Sådan sikrer du din WordPress installation

Sådan sikrer du din WordPress installation

Sådan sikrer du din WordPress installation

Sådan sikrer du din WordPress installation

Ligesom alle andre CMS’er, så er WordPress også mål for diverse angreb. Du behøver dog ikke stå måbende tilbage og lade gale russere overtage dit site. Du kan tage sagen i egen hånd, og gøre dit for at forhindre uindbudte gæster.

Hold din WordPress installation opdateret

Det gælder både plugins, temaer og WordPress i sig selv. Selvom det altid er rart at have den danske udgave af WordPress, så kan det på det varmeste anbefale at opdatere, når der kommer nye versioner. Du kan eventuelt gemme sprogfilerne, og genbruge dem indtil den danske udgave er klar.

Jeg bruger med stor fornøjelse Ozh’ Admin Drop Down Menu, som viser små talebobler, når der er opdateringer til noget. På den måde er jeg aldrig i tvivl. Plus det er umådeligt meget federe med en horisontal navigation end en vertikal i backenden.

Fjern versionsinformationer

Selvom du selvfølgelig sørger for at holde din installation up-to-date 😉 så kan det anbefales at fjerne informationer om hvilken version af WordPress du kører. I nogle temaer (men ikke alle) kan du finde denne information i din header.php. Og den ser cirka således ud:
meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>”

Slet det fra filen og gem den. Fra WordPress 2.6 kom denne information automatisk i headeren, som en del af WP core. Derfor kan du med fordel installere WP Security Scan eller Exploit Scanner, som kigger på flere risici ved dit site, og fortæller dig hvad du kan gøre for at løse problemet.

Installér Akismet og undgå spam

Dette er for så vidt ikke noget som vil afhjælpe nogle hackere, men det vil fjerne 99,9% spam fra dit site.

Akismet stopper næsten alt spam

Akismet stopper næsten alt spam

Akismet er et plugin som er udviklet af Automattic (dem som er primus motor på WordPress).

Skift dit login navn

Fra WordPress 3.0 kan man vælge login navn ved installation. Men os som har været med i længere tid, har som standard fået admin som brugernavn. Det ved de onde hackere også!

Derfor bør man oprette en ny administrator-bruger og slette den eksisterende admin-bruger. Du gør bare således:

  1. Opret en nye admin-bruger med et “ordentligt” brugernavn
  2. Log ud og log ind som den nye admin bruger
  3. Navigér hen til brugere og slet den gamle admin bruger
  4. I sletteprocessen får du mulighed for at overføre alle den gamle admin-brugers indlæg og kommentarer til den nye bruger.

Tag backup

Det kan aldrig siges nok gange, det er så vigtigt, for du kan ikke altid regne med at din host kan finde deres backup, hvis de altså tager en 😯

Brug fx Filosofico’s plugin WordPress Database Backup, som tager backup af din database og sender det til din mail eller lægger det på din server.

Vælg et specielt database prefix

Når du installerer WordPress, så skal du vælge et database prefix. Som standard er dette _wp, men det anbefales at ændre dette til noget andet. For ligesom med standard admin-brugerens navn, så ved de onde også dette 😉

Hvis du allerede har _wp som databaseprefix, så kan du ændre det i din wp-config.php (men husk også at ændre det hos din host så)

Sørg for cookie kryptering

define('AUTH_KEY',         'A3js^-2aTz$K{AYtqY,F?>h=U*;4Ghn85T-;mD^n_Nr>&3*`~ne_|Xw;4b>7Q[hy');
define('SECURE_AUTH_KEY',  'U?n[STc>X?gW0!{a-0F)o!c1bN48w)YlG6I-VRt)rVF[WdYm7cUV{joO|Q;+6<sZ');
define('LOGGED_IN_KEY',    '/#1n@[8I>0XNLN%D&ZjB(fr%TLY}2<xF#dcn:r+wQx2R)p:Mj*BRH4~|xU<lpH21');
define('NONCE_KEY',        'X$~a!^r;_qQ/q1!TyXBQ2+6GB8[Z:ntFPScD@^^%,5 #J6@Wh.3O$ C~#![ooH=q');
define('AUTH_SALT',        'nVGrdlIY/tq4RQ?#n{[6}5v{!D|Bz8B+CQgT88~gjzc%a&we&x6~*O|CF>Z$Qo`^');
define('SECURE_AUTH_SALT', '1-m#&wg)IPv|=~B2r9~smnH$7(2RqIY= f0DFIvZN/t2y?sp7+@=1`V>wrUza2U!');
define('LOGGED_IN_SALT',   'tTnm?|bcJJ]NV.!j-a0$]Afg+Q0C^dv@_a C4*S9[;:TA|rZPFl1,0k>B>QW(~Tb');
define('NONCE_SALT',       ']5Nu8Yk3oSyk_Wn>]eplQ15h78}Atnd>MC|.iF*HZ`QQK3YgHl9WJUbytzJ%+,5k');

Med WordPress’ secret key generator, kan du sørge for, at cookies bliver krypteret og det bliver mere besværligt at stjæle din identitet. Det kan så også være du skal logge ind lidt oftere, men det er en lille pris at betale…

Du skal bare klikke på linket ovenfor og få en vilkårlig genereret nøgle. Disse 6 linjer skal så ind i din wp-config.php

Men mit WordPress site er allerede blevet hacket

Hvis det er gået galt, så kig på dette overblik over hvad du skal gøre.

Der er et utal af andre tiltag man kan foretage sig såsom: IP blokering af ens WP-admin mappe, IP-banning, Log ind via SSL, skift navn på din .htaccess fil og en masse andet, men jeg har taget fat i nogle af de mest fundamentale ting her. Men har du andre gode råd eller ideer, så kom endelig med dem i kommentarerne.

13 tanker om "Sådan sikrer du din WordPress installation"

    1. Thomas Clausen Forfatter

      Hej Martin

      Jeg har, ligesom Mark ikke bemærket nogen problemer, men du hentyder garanteret til disse informationer, som man kan se på WordPress.org:
      Requires WordPress Version: 2.0.3 or higher
      Compatible up to: 2.9.2
      Last Updated: 2008-12-10

      Plugin’et virker dog fint. Og Filosofico er meget engageret i WordPress, så du skal ikke lade dig skræmme af at det er lang tid siden plugin’et er blevet opdateret.

      Svar
  1. WebMatros

    Et andet sikkerhedstip er at lægge wp-config-php filen et niveau over site root, så den er mindre tilgængelig for uvedkommende. Sæt også mere restriktive permissions på den;-)

    Svar
  2. Sandra

    Meget god information…. MEN….
    Jeg har opdateret hver eneste gang WP har sagt der var opdateringer, jeg har antivirus og hvad pokker ved jeg – men sidst jeg opdaterede WP forsvandt ALT og pludseligt havde jeg blot en tom WP skapelon – og sådan er det stadig, for jeg aner ikke hvordan jeg skal gøre det så ikke alt på min blog går tabt….

    Svar
    1. Mark Thomas Gazel

      Prøv at spørge i forummet. Husk at poste et link til din side.

      Inden du opdaterer er det altid en god idé at deaktivere alle plugins. Derudover hjælper det ofte at skifte til standardtemaet, hvis noget går galt.

      Svar
  3. Pingback: Mekka! » Blog arkiv » Så døde adgangen til bloggen :(

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *