20 minutter for å sikre din WP

Wordpress logo med hengelås

På grunn av den fantastiske jobben som utføres av WordPress teamet, er det nå enklere enn noen gang tidligere å sikre sin WordPress blogg.

Det er spesialister i WP teamet som kontinuerlig sitter og jobber med å finne svakheter i plattformen slik at det hele tiden dukker opp nye oppdateringer som tetter de hullene som oppdages.

Selv om WordPress er en trygg plattform, vil det ikke si at du ikke må ta noen forbehold selv.. Vedlikehold og sikkerhet plugins er et must for å holde nettsiden sikker for andre hackere.

Om du følger trinnene under, skal nettsiden være sikker mot de aller fleste angrep du blir utsatt for.

 

Pass på å sikkerhetskopiere alt innhold

Ved å utføre en sikkerhetskopi av ditt innhold, kan du være sikker på at om du mot alle odds skulle bli utsatt for et angrep, eller at innholdet skulle bli skadet, kan du enkelt gjenopprette siden akkurat slik den var før uhellet.

Det betyr selvfølgelig at du må ta “backup” etter hver gang du poster nye innlegg eller gjør noen forandringer på nettsiden.

Det er en stor sjanse for at din host kjører daglig “backup” for deg, men man kan aldri være for sikker, så derfor bør du ha en egen stasjonær disk som du har “offline” til enhver tid når du ikke tar noen sikkerhetskopier.

 

Slett gamle WP installasjoner og software

Logg deg inn på WordPress med en FTP klient. Du er nødt til å ha tilgang til all data som lagres gjennom din hosting konto.

Se etter om du har noen mapper med gamle WordPress installasjoner liggende som du vet ikke er i bruk noe lengre og slett. Et eksempel på hvor du kan finne dette er i “directory”: ‘backup’, ‘doc_root.old’, ‘old_wordpress’ eller noe i den duren.

Om du ikke er så kjent med med “directory” bør du be support avdelingen til din host om hjelp til å ta for seg sletting.

Det er uansett viktig at dette blir gjort slik at ikke noen hackere plutselig finner en “bakdør” i en av de gamle filene!

 

Slett plugins og themes som ikke er i bruk

Ikke bare er mengder av plugins og themes med på å gjøre nettsiden tregere, men også en potensiell inngang for å infisere nettsiden med malware.

Gå ganske enkelt inn på WP panelet http://dinside.no/wp-admin og gå inn på plugins > intalled plugins og slett alt som ikke brukes.

Når du klikker på “details” lenken på siden av hver plugin, kan du enkelt se når den sist var oppdatert og om den er kompatibel med din versjon av den siste utgaven av WordPress. Finner du plugins som ikke har blitt oppdatert på over 15 mnd, anbefaler vi på det sterkeste at de blir slettet med en eneste gang.

Når det er snakk om themes, gjør du akkurat det samme. Trykk deg inn på Appearance > Themes. Slett alt av themes du ikke bruker.

 

Sikre admin og cpanel

Logg deg inn på admin panelet og trykk Users > All users. Er det noen brukere som ikke lengre er bidragsytere til nettsiden? I så fall skal de slettes.

Finner du brukere som du ikke kjenner til, er det sjanse for at du allerede er blitt hacket og derfor blitt infisert med malware.

Se til at både du og andre brukere av nettsiden har et avansert passord! Om du benytter et passord som genereres av WP, kan du være trygg på at det ikke blir “klekket med det første”.

Vi vet at det er mye å holde styr på når man skal huske alle brukernavn og passord, og derfor anbefaler vi at du tar i bruk en “password manager” som holder kontrollen for deg.

Denne kan du være trygg på: https://1password.com/
OBS: Gratis i 30 dager, men så må man betale.

Etter at det som skal gjøres på admin panelet er utført, logger du deg inn på cpanelet og utfører den samme prosessen der også.

 

All software på hosting kontoen må oppdateres

Det vil si at alt som kan oppdateres til den siste versjon, skal oppdateres.

Gjør som følgende:

  1. Oppdater alle WP themes
  2. Oppdater alle WP core installasjoner
  3. Oppdater PHPMyAdmin, Joomla, Drupal, MediaWiki eller andre installasjoner som også befinner seg på samme webhotell.
  4. Har du andre “extensions” under samme webhotell skal selvfølgelig også de oppdateres om det eksisterer en nyere utgave.

Har du en theme som er konstruert bare for deg? Da bør du passe på!

 

Aktiver 2 trinns autentisering for å logge inn

Her finnes det mange forskjellige plugins å velge mellom. Hvilken som er den beste er vanskelig å si, men den betalte utgaven av Wordfence har integrert en 2 trinns autentisering.

 

Installer en sikkerhets plugin

Det trenger ikke å være en betalt versjon selv om det er det beste alternativet, men en gratis plugin hjelper utrolig mye i seg selv.

Det er mange varianter å velge mellom når det kommer til sikkerhet, men for tiden virker det som om Wordfence og Sucuri er de mest populære. Tekst..

 

Kjør en full skann på din WP

Når alt av det tidligere nevnte tiltakene for å sikre din WordPress er utført, er det på tide med en skann.

Personlig vil jeg anbefale at du skanner med Wordfence, da vi bruker dette selv og er utrolig fornøyd med resultatene som leveres.

 

Les også:

Slik ble jeg kjent med sikkerhet

 

På tide og dele informasjonen

Det er mange som bør åpne øynene for hvor viktig det er med sikkerhet, og nå har du muligheten til å hjelpe andre der ute ved å dele informasjonen.

Mer avansert info om sikkerhet finner du i lenken under.

The WordPress Security Learning Center

 

 

Slik ble jeg kjent med sikkerhet

Backdoor:PHP/kidslug

I 2008 da jeg begynte å åpne øynene mine for søkemotoroptimalisering, var jeg grønn på både pc og sikkerhet. Likevel var det en introduksjonsvideo som fanget min interesse fordi de kunne bevise hvor enkelt det var å tjene penger på nett.

Hadde det ikke vært for at de på videoen kunne vise bevis på deres resultater, ville jeg ikke trodd at det var mulig å få trafikk på en så simpel måte.

Dette var en “bot” som automatiserte alt, så jeg betalte noen kroner for dette programmet og begynte å følge med på YouTube videoer.

 

Selv om jeg var naiv på den tiden, var det slik jeg ble introdusert for SEO og har siden den tid gjort mange forsøk gjennom årene. I starten var det for det meste feiling, men etter hvert som jeg lærte, tippet skalaen over til mer suksess.

Utrolig mange domener ble kjøpt i startfasen, og de som jeg ikke lyktes med, ble bare glemt på en HostGator server. Hverken oppdatering av nettsider eller plugins ble utført fordi jeg fryktet ikke for at jeg skulle bli angrepet av hackere uansett. Hvem gidder vel å bryte seg inn i mine forlatte WP sider?

På det ene webhotellet var det samlet seg opp mot 200 domener med WP installasjoner innen 2010. Alle hadde “Admin” som navn på innlogging og jeg brukte samme passord på alle nettsidene. Til og med for å logge inn i cpanel!

For en idiot, er det sikkert mange som tenker da.. Ja jeg var det fordi det var ikke før jeg ble hacket at jeg tok sikkerhet alvorlig.

Det viste seg at alle nettsidene var blitt infisert av malware som fikk sidene mine til å være en plattform hvor man kunne laste ned indisk musikk. Alle lenkene på søkeresultat ga “redirect” til random affiliate nettsider.

Etter å skanne de forlatte nettsidene mine for malware med wordfence, dukket det opp utrolig mange kritiske advarsler, men merket at det var 3 typer infeksjoner som gjentok seg hele tiden:

  • The infection type is: supp2 infection
  • The infection type is: Backdoor:PHP/kidslug
  • The infection type is: Spam:PHP/tkbol

Les også: Dagbladet/emne/hackere

Så hva gjør man etter å ha blitt hacket?

Når dette skjer, er det bare en ting å gjøre! Re-installer WP slik at alle skript blir slettet for godt.

Det hjelper ikke bare å slette infeksjonene som blir oppdaget fordi en godt skjult fil vil opprette de samme infeksjonene kort tid etter de er blitt slettet.

Du vil helt sikkert også finne en bruker under “users” i WP admin panelet. “wp.service.controller.ZUzSm” eller lignende. Slett denne brukeren før du re-installerer WP. Sørg også for at alle plugins og Themes er slettet.

Om alt går som det skal, vil du være i gang igjen på dagen, men ikke glem: Forandre alle dine passord, og ikke bruk samme passord på alle sidene!

Denne lenken hjelper deg for å se om det er fare for at du er blitt hacket: https://haveibeenpwned.com/

Bare tast inn din epost adresse og trykk enter!

Relevant lesestoff: