Sådan sikrer du din WordPress installation
Ligesom alle andre CMS’er, så er WordPress også mål for diverse angreb. Du behøver dog ikke stå måbende tilbage og lade gale russere overtage dit site. Du kan tage sagen i egen hånd, og gøre dit for at forhindre uindbudte gæster.
Hold din WordPress installation opdateret
Det gælder både plugins, temaer og WordPress i sig selv. Selvom det altid er rart at have den danske udgave af WordPress, så kan det på det varmeste anbefale at opdatere, når der kommer nye versioner. Du kan eventuelt gemme sprogfilerne, og genbruge dem indtil den danske udgave er klar.
Jeg bruger med stor fornøjelse Ozh’ Admin Drop Down Menu, som viser små talebobler, når der er opdateringer til noget. På den måde er jeg aldrig i tvivl. Plus det er umådeligt meget federe med en horisontal navigation end en vertikal i backenden.
Fjern versionsinformationer
Selvom du selvfølgelig sørger for at holde din installation up-to-date 😉 så kan det anbefales at fjerne informationer om hvilken version af WordPress du kører. I nogle temaer (men ikke alle) kan du finde denne information i din header.php. Og den ser cirka således ud:
meta name=â€generator†content=â€WordPress <?php bloginfo(’version’); ?>â€
Slet det fra filen og gem den. Fra WordPress 2.6 kom denne information automatisk i headeren, som en del af WP core. Derfor kan du med fordel installere WP Security Scan eller Exploit Scanner, som kigger på flere risici ved dit site, og fortæller dig hvad du kan gøre for at løse problemet.
Installér Akismet og undgå spam
Dette er for så vidt ikke noget som vil afhjælpe nogle hackere, men det vil fjerne 99,9% spam fra dit site.
Akismet stopper næsten alt spam
Akismet er et plugin som er udviklet af Automattic (dem som er primus motor på WordPress).
Skift dit login navn
Fra WordPress 3.0 kan man vælge login navn ved installation. Men os som har været med i længere tid, har som standard fået admin som brugernavn. Det ved de onde hackere også!
Derfor bør man oprette en ny administrator-bruger og slette den eksisterende admin-bruger. Du gør bare således:
- Opret en nye admin-bruger med et “ordentligt” brugernavn
- Log ud og log ind som den nye admin bruger
- Navigér hen til brugere og slet den gamle admin bruger
- I sletteprocessen får du mulighed for at overføre alle den gamle admin-brugers indlæg og kommentarer til den nye bruger.
Tag backup
Det kan aldrig siges nok gange, det er så vigtigt, for du kan ikke altid regne med at din host kan finde deres backup, hvis de altså tager en 😯
Brug fx Filosofico’s plugin WordPress Database Backup, som tager backup af din database og sender det til din mail eller lægger det på din server.
Vælg et specielt database prefix
Når du installerer WordPress, så skal du vælge et database prefix. Som standard er dette _wp, men det anbefales at ændre dette til noget andet. For ligesom med standard admin-brugerens navn, så ved de onde også dette 😉
Hvis du allerede har _wp som databaseprefix, så kan du ændre det i din wp-config.php (men husk også at ændre det hos din host så)
Sørg for cookie kryptering
define('AUTH_KEY', 'A3js^-2aTz$K{AYtqY,F?>h=U*;4Ghn85T-;mD^n_Nr>&3*`~ne_|Xw;4b>7Q[hy');
define('SECURE_AUTH_KEY', 'U?n[STc>X?gW0!{a-0F)o!c1bN48w)YlG6I-VRt)rVF[WdYm7cUV{joO|Q;+6<sZ');
define('LOGGED_IN_KEY', '/#1n@[8I>0XNLN%D&ZjB(fr%TLY}2<xF#dcn:r+wQx2R)p:Mj*BRH4~|xU<lpH21');
define('NONCE_KEY', 'X$~a!^r;_qQ/q1!TyXBQ2+6GB8[Z:ntFPScD@^^%,5 #J6@Wh.3O$ C~#![ooH=q');
define('AUTH_SALT', 'nVGrdlIY/tq4RQ?#n{[6}5v{!D|Bz8B+CQgT88~gjzc%a&we&x6~*O|CF>Z$Qo`^');
define('SECURE_AUTH_SALT', '1-m#&wg)IPv|=~B2r9~smnH$7(2RqIY= f0DFIvZN/t2y?sp7+@=1`V>wrUza2U!');
define('LOGGED_IN_SALT', 'tTnm?|bcJJ]NV.!j-a0$]Afg+Q0C^dv@_a C4*S9[;:TA|rZPFl1,0k>B>QW(~Tb');
define('NONCE_SALT', ']5Nu8Yk3oSyk_Wn>]eplQ15h78}Atnd>MC|.iF*HZ`QQK3YgHl9WJUbytzJ%+,5k');
Med WordPress’ secret key generator, kan du sørge for, at cookies bliver krypteret og det bliver mere besværligt at stjæle din identitet. Det kan så også være du skal logge ind lidt oftere, men det er en lille pris at betale…
Du skal bare klikke på linket ovenfor og få en vilkårlig genereret nøgle. Disse 6 linjer skal så ind i din wp-config.php
Men mit WordPress site er allerede blevet hacket
Hvis det er gået galt, så kig på dette overblik over hvad du skal gøre.
Der er et utal af andre tiltag man kan foretage sig såsom: IP blokering af ens WP-admin mappe, IP-banning, Log ind via SSL, skift navn på din .htaccess fil og en masse andet, men jeg har taget fat i nogle af de mest fundamentale ting her. Men har du andre gode råd eller ideer, så kom endelig med dem i kommentarerne.