WordPress har desværre et ry for at være usikkert, og at man nemt bliver hacket – men det er bestemt ikke sandt, i hvert fald ikke hvis du sørger for at gøre din del af arbejdet. For mange tror, at WordPress er usikkert som standard – men der er faktisk godt styr på sikkerheden – som sagt, kræver det en lille indsats af dig selv, for at holde sikkerheden i top hele tiden.
Millioner af websites…
I skrivende stund, er der cirka 75 millioner WordPress websites i verden. Desværre er der rigtig mange af dem, som kører på en ældre version af WordPress – f.eks. kører cirka 25% af disse websites stadig på version 4.9(!)
For at holde sikkerheden i top, så skal man sørge for at holde sin WordPress side opdateret hele tiden. Gør man ikke det, kan hackere udnytte smuthuller i de ældre versioner, og derved få adgang til din side.
Hvordan ved jeg om jeg er blevet hacket?
Der er et par punkter, som kan indikere at dit website er blevet hacket:
- Pludseligt fald i trafik til din side
– Dette er en af de mest hyppige angreb jeg har set. Der er pludselig kommet malware på din side, og den redirecter nu til en helt anden side, som typisk er en spilleside fyldt med reklamer, eller i værste fald kan det være diverse pornosider. - Ukendte links og artikler på din side
– Endnu en af de mere hyppige angreb. En hacker får adgang til din side, og opretter en masse spam-artikler eller spam-sider, og opretter links fra enten footer, header eller selve artiklerne, til andre sider (som ovenstående) - Din forside er væk, og der står at du er hacket
– Denne skulle gerne være ret åbenlys. Hackeren har fået adgang til serveren, og har ændret din forside, eller i værste fald, slettet alle filer, og uploadet sin egen version af en index-fil. - Du kan ikke logge ind mere
– Dette er heldigvis ikke set så ofte, men det sker af og til. Pludselig virker dit login til siden ikke mere, og når du kigger i databasen, er din bruger slettet, og der er oprettet en masse spam-brugere. Hackeren har altså fået adgang til enten din backend eller din database, og fjernet alle brugere – herefter har han/hun oprettet sig selv + en masse spam-brugere. - En masse ukendte brugere på din side
– Jeg får en del henvendelser fra kunder, som oplever netop dette. Der er kommet en masse nye brugere på siden, og man har ikke selv tilføjet dem. Oftest er det spa, fordi man har glemt at slå “brugerregistrering” fra på hjemmesiden – men er der en bruger, som du ikke kender, som har administrator-adgang, ja så er der en god chance for at du er blevet hacket.
Ovenstående er kun et lille udpluk af de “tegn” der er på at man er blevet hacket. Mange mærker nærmest intet til det – mens andre får den helt store tur, hvor alt er slettet og man skal starte forfra. Én ting er sikkert – du kan selv være med til at beskytte din side mod hackere. Det tager et par minutter om ugen (maks!) – og det kan spare dig for at skulle lave det hele forfra.
Hvad kan jeg selv gøre, for at forbedre sikkerheden på min side?
Som jeg har nævnt ovenfor, så kan du investere lidt tid i din side, og sørge for at den er opdateret hele tiden. WordPress sender en opdatering ud en gang om måneden – nogle gange lidt flere, det kommer an på om der er en sikkerhedsopdatering. Jeg skal nok komme ind på hvad en sikkerhedsopdatering er lidt senere – men i hvert fald, kan du regne med en opdatering af selve WordPress core.
Derudover kommer der opdateringer til diverse plugins og themes – og det er ikke nødvendigvis en gang om måneden – det kan sagtens være hyppigere eller nærmest aldrig. Det er helt op til forfatteren af pluginnet/themet at afgøre hvornår der skal sendes en opdatering ud. Dog er det et ret skidt tegn, hvis et plugin eller et theme ikke er blevet opdateret i et halvt år – så vil jeg i hvert fald kigge efter andre alternativer.
Nu tror jeg også, at jeg fik nævnt det nok, at du skal holde dit WordPress site opdateret – men hvad ellers kan man gøre for at øge sikkerheden på ens WordPress site?
- Installere og opsætte en firewall
– Dette er slet ikke så indviklet som det måske lyder. At opsætte en firewall er egentlig bare en opsætning af et sikkerhedsplugin som f.eks. WordFence (det bruger jeg selv) eller All in One WP Security & Firewall. Selve opsætningen af disse plugins kan være forskelligt fra bruger til bruger, og jeg vil derfor ikke gå i dybden med hvordan du skal opsætte dem på dit site – men 15 Degrees North har skrevet en retavanceret guide til Wordfence her. - Opsætte 2 faktor-login
– Dette step er noget jeg selv har gjort inden for det seneste år – og jeg fortryder det ikke ét sekund. Det kan godt være, at det er lidt irriterende i starten, at skulle hive mobilen frem for at få en sikkerhedskode, men når man tænker på hvor meget det betyder for sikkerheden, så tager jeg gerne de 15 sekunder ekstra med. Jeg bruger det i forbindelse med Wordfence, men du kan sagtens hente et standalone-plugin som Two Factor Authentication. - Holde antallet af plugins til et minimum
– Har du egentlig brug for alle de plugins, som du har installeret på din side? Jeg er godt klar over, at der er et hav af muligheder derude, og det er super fedt at kunne tilbyde sine brugere det hele på én gang. Men overvej det lige en ekstra gang. Det kan godt være, at din side er i tip top stand, men så har du et plugin, som er dårligt kodet, og som efterlader en del sikkerhedshuller. Disse sikkerhedshuller vil en hacker kunne finde og udnytte, og så er du ligeså dårligt stillet som dem der ikke opdaterer deres side overhovedet.
Endnu en grund til at du skal droppe alle de fancy plugins er hastigheden på din side. Jo færre plugins, desto færre kald laves der til databasen, og du vil derfor opleve en hastighedsforbedring på din side. Jeg har selv maks. 5 plugins på de sider jeg laver – med nogle få undtagelser, men det er i hvert fald det jeg går efter. Hvad har du selv? - Ændr dit password til et stærkt password
– Mange af os bruger typisk et password vi kender, og som vi bruger lidt over det hele på nettet. Kan du selv høre hvordan det lyder? Og kan du se alle advarselslamper blinke? Brug et autogenereret password – og brug generelt aldrig det samme password flere steder. Du kan bruge 1Password til at organisere alle dine passwords – jeg bruger det selv. - Opsætning af SSL certifikat
– De fleste burde allerede have dette installeret på deres site, men der er altså stadig en del derude, som ikke kører med et SSL certifikat. De fleste udbydere tilbyder dette gratis, og jeg har skrevet en guide til, hvordan du opsætter SSL certifikat på Simply (tidl. UnoEuro). - Sørg for at have backup af din side
De fleste hosts tager backup af din server og din database dagligt, og du behøver derfor ikke at have et plugin som gør dette for dig. Men vil du være ekstra sikker på at have en backup af din side, kan du med fordel installere UpdraftPlus og koble den op på dit Google drev eller Dropbox.
Min WordPress side er blevet hacket – hvad skal jeg gøre?
Det første du kan gøre er, at se om du ikke har en backup af siden. Hvis du har det, så rul denne ud. Bemærk dog, at den backup du ruller ud sagtens kan være inficeret, og dit arbejde er derfor ikke færdigt så snart du har rullet en backup ud.
Jeg har før oplevet, at et site har været inficeret i et længere stykke tid, men der er gået noget tid, før man kunne se/mærke det på selve hjemmesiden. Hackere er blevet klogere med tiden, og de vil forsøge at gøre hvad de kan, for at din hjemmeside bliver ved med at redirecte til deres sider, eller vise deres info på sin side. Det er almen kendt, at de fleste udbydere tager backup af ens side for de sidste 30 dage – og det kan hackere udnytte ved at lægge filer eller kode ind på sin side, som ikke “aktiveres” før om 30 dage. For når du så ruller en backup ud, så er deres kode der stadig, og der vil derfor ikke gå særlig lang tid før der står at du er hacket igen.
Bare rolig, der er selvfølgelig en vej ud af denne spiral – om end den kan føles lidt lang. Proceduren er ikke altid den samme for alle websites – men jeg har oftest kunne løse det ved at gøre følgende:
- Ændre password til FTP, MySQL og min bruger til kontrolpanelet (såfremt jeg kunne komme ind, ellers kan man gøre det via databasen).
- Tage en backup af “wp-content” mappen, og gemme denne på skrivebordet på computeren.
- Slette alle filer på serveren, på nær .htaccess og wp-config.php
- Gennemgå ovenstående 2 filer, for at sikre mig at der ikke er noget inficeret kode i nogen af dem.
- Uploade en frisk version af WordPress, som jeg har downloadet direkte fra wordpress’ oficielle hjemmeside.
- Uploade filerne fra “wp-content” på skrivebordet til serveren.
Bemærk! Mens jeg gør dette, undersøger jeg diverse mapper, om der skulle være nogle inficerede filer. F.eks. skal der ikke være HTML eller PHP filer i “uploads” mappen – andet end index.php – som du selvfølgelig også undersøger for malware.
Endnu en ting: Vær sikker på, at dit theme ikke er inficeret. Det bedste du kan gøre er, at downloade en helt ny version af dit theme, og derefter oprette et “child-theme” (hvis ikke dette allerede er gjort), hvor du så uploader de rettelser du måtte have lavet til dit theme. - Når jeg er kommet ind i kontrolpanelet, sørger jeg for at opdatere det hele, og fjerne alle unødige og inaktive plugins og themes (undtagen TwentyTwenty, som er et fallback-theme hvis dit theme fejler).
Derudover kigger jeg efter fremmede brugere, som er blevet oprettet på siden. - Til sidst gennemgår jeg indholdet på siden. Hvis du er nybegynder, vil jeg anbefale dig at gå alle sider igennem en efter en – men hvis du er avanceret bruger, så kan du via phpmyadmin søge efter “<script” eller lignende, da dette ikke skulle være at finde i din dabatase. Disse scripts redirecter dig oftest bare til en casino- eller pornoside.
Jeg er blevet hacket, men jeg kan ikke selv rette det.
Bare rolig, der er ingen skam i at spørge andre om hjælp.
Hvis din side er blevet hacket, så kan du oftest spørge inde på en af de mange facebook grupper om WordPress, om der ikke er en venlig sjæl der kan hjælpe dig. Du vil typisk få svar inden for et par minutter, og priserne kan variere fra røverkøb til spidsen af en jetjæger. Pas nu på med hvem du vælger – hvis det lyder for godt til at være sandt, så er det oftest også sådan(!).
Hvis du vil undgå at blive bombarderet med tilbud, kan du med fordel sende mig en besked, hvor du beskriver dit problem – så finder vi ud af det sammen. Hvis det er en lille ting, så er det noget jeg fikser gratis – det har jeg gjort siden 2012, og det er noget jeg vil blive ved med mange år ud i fremtiden.
Hejsa
Jeg har desværre selv prøvet at få hacket min WordPress blog et par gange. Det kan være sin sag at holde den kørende, men holde sig opdateret med både WordPress version og alle installerede plugins er en rigtig god start. Det er også vigtig at man bruger nogle gode lange password for både login og database. 2-factor login er naturligvis også en god sikkerhed.
Hej Thomas
Som du selv siger, så kan det være sin sag at holde alt ved lige.
Når det er sagt, så er det nok, bare at gå ind én gang om ugen, for at tjekke om der er nogle opdateringer. Er der det, jamen så kører man dem jo bare igennem.
En anden ting, som jeg altid anbefaler, er at holde antallet af plugins til et absolut minimum. Man kan sagtens have en velfungerende shop, uden at skulle have 40 forskellige plugins. Er man i tvivl, kan man altid høre hvad en professionel tænker er nødvendigt, og hvad man kan undvære.
Ha’ en kanon sommer – og tak fordi du læser med :D
// Aris
Meget nyttige oplysninger. Tusind tak!
Mange tak for de venlige ord :)
MVH
Aris