Genveje
Kontrolpanel Webmail Driftstatus
Gå til kurv
E-mail

Opnå bedste sikkerhed i WordPress

Når din hjemmeside eller webshop har udgangspunkt i WordPress, er det vigtigt at være klar over, at der løbende findes sårbarheder i softwaren (core, temaer, plugins), og at man kan gøre sit for at undgå, at det disse sikkerhedshuller udnyttes på ens side.

Vigtigt

Inden du selv laver større opdateringer af WordPress selv (core), temaer eller plugins, kan du med fordel tage et aktuelt øjebliksbillede (backup) af din hjemmeside med plugins som UpdraftPlus eller Duplicator.

Netsites webhotel-platform også tager daglig backup af din hjemmeside, inklusiv databaser. Det er muligt at få gendannet fra denne backup (30 dage tilbage i tiden), hvilket er en betalingsopgave, som udføres af en tekniker fra Netsite.

Med et Medium- eller Largesite webhotel, har du selv direkte adgang til samme backup via FTP, og kan derfor selv udføre gendannelse efter kunnen og behov.

Anbefalinger

Anbefalingerne er elementær sikkerhed i WordPress, og den ansvarlige for din side, bør kunne berolige dig med, at der er taget højde for hvad denne artikel gennemgår.

Vælg temaer & plugins med omhu

Det er normalt, efter installationen af WordPress på ens webhotel, at man supplerer med et ønsket tema, og plugins der opfylder ens behov for ekstra funktionalitet.

Men for ens sides sikkerheds skyld, er en tommelfingerregel man bør følge, kun at bruge populære, og dermed veletablerede temaer og plugins. At temaer og plugins er veletablerede, betyder som regel at sikkerhedshuller vil blive løst, og løst hurtigt, af de ansvarlige for softwaren.

Normalt tilføjes temaer og plugins direkte til ens side via WordPress-kontrolpanelet - Både i kontrolpanelet og på https://da.wordpress.org/plugins/ og https://da.wordpress.org/themes/ kan du se om et tema/plugin er "populært":

For begge dele skal man særligt kigge efter hvilken bedømmelse et tema/plugin har (og normalt ikke bruge noget med under 4 stjerner), men antal bedømmelser er ligeledes vigtige her. Antallet af bedømmelser bør som regel være "højt", hvis også aktive installationer er (500.000+). Og netop aktive installationer er vigtigt, da det viser dig, hvor mange andre sider der bruger dette plugin - F.eks. må man sige at 500.000 aktive installationer er en form for blåstempling.

Derudover kan man tillægge et tema/plugin yderligere værdi, hvis Senest opdateret ikke halter med mere end 6 måneder, hvilket også indikerer, at det er testet med seneste version(er) af WordPress.

Dertil kan det siges, at der bestemt også er god værdi i at betale for "pro" versioner af populære temaer/plugins, da det som regel giver bedre support, løbende (software) opdateringer og flere features.

Anbefalet

Taget i betragtning egen WordPress-kunnen, behov og budget, anbefaler vi så vidt muligt, at du har en service/opdateringsaftale med den ansvarlige for din WordPress-hjemmeside. På den måde er du af med "hovedpinen", der ligger i at opnå balancegang mellem at ens hjemmeside altid er up-to-date i forhold til opdateringer, men også platform-kompatibilitet, og altså processen hertil.

Slet ikke-aktive temaer & plugins der ikke bruges

Temaer i WordPress du ikke bruger til din side bør slettes, og det samme gælder deaktiverede plugins/plugins der ikke bruges men er aktive. Eventuelle sikkerhedshuller i dem kan potentielt udnyttes også selvom deres status ikke er aktiv.

Hav derfor kun tilføjelser installeret, som din side aktivt gør brug af.

Slet temaer

  1. Log på WordPress - Normalt via https://eksempel.dk/wp-login.php hvor eksempel.dk erstattes af dit eget domæne - og klik på Udseende > Temaer i hovedmenuen til venstre.

  2. Temaer der ikke bruges, kan fjernes ved at du klikker på det ikke-aktive tema (Tema-detaljer), og klikker på Slet i bunden til højre.

Bemærk

I nogle tilfælde vil du gøre brug af både et "Parent Theme" og et "Child Theme" - Det vil du normalt være klar over, hvis du selv har opsat dit tema, og i så fald, skal det inaktive tema af de to relaterede temaer ikke slettes under en oprydning. Se evt. https://developer.wordpress.org/themes/advanced-topics/child-themes/

Slet plugins

  1. Log på WordPress - Normalt via https://eksempel.dk/wp-login.php hvor eksempel.dk erstattes af dit eget domæne - og klik på Plugins i hovedmenuen til venstre.

  2. Et plugin som er deaktiveret, kan i oversigten fjernes, ved at man klikker på Slet.

Slet ikke-aktive brugere & brug kun stærke adgangskoder

Brugere med adgang til din WordPress-side findes på https://www.eksempel.dk/wp-admin/users.php eller via WordPress hovedmenu > Brugere.

Vær opmærksom på hvilke brugere der er oprettet her, og sørg for at listen altid er up-to-date - Kræv også at brugerne har stærke adgangskoder, som WordPress kan være med til at sætte - F.eks. er A&DU1kXXx&ee6JxjA6!6UqC) en stærk adgangskode, foreslået af WordPress.

I oversigten Brugere, kan en bruger nemt slettes ved at holde musemarkøren over brugeren, og klikke på Slet. Du kan også her klikke på Rediger og give brugeren en ny adgangskode.

Brug to-faktor-godkendelse (2FA)

Selv den stærkeste adgangskode kan blive kompromitteret - f.eks. via phishing eller datalæk fra andre tjenester. To-faktor-godkendelse (2FA) tilføjer et ekstra sikkerhedslag, hvor brugeren ud over adgangskoden også skal bekræfte login med en engangskode fra telefonen.

Vi anbefaler stærkt, at alle brugere med administratoradgang aktiverer 2FA. Der findes flere gode plugins til formålet:

  • Two-Factor - Simpelt og effektivt plugin til 2FA.

  • WP 2FA - Brugervenligt plugin med QR-kode opsætning.

  • Wordfence - Komplet sikkerhedsplugin der også inkluderer 2FA.

Når 2FA er aktiveret, skal brugeren ved login indtaste en tidsbegrænset kode fra en authenticator-app som Google Authenticator, Microsoft Authenticator eller Authy.

Vær generelt opmærksom på opdateringer til WordPress

En oversigt over opdateringer til WordPress, temaer og plugins kan altid findes på https://www.eksempel.dk/wp-admin/update-core.php eller via WordPress hovedmenu > Kontrolpanel > Opdateringer

Grundlæggende opdaterer WordPress sig selv: "Dette websted vil automatisk blive opdateret med hver ny version af WordPress." - Her kan man skifte til "Skift kun til automatiske opdateringer for vedligeholdelse- og sikkerhedsopdateringer.", men det anbefaler vi ikke, med mindre du/din webudvikler har et kontinuerligt fokus på de generelle opdateringer der kommer til WordPress, og sørger for at de manuelt installeres.

Sæt eventuelt temaer til automatisk at blive opdateret

WordPress-sider med temaer, hvor man stort set har holdt sig til det installerede, og ikke modificeret siden med helt særlig opsætning, bør et tema som regel sættes til at blive opdateret automatisk - Det medfører, at hvis et kendt sikkerhedshul i et tema lukkes af udvikleren, kommer denne rettelse direkte til din side, og tiden, hvor denne sårbarhed kan udnyttes, reduceres maksimalt.

  1. Log på WordPress - Normalt via https://eksempel.dk/wp-login.php hvor eksempel.dk erstattes af dit eget domæne - og klik på Udseende > Temaer i hovedmenuen til venstre.

  2. Klik på dit aktive tema (Tema-detaljer), og klik herefter på Aktiver autoopdateringer under temaets navn.

Bemærk

I nogle tilfælde, f.eks. med et WordPress "framework" som Genesis, kan det omvendt være bedst, ikke at lade Genesis opdatere sig selv, da det kan medføre ændringer til din side, som direkte påvirker hjemmesidens funktionalitet.

Her skal man i stedet aktivt følge med i Genesis' udvikling, og planlægge at få det opdateret, særligt når der kommer sikkerhedsrettelser til temaet.

Ydermere er det ikke alle temaer som er omfattet af den indbyggede opdateringsfunktion i WordPress - Det kan især gælde købte temaer. Følg derfor altid med i udviklingen af det tema du køber/bruger, f.eks. via nyhedsbreve.

Sæt plugins til automatisk at blive opdateret

For de fleste sider, bør installerede plugins sættes til at blive opdateret automatisk - Det medfører, at hvis et kendt sikkerhedshul i et plugin lukkes af udvikleren, kommer denne rettelse direkte til din side, og tiden, hvor denne sårbarhed kan udnyttes, reduceres maksimalt.

  1. Log på WordPress - Normalt via https://eksempel.dk/wp-login.php hvor eksempel.dk erstattes af dit eget domæne - og klik på Plugins i hovedmenuen til venstre.

  2. Hvis ikke du i oversigten ser Aktiver autoopdateringer ud for hvert plugin, klik da på knappen Skærmindstillinger oppe til højre, og sørg for at der her er flueben under Kolonner i Automatiske opdateringer.

  3. Kig på dine plugins på siden, og klik som udgangspunkt på Aktiver autoopdateringer for alle plugins.

Bemærk

I nogle tilfælde, f.eks. for webshops lavet med WooCommerce, kan det omvendt være bedst, ikke at lade WooCommerce opdatere sig selv, da det kan medføre ændringer til systemet, som direkte påvirker din webshops funktionalitet.

Her skal man i stedet aktivt følge med i WooCommerces udvikling, og planlægge at få det opdateret med ens webudvikler, særligt når der kommer sikkerhedsrettelser til pluginet.

Ydermere er det ikke alle plugins som er omfattet af den indbyggede opdateringsfunktion i WordPress - Det kan især gælde købte plugins. Følg derfor altid med i udviklingen af de plugins du køber/bruger, f.eks. via nyhedsbreve.

Suppler med et sikkerhedsplugin

Ovenstående tiltag er i næsten alle tilfælde nok til at holde WordPress beskyttet mod hacking og malware, men man kan supplere med et af mange sikkerhedsrelaterede plugins - Af dem kan vilkårligt nævnes Wordfence, iThemes Security Pro, Jetpack Security og BulletProof Security. Undersøg selv, hvilket der passer bedst til din side, ved at lære mere om de enkelte plugins.

Overvej at deaktivere XML-RPC

XML-RPC er en ældre protokol i WordPress, der tillader eksterne programmer at kommunikere med din side. Den bruges bl.a. af WordPress-mobilappen og nogle plugins som Jetpack. Desværre er XML-RPC også et populært mål for hackere, der bruger det til brute force-angreb og DDoS-angreb.

Hvis du ikke bruger WordPress-mobilappen eller tjenester der kræver XML-RPC, kan du med fordel deaktivere det:

  • De fleste sikkerhedsplugins som Wordfence og iThemes Security har en mulighed for at blokere XML-RPC.

  • Alternativt kan du installere Disable XML-RPC pluginet.

Bemærk

Før du deaktiverer XML-RPC, skal du sikre dig, at du ikke bruger tjenester der afhænger af det - herunder Jetpack, WordPress-mobilappen, eller visse automatiseringsværktøjer. Hvis du er i tvivl, kan du starte med at aktivere "XML-RPC beskyttelse" i et sikkerhedsplugin, som blokerer misbrug uden at deaktivere funktionen helt.

Brug et unikt database-prefix

Når WordPress installeres, får databasetabellerne som standard prefixet wp_ (f.eks. wp_posts, wp_users). Hackere kender dette prefix og kan udnytte det i SQL-injection-angreb. Ved at bruge et unikt prefix som f.eks. ns7x_ eller blog2025_ gør du det sværere for automatiserede angreb at ramme din database.
Vigtigt

Database-prefixet sættes under installationen af WordPress. Netsites 1-klik installer bruger standard-prefixet wp_. Ønsker du et unikt prefix, skal du i stedet installere WordPress manuelt via FTP og angive dit eget prefix under installationsprocessen.

At ændre prefixet på en eksisterende side kræver ændringer i både databasen og wp-config.php, og bør kun udføres af en erfaren webudvikler med en frisk backup klar.

Hav ikke gamle/inaktive WP-installationer liggende

Vær opmærksom på at en gammel WordPress-side ikke rykkes til en undermappe, og glemmes - F.eks. i forbindelse med at ny hjemmeside placeres på webhotellet. Det gælder også eventuelle andre test-sider (lavet med WordPress), man kan have placeret på webhotellet. Hvis ikke længere de bruges og opdateres, skal de slettes fra serveren. Ellers kan også de bruges til at hacke din aktive hovedside.

Hvad vi allerede gør for dig

Holder PHP opdateret

WordPress kører på PHP, og det er vigtigt at bruge en understøttet PHP-version. Ældre PHP-versioner modtager ikke længere sikkerhedsopdateringer og kan indeholde kendte sårbarheder.

På Netsites webhotel behøver du ikke bekymre dig om dette. Vi vedligeholder PHP for alle kunder og sørger for, at platformen altid kører på understøttede PHP-versioner. Vi introducerer løbende nye PHP-versioner, efterhånden som de bliver stabile, så du altid har adgang til de nyeste features og sikkerhedsopdateringer.

Udover sikkerhed giver nyere PHP-versioner også bedre hastighed på din WordPress-side.

Begrænser loginforsøg

Hackere bruger ofte automatiserede "brute force"-angreb, hvor de prøver tusindvis af adgangskode-kombinationer for at gætte sig ind på din side. Ved at begrænse antallet af tilladte loginforsøg, kan denne type angreb stoppes effektivt.

På Netsites webhotel er denne beskyttelse allerede indbygget i platformen. Vores system blokerer automatisk IP-adresser efter gentagne fejlslagne loginforsøg, så du er beskyttet mod brute force-angreb uden at skulle installere ekstra plugins.

HTTPS (SSL-certifikat)

Din WordPress-side skal altid køre over HTTPS - det sikrer, at al kommunikation mellem besøgende og din server er krypteret. Dette beskytter både loginoplysninger, kundedata og formularer mod aflytning.

HTTPS er ikke kun vigtigt for sikkerheden - det er også en rangeringsfaktor i Google, og browsere som Chrome markerer sider uden HTTPS som "Ikke sikker", hvilket kan skræmme besøgende væk.

På Netsites webhotel er HTTPS aktiveret som standard. Alle sider får automatisk et gratis SSL-certifikat, og al trafik omdirigeres automatisk fra HTTP til HTTPS. Du behøver ikke gøre noget ekstra for at opnå denne beskyttelse.

Netsite Support
Hej, hvad kan jeg hjælpe dig med?