Så gör du WordPress säkrare — skydda sajten mot hackare
Det finns flera sätt för en hackare att komma åt din webbsajt om den använder WordPress. Därför är det viktigt att du arbetar proaktivt för att skydda din sajt från intrång. Här tipsar vi om hur du bäst täpper till alla hål som hackare kan nyttja.
- Installera ett säkerhetstillägg i WordPress som sköter säkerheten åt dig
- Använd Cloudflare för att säkra och snabba upp din sajt
- Du behöver inte betala pengar för att skydda webbsajten
- Arbeta proaktivt och läs om de senaste hoten
- Behöver du snabba upp WordPress? Här är de bästa tipsen på hur din sajt blir snabbare
Riskerna med att få sin webbsajt hackad
Om din webbsajt blir hackade kan det få så långtgående effekter att du måste stänga ner den. Permanent.
Beroende på vad hackaren vill med din sajt kan någon eller flera av följande saker hända:
- Din databas blir stulen med namn, e-postadresser och lösenord
- Skadlig kod installeras som sprider malware till dina besökare
- Servern du använder hjälper hackare att bryta kryptovalutor
- Skript läggs in på din webbsajt som gör att besökarnas datorer används för att bryta kryptovalutor
- Allt du har på din webbsajt raderas
Det är inte längre osannolikt att ens webbsajt ska bli hackad. Datorer söker av internet och meddelar hackare när de hittar sårbarheter. Ingen behöver sitta och göra jobbet manuellt längre.
Bästa sätten att skydda WordPress från hackare
Det finns många sätt att skydda WordPress från hackare. De flesta är väldigt grundläggande och mycket enkla att göra. Ofta tar det bara några minuter att kolla säkerheten och se till att minimera riskerna.
Uppdatera WordPress, teman och tillägg regelbundet
Det är otroligt viktigt att du själva WordPress, teman och tillägg uppdaterade. Så fort det finns en uppdatering redo bör du installera den. Speciellt viktigt är det med WordPress som ofta har en hel mängd säkerhetsfixar med varje ny version.
Så här uppdaterar du WordPress:
- Logga in som administratör på din webbsajt
- Klicka på ”Uppdateringar” i menyn
- Klicka på knappen ”Uppdatera nu” om en sådan visas
- Vänta på att uppdateringen färdigställs
- Klart!
Så här uppdaterar du tillägg i WordPress:
- Logga in som administratör på din webbsajt
- Klicka på ”Uppdateringar” i menyn
- Gå ner på sidan tills du ser tilläggen > Klicka på ”Välj alla”
- Klicka därefter på ”Uppdatera tillägg”
- Vänta – det kan ta en stund beroende på antal tillägg
- Klart!
Så här uppdaterar du teman i WordPress:
Beroende på om du använder WordPress egna teman eller har köpt från tredjepart så skiljer sig tillvägagångssättet något för att uppdatera teman. Om du använder ett Twenty-tema gör du precis enligt beskrivningen ovan för tillägg, men för teman så klart. Det gäller även andra teman som installerats direkt från WordPress egna tema-butik.
Uppdatera WordPress-teman från ThemeForest
Har du köpt ett tema från exempelvis ThemeForest blir det lite knepigare. Du kan antingen installera teman manuellt via FTP eller SSH, alternativt installera ett tillägg som hjälper dig att göra uppdateringen automatiskt. Så här installerar du tillägget Envato Market:
- Gå till den officiella sidan för Envato Market
- Klicka på nerladdningsknappen och vänta tills nerladdningen är klar
- Logga in som administratör på din webbsajt
- Klicka på ”Tillägg” > Därefter ”Lägg till nytt”
- Längst upp på sidan klickar du på ”Ladda upp tillägg”
- Klicka på ”Välj fil” > Leta upp och markera filen du laddade ner
- Klicka på ”Installera nu” > Vänta tills installationen är klar > Aktivera tillägget
När du är klar med alla stegen har du fått ett nytt alternativ i menyn till WordPress. Klicka på ”Envato Market” längst ner till vänster på sidan för att gå till inställningarna. Följ instruktionerna på skärmen för att skapa en token och uppdatera ditt tema från ThemeForest.
Ändra ditt lösenord till WordPress
Har du använt samma lösenord till din webbsajt en längre tid är det dags att byta. Det gäller speciellt om du råkat återanvända lösenordet på andra sajter och tjänster.
Ett bra lösenord består av versaler, gemener, siffror och specialtecken. Undvik enbart sifferkombinationer samt vanliga ord och namn. Det tar bara minuter för en hackare att testa sig fram till rätt lösenord om du använder ord och kombinationer som finns i en vanlig ordbok.
Skapa säkra lösenord med dessa generatorer:
Lösenordshanterare kommer ihåg dina lösenord åt dig:
Så här byter du lösenord i WordPress:
- Logga in som administratör på din webbsajt
- Klicka på ”Användare” > Därefter ”Din profil”
- Gå ner till ”Kontoadministration” > Klicka på Generera lösenord”
- Valbart steg: Skriv i ett eget lösenord om du inte accepterar det genererade
- Gå längst ner på sidan och välj ”Uppdatera profil”
- Klart!
Svårare än så är det inte.
Ändra användarnamnet för admin
Om du fortfarande använder WordPress med användaren ”admin” — då är det dags att byta namn. Det är nämligen det första som hackare gärna testar.
Med nyare versioner av WordPress kan du själv välja ett namn när du installerar din webbsajt. Har du inte skapat sajten än rekommenderar vi att du absolut inte väljer ”admin” som namn. Inte heller ditt vanliga namn.
Istället bör du komma på något kreativt och ovanligt.
Så här byter du användarnamn direkt i WordPress:
- Enklast: Installera tillägget ”Username Changer” för att byta namn på din befintliga användare
- Medelsvårt: Skapa en ny administratör med nytt namn, och ta bort den gamla
- Avancerat: Ändra användarnamnet direkt från phpMyAdmin
Det tar bara några minuter att ändra namnet, och du bör göra det så fort du bara kan för att minimera riskerna.
Använd ett säkerhetstillägg i WordPress
Det är svårt att få en bra överblick över alla säkerhetsinställningar som kan göras för att säkra WordPress. Tacksamt nog finns några riktigt bra tillägg som sköter allt åt dig.
Två av de bättre alternativen idag är Sucuri Scanner och Wordfence Security.
De ger ett grundläggande skydd mot intrång utan att du behöver betala något. Vill du ha de mer avancerade funktionerna kostar det några hundralappar varje år.
Båda tilläggen ger kompletta säkerhetslösningar med brandvägg och möjligheten att söka igenom webbsajten efter skadlig kod. Var bara beredd på att de kommer att tjata om hur du ska betala för premium-funktioner för maximalt skydd. Det är kostnaden för att vara gratisanvändare.
Använd Cloudflare med WordPress
Cloudflare är en tjänst som både ökar säkerheten och hastigheten på din webbsajt — helt gratis dessutom.
Genom att ändra namnservrarna för domänen du använder till Cloudflare (ingen fara, alla DNS-inställningar följer med automatiskt) kan tjänsten kontrollera trafiken till och från din webbsajt.
Med smarta brandväggsregler och andra säkerhetslösningar håller Cloudflare koll på hur besökarna använder din webbsajt. Om misstänkt beteende upptäcks blockeras besökaren från den berörda ip-adressen.
Cloudflare hjälper dig också att undvika DDoS-attacker som kan sänka webbsajten.
Det här kan Cloudflare göra för din webbsajt
- Analysera trafiken och identifiera hot
- Gratis CDN-funktion över hela världen (läs mer här)
- Ger diin webbsajt ett gratis SSL-certifikat
- Skyddar från intrång med en smart brandvägg
- Snabbar upp javascript och komprimerar bilder
- Cachar statiskt innehåll och gör sajten kvickare
- Går webbsajten ner kan Cloudflare visa en kopia
Listan över allt som Cloudflare kan göra är lång, och ovan har vi bara listat funktionerna som Cloudflare erbjuder helt gratis. Om du väljer att betala en månadskostnad på några hundralappar får du ännu mer att prova. De flesta klarar sig utmärkt med gratisvarianten.
Så här kommer du igång med Cloudflare och WordPress:
För att kunna använda Cloudflare måste du ha tillgång till inställningarna för din domäns namnservrar. Hur du ändrar dessa beror på webbhotellets administratörsgränssnitt. Om du inte vet hur man ändrar namnservrarna rekommenderar vi att du prata med supporten som kan hjälpa dig.
- Gå till den officiella webbsajten för Cloudflare
- Fyll i din e-postdress och ett lösenord > Klicka på ”Sign up”
- Följ instruktionerna på skärmen. Du måste nu bekräfta att din e-postadress är giltig.
- Logga in på ditt nya Cloudflare-konto
- Välj ”Add Site” om du inte direkt får valet att lägga till en webbsajt
- Fyll i domännamnet till din webbsajt
- Följ instruktionerna på skärmen och notera de två nya namnservrarna
- Logga in på ditt webbhotell och ändra namnservrarna från webbhotellets till Cloudflares
- Vänta! Det kan ta några timmar innan bytet går igenom ordentligt över hela världen
- Klart! Du är nu skyddad av Cloudflare och kan utforska alla inställningar
Mer avancerade säkerhetsåtgärder
Nu blir det lite mer avancerat, men stegen här under är inte desto mindre viktiga så ta dig gärna tiden att göra dem. Det kan innebära att du måste läsa på lite om hur man går tillväga, men det är bara nyttig kunskap och du kommer ha nytta av informationen längre fram i ditt sajtskapande.
Avaktivera redigeraren i WordPress
Du kan normalt redigera tema-filer och tillägg direkt inifrån WordPress. Detta är inte rekommenderat och en stor säkerhetsrisk. Hackare som kommer åt din webbsajt via en användare ska inte kunna lägga in skadlig kod direkt i temat den vägen.
Så här stänger du av redigeraren i WordPress:
- Använd Sucuri eller Wordfence som gör det automatiskt åt dig
- Eller lägg in en blockering manuellt via wp-config.php
- Öppna filen wp-config.php i en textredigerare
- Lägg till följande kodrad i filen:
define( ’DISALLOW_FILE_EDIT’, true );
Avaktivera PHP-körning från WordPress-mappar
Det ska inte gå att köra PHP-filer direkt från exempelvis mappen för uppladdade filer (där dina bilder och liknande sparas). Genom att hindra körningar minskar du risken för att hackare kan exekvera skadlig kod den vägen.
Så här stänger du av PHP-körning i mappar:
- Använd Sucuri eller Wordfence som gör det automatiskt åt dig
- Eller lägg in en blockering manuellt via .htaccess
- Skapa (eller öppna om filen finns) .htaccess i mappen du vill begränsa
- Klistra in följande kodrader och spara:
<Files *.php>
deny from all
</Files>
Stoppa åtkomst till XML-RPC i WordPress
XML-RPC används för att externa applikationer och tjänster ska kunna prata med WordPress. Exempelvis om du vill blogga från en app i telefonen.
Tyvärr är XML-RPC också ett vanligt sätt för hackare att komma åt webbsajter genom så kallad brute-force. Genom XML-RPC kan en hackare prova att logga in på din webbsajt tusentals gånger på mycket kort tid.
Så här stänger du av XML-RPC i WordPress:
- Installera tillägget ”Disable XML-RPC”
- Eller lägg till följande i .htaccess
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
Ändra prefixet för databasen till WordPress
Normalt används ”wp_” som prefix till tabellerna i databasen när du installerar WordPress. Det gör det enkelt för hackare att gissa vad tabellerna heter. Därför är det alltid en god idé att byta namn på dem även om du redan har installerat WordPress.
Processen kan göra att din webbsajt slutar fungera. Därför är det rekommenderat att du har koll på vad du gör och åtminstone har grundläggande förståelse kring hur databaser fungerar med WordPress.
Du kan läsa mer om hur man går tillväga med prefix-bytet på en redan installerad webbsajt här.
Om du inte har installerat WordPress än ger nyare versioner möjligheten att byta prefix innan tabellerna skrivs till databasen. Du bör välja ett kort prefix likt följande:
- wp_haafsajt_
- wp_minsajt_
- wp_haafse_
Du kan givetvis kalla det vad du vill så länge namnet bara innehåller siffror och bokstäver.