheten att ställa dina frågor direkt till oss.

Tack vare WordPress popularitet finns ett enormt utbud av möjligheter att anpassa er webbsida helt efter era behov och önskemål. Tack vare samma popularitet är WordPress-baserade webbsidor även ett stort och tacksamt mål för cyberkriminella som ständigt letar nya offer.

Det finns dock flertalet saker ni kan göra för att aktivt arbeta med att säkra upp er sida mot olika former av intrångsförsök och andra cyberattacker. Genom att följa dessa råd så minskar ni risken för att drabbas av såväl dataförluster som oförutsedda kostnader och försämrad varumärkesbild.

Uppdatera regelbundet WordPress och tillägg

Många webbsidor som utsätts för intrång drabbas på grund av ett eller flera kända säkerhetshål som låter cyberkriminella få åtkomst till administrativa rättigheter och därmed ges möjligheten att både komma åt potentiellt känslig data, installera skadlig mjukvara, radera information eller peka om besökare till bedrägliga webbsidor.

Att hålla WordPress, tillägg och eventuella teman uppdaterade är en oerhört viktig grundbult för att din webbsida ska ha en god grundsäkerhet. Det pågår ständig utveckling och många uppdateringar innehåller mer eller mindre stora åtgärder för att åtgärda säkerhetsbrister.

Vi har tidigare beskrivit hur vi arbetar med att hålla webbsidor med WordPress uppdaterade och vi erbjuder även serviceavtal för er som gärna lämnar över detta arbete till en kunnig partner.

Håll en god lösenordshygien i största allmänhet

Lösenord i sig är ett ämne som vi alla älskar att hata. Det är dock ett nödvändigt ont för att säkerställa att endast behöriga personer har möjlighet att exempelvis administrera en webbsida baserad på WordPress. Därför är det även viktigt att säkerställa så att personer med administrativa rättigheter även har ett lösenord som är svårt att lista ut och knäcka.

Vi bör i alla lägen dessutom säkerställa att alla lösenord är unika och att de inte återanvänds på flera olika tjänster eller webbsidor. Om ett lösenord läcker ut så är tanken att det i så fall endast skall drabba en tjänst, inte alla dit du har inloggning.

Detta är dock inte något som en absolut majoritet klarar av att hålla i huvudet. Antalet inloggningar till olika former av webbsidor och tjänster vida överstiger det en helt vanlig människa klarar av att hålla i huvudet. Därför behöver du hjälp av ett verktyg som exempelvis en lösenordshanterare.

En lösenordshanterare kan generera och spara långa och unika lösenord för dina tjänster och sedan hjälpa dig fylla i dessa på endast de webbsidor som är associerade med uppgifterna. Har du möjlighet att omgående börja använda en lösenordshanterare så är det bästa knepet för att säkra upp din vardag.

Komplettera WordPress med flerfaktorsautentisering

Bra ordning på uppdateringar och ett bra lösenord löser den grundläggande säkerheten för din webbsida. För att ytterligare säkra upp tillgången till adminpanelen kan du dessutom välja att installera ett tillägg som medger flerfaktorsautentisering.

Flerfaktorsautentisering innebär att det inte räcker med endast användarnamn och lösenord för att logga in. Du som användare behöver dessutom mata in en (ofta) sexsiffrig kod som du får via sms eller en autentiseringsapp.

Även om detta i många fall känns en smula mer omständligt så innebär det även ett stort hinder för eventuella cyberangrepp. Plötsligt räcker det inte med att dina inloggningsuppgifter läcker ut, en angripare behöver nu även tillgång till en kod som har kort livslängd och som slumpmässigt genereras fram åt dig.

Det finns ett antal etablerade tillägg, såväl kostnadsfria som licensbelagda, som låter dig aktivera flerfaktorsautentisering för inloggning till WordPress adminpanel antingen för alla användare eller för en begränsad skara. Ta gärna kontakt med oss för rådgivning i vilka alternativ som erbjuds och vad de olika alternativen erbjuder för funktionalitet.

WordPress-tillägg för att hantera skadlig mjukvara

För att trygga sin nattsömn ytterligare lite finns det olika former av tillägg som går att installera i WordPress vars uppgift är att söka igenom hela installationen efter misstänkt skadlig kod. Dessa tillägg kan dessutom bidra med viss extrafunktionalitet som flerfaktorsautentisering, spärrande av känsliga filer och kataloger och mycket, mycket mer.

Många av dessa tillägg låter dig söka igenom såväl själva grunden i WordPress, tillägg och teman samt uppladdningskatalogerna efter spår av skadlig kod eller misstänkt manipulerade filer i övrigt. Det är inte ett heltäckande skydd och inte en garanti för att städa bort skadlig kod i sig, men det är ofta en väldigt bra start om ni misstänker att ni drabbats av någon form av skadlig eller manipulerad kod.

Några av de tillägg vi ser och använder när behovet uppstår är bland annat Quttera Web Malware Scanner och Wordfence Security, men utbudet är stort och det finns många varianter att välja bland, både de som är gratis och de som är förenade med olika former av licenser. Är ni osäkra på vad ni skall välja? Hör av er så guidar vi er rätt i djungeln!

Begränsa filsystemet i din WordPress-installation

Obs, för avancerade användare! Hör gärna av er om ni vill ha tips eller råd!

WordPress är tack vare sin ålder och stora räckvidd inom webben fullt av goda intentioner för att på olika sätt och vis erbjuda smart och smidig funktionalitet för en rad olika behov. Vissa av dessa intentioner kan dock innebära risker och det finns all anledning att se över vad ni behöver för just er webbplats och vad som bäst gör sig inaktiverat och dolt.

En funktionalitet som hängt med under många år är något som kallas XML-RPC, en uppsättning funktioner som ursprungligen togs fram för att dels underlätta offline-arbete men även i syfte att underlätta koppling mot mobilappar som kan arbeta mot WordPress. Funktionerna i XML-RPC har successivt minskat med tiden och kommer sannolikt försvinna helt i framtiden, men, tills dess finns ett stort problem.

XML-RPC är nämligen en ingång som låter ondskefulla aktörer testa ett stort antal kombinationer av användarnamn och lösenord för att hitta något som fungerar. Detta kan dels riskera att webbplatsen drabbas av obehörigt intrång men kan även innebära att er webbplats relativt enkelt kan utsättas för överbelastningsattacker.

Vår rekommendation är att förhindra detta, om ni inte vet att XML-RPC måste vara aktivt av ett eller annat skäl. Det finns dels olika former av tillägg för att lösa det, men det går även att göra med mer manuell handpåläggning där det även går att öppna upp för exempelvis vissa specifika IP-adresser som kan tänkas behöva tillgång.

Ett annat mer nytillkommet problem gäller det så kallade REST API som numera finns i WordPress. Som standard är det här möjligt att med rätt sökväg kunna få fram information kring användare såsom användarnamn eller användar-id som senare kan användas i olika försök att med visst digitalt våld försöka bryta sig in i WordPress adminpanel.

Även här finns möjligheter att lägga in begränsningar i tillgång till dessa uppgifter, i väntan på att det skall lösas på ett större plan. Precis som med XML-RPC finns det tillägg som kan inaktivera hela eller delar av det REST API som finns i WordPress. Det går även att göra med manuell handpåläggning men viss varsamhet krävs, för att inte riskera att hela eller delar av den grundläggande funktionaliteten i WordPress skall påverkas.

Tryggheten i nobox serviceavtal

Väljer ni att bli kund hos oss på nobox via vårt serviceavtal så arbetar vi proaktivt med att hålla er webbplats uppdaterad, för att på så vis minska risken för att drabbas av olika former av skadlig kod. Om webbplatsen, trots våra insatser, skulle bli hackad så tar vi ansvar för att lösa det. Vi kan även hjälpa er se över er grundläggande säkerhet och komma med tips och förslag på åtgärder som säkrar upp er webbplats.

Vill du ha hjälp med att höja säkerheten i WordPress?

Vi hjälper er gärna med att säkra upp er webbsida!

Joakim

Vill du få uppdateringar från oss?

Anmäl dig till vårt nyhetsbrev

*” anger obligatoriska fält

Detta fält används för valideringsändamål och ska lämnas oförändrat.