Det er ganske enkelt å lage sin egen nettside eller blogg med WordPress, og her kan man ha full kontroll over hele nettsiden sin selv. Dette er veldig kjekt, men WordPress-nettsider er også et ettertraktet bytte for hackere som ønsker å manipulere søkeresultater eller lure personer til å besøke svindelsider.
I utgangspunktet har ikke WordPress en spesielt god sikkerhet, og som nettstedeier bør man faktisk jobbe litt for å forbedre sikkerheten slik at du minimerer risikoen for at noen ødelegger for nettsiden din. Nedenfor har vi samlet sammen 8 tips for å beskytte WordPress-nettsider mot hackerangrep, og dersom du gjennomfører flere av disse har du i stor grad beskyttet deg mot uvedkommende som bryter seg inn på nettsiden din.
1) Sett på totrinnsbekreftelse
Totrinnsbekreftelse er kanskje den aller beste måten å unngå at uvedkommende kan komme seg inn på WordPress-nettsiden din. Her kan de faktisk finne ut av passordet og fortsatt ikke komme seg inn, med mindre hackerne på en eller annen måte også får fysisk tilgang til mobilen din! Her er du med andre ord veldig trygg mot inntrengere.
Det er enkelt å få på totrinnsbekreftelse på WordPress, men du må installere en utvidelse som for eksempel WP 2FA. Installer og aktiver denne, velg en e-post eller mobil du vil bruke til totrinnsbekreftelse, og nyt at WordPress-siden din er så godt som 100 % sikker mot inntrengere.
Lær mer om bruk av totrinnsbekreftelse på WordPress-nettsider ved å klikke her.
2) Ha et vanskelig brukernavn
På WordPress trenger ikke brukernavn å ha noe med visningsnavn, så du kan velge å ha et annet brukernavn enn visningsnavn. Det er litt krevende å finne ut av hva brukernavnet til en bruker er, men ikke umulig. Det er likevel et ekstra lag med sikkerhet, så sett brukernavnet du bruker til å logge inn til å være ulikt fra visningsnavnet som kommer når du publiserer artikler på nettsiden din.
Bytt i alle fall brukernavn vekk fra «admin», da dette er det automatisk gitte brukernavnet til de fleste som installerer WordPress. Det betyr videre at det er dette brukernavnet er det første hackere prøver seg frem på dersom de prøver å bryte seg inn på siden din.
Ellers anbefaler vi sterkt å ha brukeren med admintilgang være ulik fra den man bruker til å publisere artikler med. Om du aldri publiserer artikler med brukerne som har admintilgang vil det være mye vanskeligere for hackere å finne ut av hvordan de skal bryte seg inn på adminbrukere.
3) Lag det et sterkt passord!
Selv om det er mange ekstra lag man kan bruke for å beskytte WordPress-sider er det alltid passordet som bør være den primære beskyttelsen. Du bør ha som mål at ingen skal finne ut av passordet ditt, samtidig som du har et ekstra lag med beskyttelse dersom uhellet først er ute.
Så sørg for å bruke et vanskelig og unikt passord på WordPress-siden din som du ikke har brukt noe annet sted.
Her får du gode tips til hvordan du lager et passord som er umulig å hacke.
4) Flytt /wp-login.php-siden til noe annet
De aller fleste logger seg inn på WordPress ved å gå til domenet.com/wp-login.php, men loginsiden trenger faktisk ikke å ligge der. Med en enkel plugin som Defender kan du flytte innloggingssiden din til å være noe helt annet. Du bestemmer selv hvor du skal logge inn, men det er jo veldig kjekt å huske hvor du logger inn da.
Du kan bytte det til noe så enkelt som domene.com/innlogging.php siden dette er nok til å stoppe de aller fleste angrep, men om du vil være helt trygg kan du bruke noe som domene.com/qrv3dcs8YXk.php. Her er selve innloggingen nesten som et ekstra passord i seg selv.
5) Begrens bruteforceangrep
Bruteforce er den vanligste måten hackere angriper WordPress-nettsider på, og er en metode hvor hackere prøver å logge inn tusenvis av ganger på nettsiden din. De har en lang liste over passord hvor vanlige passord er øverst (så de har en enkel jobb foran seg om passordet ditt er «passord» eller «12345»), og fortsetter å prøve og prøve helt til de kommer inn.
Denne metoden gjør de selvsagt ikke ved å skrive inn hvert enkelt passord, men bruker et program som kan prøve flere hundre passord i minutter. Noen ganger kan et godt passord være nok til å stoppe angrepet, men om du har et svakt passord som for eksempel et vanlig ord vil du før eller siden tape kampen.
Det er heldigvis enkelt å stoppe bruteforceangrep. Alt du trenger er en utvidelse som setter en begrensning på hvor mange ganger du kan gjette feil passord før du ikke får lov til å prøve mer. Typisk kan man sette den til 4 eller 5 forsøk før man blir utestengt i en times tid. Deretter får du nye sjanser, men denne gangen blir du utestengt i 24 timer hvis du ikke klarer å komme inn.
For deg som hele tiden glemmer passordene dine er dette en dårlig idé, men for deg som klarer å huske det og komme inn på første eller andre forsøk er det en super beskyttelse mot angrep mot nettsiden din.
Det er mange ulike utvidelser som tilbyr beskyttelse mot bruteforceangrep, og så godt som alle sikkerhetsutvidelser har denne funksjonen. Vi bruker Loginizer Security, og er godt fornøyd med denne.
6) Ha en whitelist for IP-adresser som kan logge inn
En type beskyttelse som er knallgod er å ha en såkalt whitelist over IP-adresser som får lov til å prøve å logge inn på nettsiden. Med denne kan du sette begrensninger til hvilke datamaskiner som faktisk kan logge inn på WordPress-nettsiden din, og alle andre blir blokkert.
Dette krever at du har dataferdigheter nok til å sette opp en statisk IP-adresse på PC-en og mobilen du vil bruke for å jobbe med nettsiden fra, og gjør det krevende om du plutselig må bruke en annen PC for å skrive litt eller fikse noe.
Loginizer Security har mulighet til å sette opp en whitelist for deg som ønsker denne typen beskyttelse. Den kan jo være litt stress i visse situasjoner, men den er også knallgod for å beskytte nettsiden din mot angrep!
Det er også mulig å gjøre det motsatte, altså å lage en blacklist. Dette er da en liste over IP-adresser som ikke får logget inn på nettsiden din. Dette fungerer OK, men hackere har jo en tendens til å bytte IP-adresse svært ofte, så i realiteten stopper det veldig lite.
7) Begrens hvilke kontoer som har admintilgang
Veldig mange som har flere brukere og personer som jobber med WordPress-nettsiden lar alle få administratortilgang. I virkeligheten bør du aldri la flere enn helt nødvendig få denne tilgangen. Ikke bare blir nettsiden din enklere å hacke, men det er også mye større sjanse for at noen gjør noe feil eller ødelegger noe på nettsiden med et uhell.
Vi anbefaler å gi de som skal bidra med innhold til nettsiden tilgang som enten «Forfatter» eller «Redaktør». Som redaktør kan de gjøre det meste som har med innholdet å gjøre, men har ikke muligheten for å klusse til ting som kan skade nettsiden. Om hackere får tilgang til kontoen deres er det heller ikke like stort skadeomfang av angrepet.
8) Hold WordPress, alle utvidelser og alle temaer oppdatert!
En siste ting som er viktig for å holde WordPress-nettsiden din trygg mot hackerangrep er å alltid ha alt av temaer og utvidelser, samt WordPress selv oppdatert. De aller fleste oppdateringer fikser feil og potensielle problemer som gjør dem sårbare for angrep, og dersom du har en haug med gamle og utdaterte utvidelser på nettsiden din er det faktisk en risiko for at det finnes en sårbarhet i disse som lar hackere få tilgang til å gjøre endringer på nettsiden din.
Du bør derfor alltid oppdatere alle utvidelser, temaer og WordPress hver gang det er en ny oppdatering tilgjengelig, og sjekke etter oppdateringer minst ukentlig. Husk å ta backup av WordPress-siden din før du oppdaterer utvidelser!
Kombiner flere av metodene ovenfor for maksimal beskyttelse!
Over har vi sett på 8 ulike måter du kan gjøre WordPress-nettsiden din tryggere mot hackerangrep, men ingen av tiltakene er nok for å beskytte deg 100 % mot ethvert angrep. Det du derimot kan gjøre er å bruke mange lag med sikkerhet for å gjøre det utrolig vanskelig og tilnærmet umulig for hackere.
Se for deg at noen skal prøve å hacke nettsiden din. Først må de finne ut av hvor de kan logge inn, for du har jo flyttet det vekk fra /wp-login.php. Deretter må de prøve å finne ut av hva brukernavnet til administratorkontoen er for noe, for dette er jo hemmelig, og du har kun gitt redaktørtilgang til de som faktisk publiserer innhold der.
Deretter gjenstår det for hackerne å finne passordet ditt. Dette bør være vanskelig å gjette, og dessverre for dem har du beskyttet deg mot bruteforceangrep, så de får bare en liten håndfull med sjanser. Med mindre du har satt opp en IP-whiteliste da, for om du har det må hackerne først finne IP-adressen din, og deretter bruke et program for å late som de har denne IP-adressen.
Og om alt dette skulle klaffe for hackerne (noe det ikke kommer til å gjøre), så spiller det fortsatt ingen rolle, for de har jo ikke tilgang til mobilen din som har totrinnsbeskyttelsen!
Så kombiner 4 – 5 av disse metodene, så er du nesten helt garantert at ingen kan klare å hacke WordPress-siden din.
Ikke glem å beskytte webserveren og cPanel
Nå har vi snakket mye om hvordan man beskytter selve nettsiden mot hackerangrep, men det er viktig å huske at også webhosten din og selve serveren også er sårbar for angrep. De fleste bruker cPanel, og dersom hackere får tilgang til denne kan de enkelt overkjøre alle sikkerhetsinnstillinger som er satt opp ved å fjerne utvidelser fra selve serveren.
Du må derfor ta tak i beskyttelsen av innlogging til webhosting din, så vel som innlogging til cPanel, og ta sikkerheten der på alvor. Trolig er disse også et angrep for potensielle hackere, og de kan faktisk gjøre utrolig mye mer skade om de kommer seg inn der.
De fleste hackerangrep mot WordPress-nettsider er bruteforceangrep, injections via utvidelser eller lekkede passord
De aller fleste angrep mot WordPress-nettsider er en av tre følgende angrepsmetoder:
- Bruteforceangrep hvor hackere rett og slett prøver å gjette seg frem til passordet ditt i håp på det beste. Her er det bare et dataprogram som surrer og går for å sjekke om du har brukt et enkelt passord, og så hacker de deg om du har valgt «abc123» eller noe sånt tull som passord.
- Sårbarheter på utvidelser som alle fungerer litt ulikt. Noen sårbarheter lar hackerne skrive kode på nettsiden din, og får litt ulike tilganger basert på hva slags sårbarhet det er. Så hold alt oppdatert!
- Bruk av lekkede passord. Noen ganger blir hele nettsidedatabaser hacket, og da kan hackere få lister på mange titusen brukernavn, e-poster og passord. Da vil de typisk prøve å finne ut av e-posten og brukernavnet ditt, og matche dette mot et lekket passord. Om du er utsatt for en lekkasje er det en stor sikkerhetsrisiko! Du kan sjekke om du har blitt usatt for en lekkasje på nettsiden Have I Been Pwned.