WordPress er som sådan ikke mindre sikkert end andre Content Management Systemer, men på grund af WordPress’ enorme udbredelse er der langt flere, der hele tiden prøver at finde sikkerhedsmæssige problemer i WordPress og udnytte dem. Det er derfor vigtigt, at du hele tiden har fokus på sikkerheden på dit WordPress-site.

Hvorfor er der nogle, der vil hacke mig?

Det er sjældent, at du bliver hacket, fordi nogen vil skade din virksomhed eller dig personligt – og en hacker gør det næppe for morskabens skyld. Grunden til, at dit site bliver hacket, er i langt højere grad, fordi hackeren ser en værdi i at hacke sitet. Værdien ligger i, at dit site kan anvendes til at sende spam ud og/eller bruges til at bygge links og indhold op omkring ofte skumle produkter som phishing, porno

Hvilke sårbarheder kan der være på mit WordPress-site?

Når man taler om sårbarhed i WordPress, menes der en dokumenteret metode til at få uautoriseret adgang til sitet, ikke mindst til temaer og plugins. Kernen i WordPress er nemlig som udgangspunkt meget sikker, og det er derfor oftest i temaer og plugins, at usikkerhederne viser sig. Dette skyldes, at alle og enhver i princippet kan lave et tema eller en plugin, og i nogle tilfælde lader den kodemæssige kvalitet meget tilbage at ønske, når det handler om sikkerhed.

Forstyrrelse af dit site: DoS- og DoSS-angreb

Et hackerangreb kan også have karakter af ‘bare’ at forstyrre dit site – dette gør hackeren ved at sende ekstremt mange forespørgsler fra en enkelt computer til dit website. På den måde overbelastes serveren og bukker til sidst under, så din side går ned og andre ikke kan få adgang til dit indhold. Dette kaldes et DoS-angreb – Denial-of-Service. Et angreb af denne type kan nemt fanges af en firewall, som ganske enkelt blokerer det IP-nummer, der sender de mange forespørgsler. Dermed er problemet dog ikke løst: Hackeren kan i stedet lancere et DDoS-angreb (Distributed-Denial-of-Service).

Her foregår angrebet ikke fra én men fra en lang række computere på én gang. Disse computere er desuden ofte spredt ud over et stort område rent geografisk. I sådanne tilfælde vil antallet af forespørgsler fra de mange angribende computere og IP-numre som regel langt overstige serverens evne til at modstå og blokere dem, og din hjemmeside vil hurtigt gå ned og blive utilgængelig for alle andre besøgende.

Sørg for at holde din WordPress-installation opdateret

WordPress udgiver med jævne mellemrum nye versioner. Så snart en ny version er på gaden, vil hackere begynde at lede efter sikkerhedshuller, som de kan bruge til at angribe de sites, der kører med systemet. Derfor er det vigtigt, at du sørger for konstant at køre på den nyeste version af systemet, hvor hackerne har haft mindst mulig tid til at lede efter sårbarheder og muligheder for at angribe. Det samme gælder for dit tema samt de plugins, du bruger på siden – også her skal du holde øje med og aktivere diverse opdateringer på løbende basis, sådan at de til enhver tid er kompatible med den version af WordPress, som du anvender, og fungerer som de skal.

Begræns brugeradgangen

Brugeradgangen til dit WordPress-site kan være et følsomt sted, når det handler om at beskytte dit site mod hackere. Skal en hacker have adgang til sitet, skal han/hun naturligvis kende såvel dit brugernavn som din adgangskode. Men du gør arbejdet langt lettere for hackeren, hvis den ene af disse to oplysninger er for nemt at gætte. Når du opretter dit site og skal lave brugernavne til brugerne af sitet, skal du derfor undgå at benytte det meget almindelige og meget brugte brugernavn ‘admin’.

Dette gælder ikke mindst, når du tildeler brugernavn til din superadministrator, der jo har adgang til alle dele af din hjemmeside, og som derfor udgør et særligt følsomt punkt, hvis sikkerheden brister. Sørg også for løbende at luge ud i de brugere og administratorer, som ikke længere har behov for at have adgang til sitet, og gør en dyd ud af i det hele taget kun at give adgang til de brugere, der er strengt nødvendige for at drive hjemmesiden.

Bloker for log-in-forsøg

Når en hacker skal gætte kodeordet til dit WordPress-site, kan han enten gætte løs eller sætte en computer til at gøre arbejdet for sig. Men du kan faktisk sætte en grænse for, hvor mange gæt hackeren kan få.

Ved at benytte en plugin som fx WP Limit Login Attempts eller lignende kan du selv bestemme, hvor mange log-in-forsøg man må have på sitet, inden man får lov til at forsøge sig med at logge ind igen.

Du kan fx blokere for log-in de næste 20 minutter eller længere efter tre eller fem log-in-forsøg, eller du kan bede om, at der indtastes en captcha-kode – sidstnævnte er ikke mindst nyttigt, hvis hackeren har sat en computer til at gætte kodeordet for sig.

Installer et sikkerheds-plugin

En måde at højne sikkerheden på dit WordPress-site er også at installere en sikkerheds-plugin. Der findes flere forskellige plugins til dette formål, men Wordfence er et godt bud, ikke mindst fordi den både har en let tilgængelig brugerflade og er nem at konfigurere. Wordfence indeholder adskillige funktioner, der er med til at højne sikkerheden på dit site. Fx kan pluginen gennemgå og rense såvel dine kerne-, tema- som pluginfiler. Desuden har Wordfence indbygget firewall, virusscanning, firewall og realtidsvisning af den trafik, der foregår på hjemmesiden. Wordfence advarer dig også, hvis der opstår særligt kritiske sårbarheder, som kræver, at du tager affære omgående.
Sådan opdaterer du: Miniguide til opdatering af dit WordPress site

Tag en backup

Opdater WordPress’ kerne. Her kan kan det dog være en god idé nogle gange at vente lidt. Ved en større update fx fra 4.6 til 4.7, så vent gerne til version 4.7.1. På denne måde er de værste fejl fjernet, og plugin- eller tema-udvikleren har haft tid og mulighed for at opdatere alting, sådan at alle funktioner virker, som de skal, i forhold til WordPress

• Opdater dit tema. Tjek dog først, at det er kompatibelt med den WordPress-version, du kører med
• Opdater alle dine plugins. Tjek også her, om de er kompatible med din WordPress-version

Tjek at alt virker, kig dit site igennem og hav fokus på forretningskritiske funktioner som køb, formularer eller andet
Hvis der er opstået fejl, kan du nu let rulle tilbage til den backup-version, du lige har taget. Fejl skyldes dog ofte, at du kører på en forældet version af PHP og fx bør skifte fra 5.6 til PHP 8.0.

Få hjælp

Hvis du ikke selv har mod på eller tid eller ressourcer til at stå for sikkerheden på dit WordPress-website, så spørg din hosting-udbyder eller den, der varetager dit site, om de har en sikkerhedsservice, der også omfatter diverse updates og optimeringer af sikkerheden.