Undgå hacking af WordPress

Undgå at blive hacket – WordPress sikkerhed

WordPress er med jævne mellemrum mål for hacking. Hackere målretter ofte deres angreb mod specifikke themes, WordPress filer, plugins og login-siden til admin delen. Det er derfor her opmærksomheden skal være i første omgang, så sandsynligheden for at blive hacket kan nedbringes. Hacking er altid skadeligt for SEO arbejdet på hjemmesiden.

Hvordan angriber en hacker WordPress?

Som udgangspunkt, så er alle sites konstant under angreb. Dette uagtet om der er tale om et phpBB forum eller et WordPress website. Hackere holder aldrig fri. Det er ikke unormalt, at en hacker scanner flere tusinde sider eller forsøger at logge ind flere hundrede gange om dagen.

Det er vel og mærke kun en enkelt hacker. Så når vi ser på, hvor mange hackere der er, så er hjemmesiderne potentielt under konstant angreb fra flere hackere på samme tid.

Det er oftest ikke en person, som forsøger at hacke dit site, men derimod automatiseret software, som hackerne benytter sig af. Softwaren kan nemlig meget mere effektivt crawle og søge efter svagheder på de enkelte websites.

Denne form for automatiseret software kaldes også for bots. For nemheds skyld kalder vi disse H-bots (hacker bots), så det er nemmere at kende forskel på dem og scraper bots, som derimod ”blot” forsøger at stjæle indholdet.

Beskyt WordPress med firewall

En firewall er et software program, som blokerer ubudne gæster. Her er et af de bedre Wordfence, som er et plugin til WordPress. Der findes mange andre plugins, men som sagt, så er Wordfence min klare favorit.

I korte træk fungerer Wordfence på den måde, at den kontrollerer om brugeradfærden på hjemmesiden, stemmer overens med adfærden fra en bot. Hvis botten så overtræder for mange regler, vil adgangen til siden automatisk blive blokeret for botten.

Wordfence blokerer selvfølgelig ikke for søgemaskine bots som fx Google bot og Bing bot. De vil altid have adgang til sitet.

Wordfence indeholder også mere avancerede funktioner, hvor det er muligt at se, hvilke bots der besøger siden og hvor de kommer fra. Der er mange muligheder for individuel segmentering og indstillinger.

User Agents (UA)

En User Agent identificerer de oplysninger, som en browser sender, der fortæller et websted, hvilken browser det er (Chrome, Firefox, m.m.), og hvilket operativsystem den fungerer på (Windows 10, Mac OS X).

Et eksempel på en User Agent for en Safari 11 browser på en Mac computer:

<code>Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15</code>

Der er mange forskellige måder at snyde sig ind på et site og User Agent præsenterer sig derfor på mange forskellige måder. Nogle udgiver sig for at være Windows XP.

Som det ser ud pt, så er det faktiske antal af Windows XP brugere, stort set lig med 0 og der kan derfor nemt oprettes en regel i Wordfence, som blokerer alle User Agent som præsenterer sig som Windows XP.
På den måde blokeres tusindvis af bots, uanset hvilket land eller IP-adresse de kommer fra.

Nogle bots er dog mere intelligente end andre og disse vil svare tilbage med en anden User Agent, men Wordfence fanger også disse.

Wordfence fås i en gratis version, som indeholder ovenstående muligheder, men der er også en betalt version, hvor det er endnu flere muligheder, bland andet er det muligt at blokere brugere fra visse lande.

Wordfence beskyttelse mod Exploits

Foruden ovenstående, så beskytter den betalte version af Wordfence dig som standard mod mange kompromitterede temaer og plugins, før disse plugins bliver opdateret eller tilrettet. Dette sker i mange tilfælde flere uger inden udviklerne af temaerne, får opdateret deres temaer.

Mere WordPress sikkerhed

Et andet populært plugin til WordPress er Sucuri Security, som tilføjer endnu et lag af sikkerhed. Sucuri, som i øvrigt er ejet af GoDaddy, kan som Wordfence også blokere specifikke bots i at udnytte svagheder på sitet. Sururi har desuden indbygget malware scanning, som løbende tjekker alle filerne for ændringer. Sururi vil lave en underretning, hver gang at der logges ind på sitet, hvilket kan være meget nyttigt i kampen mod hackere.

Der er også mulighed for underretning, hvis der ændres i indholdet på sitet, hvilket er meget benyttet af hackere. Der er trods alt en bagtanke med at få adgang til sitet.

Sucuri kommer, som Wordfence i to forskellige udgaver, en gratis og en betalt version. Gratis versionen indeholder mange praktiske funktioner, som kan være medvirkende til at minimere risikoen for et hackerangreb. Ønsker du adgang til website firewall, skal du dog have den betalte version.

Minimer antallet af logins på sitet

Wordfence kan systematisk udelukke bots, som jævnligt forsøger at udfylde brugernavn og kodeord på WordPress admin siden (hvor du logger ind i CMS systemet).

Men ønsker du at minimere disse loginforsøg findes der et decideret plugin til dette. Her skal du se efter pluginnet ”Limit Login Attemps Reloaded”. Pluginnet gør det muligt at udelukke alle bots, som har forsøgt at logge ind, med et vist antal forsøg. Et eksempel herpå kunne være at blokere adgangen, hvis kodeordet tastes forkert tre gange.

Limit Login Attemps Reloaded plugin har mange gode funktioner og snakker fint sammen med bla. Sucuri firewall, så igen, et plugin som klart kan anbefales.

Backup af WordPress side

Det burde være almindelig fornuft, men alligevel er der mange, som ikke får lavet en backup af websitet. Derfor er det vigtigt at denne proces automatiseres, så der dagligt laves backup af hjemmesiden. Så er der altid mulighed for at gå tilbage til en tidligere version, hvis uheldet alligevel skulle være ude.

Der findes rigtig mange forskellige plugins og værktøjer til netop dette og efterhånden er der også mange af de store hostingselskaber, som fx Kinsta WordPress hosting, der helt automatisk tager daglige backups.

Skulle du have hostet dit site et sted, hvor der ikke er daglig backup, så er et af de bedre plugins ”UpdraftPlus WordPress Backup Plugin”. Det er i skrivende stund benyttet af mere end 2 mill. WordPress brugere.

UpdraftPlus kan konfigureres til at sende den daglige backup via mail eller tilføje filerne til en ekstern cloud lokation som Dropbox.
Så uanset om du selv kommer til at slettet nogle af filerne eller om sitet skulle blive hacket, så er der altid mulighed for at gendanne websitet.

Så få står på din backup allerede i dag.

Opdater alle WordPress plugins og Themes

Også dette skulle være helt obligatorisk, at holde alle plugins opdaterede, men også her fejler mange. Måske er mange ikke klar over risikoen ved at uopdaterede plugins.

Der er faktisk mulighed for, at WordPress helt automatisk kan opdatere disse, så snart der er opdateringer.
Der er rigtig mange hjemmesider, hvor der ikke logges ind jævnligt og her vil det være meget belejligt at aktivere denne funktion.
Når autoupdate er aktiveret er du altid sikker på at have den nyeste version af alle plugins

Der kan dog være mange gode grunde til, ikke at aktivere denne funktion, specielt hvis der er lavet tilpasninger, som ikke nødvendigvis understøttes af kommende versioner

For at benytte autoupdate skal der også her installeres et plugin. Søg efter plugin ”Advanced Automatic Updates” og installer dette. Opsætningen giver sig selv, så der er ingen grund til at uddybe dette yderligere her.

Pas på forældede plugins i WordPress

Der er rigtig mange plugins til WordPress og derfor er der også rigtig mange plugins, som ikke længere bliver opdateres af udviklerne. Hvorfor der ikke længere udvikles på disse plugins kan der være mange grunde til.
Fakta er dog, at der potentielt er en sikkerhedsrisiko, i et plugin, som ikke længere opdateres.

Det er også set, at hackere køber disse forældede plugins og så forsyner dem med malware eller virus. Gennemgå derfor alle dine installerede plugins. De skal være opdaterede og helst opdateres jævnligt af udvikleren.

Hvordan beskyttes WordPress imod hackere?

For de flestes vedkommende, kan ovenstående punkter være med at undgå et hackerangreb. Selv gratisudgaverne of ovenstående giver en væsentlig forbedring af sikkerheden på et WordPress website. Der er selvfølgelig endnu mere sikkerhed i at købe de betalte udgaver af de forskellige plugins, men det er altid en vurderingssag, hvad der er nødvendigt for den enkelte hjemmeside.

Der findes mange andre sikkerheds plugins til WordPress end de få, som er nævnt her, men personligt har jeg stor tillid til Sucuri og Wordfence. Det er selvfølgelig også vigtigt at være kritisk når der skal vælges sikkerheds-plugin. Der er også plugins, som er forsynet med diverse malware m.m., selvom de udgiver sig for at være en hjælp til sikkerheden.