Sådan sikrer du din WordPress installation

Ligesom alle andre CMS’er, så er WordPress også mål for diverse angreb. Du behøver dog ikke stå måbende tilbage og lade gale russere overtage dit site. Du kan tage sagen i egen hånd, og gøre dit for at forhindre uindbudte gæster.

Hold din WordPress installation opdateret

Det gælder både plugins, temaer og WordPress i sig selv. Selvom det altid er rart at have den danske udgave af WordPress, så kan det på det varmeste anbefale at opdatere, når der kommer nye versioner. Du kan eventuelt gemme sprogfilerne, og genbruge dem indtil den danske udgave er klar.

Jeg bruger med stor fornøjelse Ozh’ Admin Drop Down Menu, som viser små talebobler, når der er opdateringer til noget. På den måde er jeg aldrig i tvivl. Plus det er umådeligt meget federe med en horisontal navigation end en vertikal i backenden.

Fjern versionsinformationer

Selvom du selvfølgelig sørger for at holde din installation up-to-date så kan det anbefales at fjerne informationer om hvilken version af WordPress du kører. I nogle temaer (men ikke alle) kan du finde denne information i din header.php. Og den ser cirka således ud:
meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>”

Slet det fra filen og gem den. Fra WordPress 2.6 kom denne information automatisk i headeren, som en del af WP core. Derfor kan du med fordel installere WP Security Scan eller Exploit Scanner, som kigger på flere risici ved dit site, og fortæller dig hvad du kan gøre for at løse problemet.

Installér Akismet og undgå spam

Dette er for så vidt ikke noget som vil afhjælpe nogle hackere, men det vil fjerne 99,9% spam fra dit site.

Akismet stopper næsten alt spam

Akismet er et plugin som er udviklet af Automattic (dem som er primus motor på WordPress).

Skift dit login navn

Fra WordPress 3.0 kan man vælge login navn ved installation. Men os som har været med i længere tid, har som standard fået admin som brugernavn. Det ved de onde hackere også!

Derfor bør man oprette en ny administrator-bruger og slette den eksisterende admin-bruger. Du gør bare således:

1. Opret en nye admin-bruger med et “ordentligt” brugernavn
2. Log ud og log ind som den nye admin bruger
3. Navigér hen til brugere og slet den gamle admin bruger
4. I sletteprocessen får du mulighed for at overføre alle den gamle admin-brugers indlæg og kommentarer til den nye bruger.

Tag backup

Det kan aldrig siges nok gange, det er så vigtigt, for du kan ikke altid regne med at din host kan finde deres backup, hvis de altså tager en

Brug fx Filosofico’s plugin WordPress Database Backup, som tager backup af din database og sender det til din mail eller lægger det på din server.

Vælg et specielt database prefix

Når du installerer WordPress, så skal du vælge et database prefix. Som standard er dette _wp, men det anbefales at ændre dette til noget andet. For ligesom med standard admin-brugerens navn, så ved de onde også dette

Hvis du allerede har _wp som databaseprefix, så kan du ændre det i din wp-config.php (men husk også at ændre det hos din host så)

Sørg for cookie kryptering

define('AUTH_KEY',         'A3js^-2aTz$K{AYtqY,F?>h=U*;4Ghn85T-;mD^n_Nr>&3*`~ne_|Xw;4b>7Q[hy');
define('SECURE_AUTH_KEY',  'U?n[STc>X?gW0!{a-0F)o!c1bN48w)YlG6I-VRt)rVF[WdYm7cUV{joO|Q;+6<sZ');
define('LOGGED_IN_KEY',    '/#1n@[8I>0XNLN%D&ZjB(fr%TLY}2<xF#dcn:r+wQx2R)p:Mj*BRH4~|xU<lpH21');
define('NONCE_KEY',        'X$~a!^r;_qQ/q1!TyXBQ2+6GB8[Z:ntFPScD@^^%,5 #J6@Wh.3O$ C~#![ooH=q');
define('AUTH_SALT',        'nVGrdlIY/tq4RQ?#n{[6}5v{!D|Bz8B+CQgT88~gjzc%a&we&x6~*O|CF>Z$Qo`^');
define('SECURE_AUTH_SALT', '1-m#&wg)IPv|=~B2r9~smnH$7(2RqIY= f0DFIvZN/t2y?sp7+@=1`V>wrUza2U!');
define('LOGGED_IN_SALT',   'tTnm?|bcJJ]NV.!j-a0$]Afg+Q0C^dv@_a C4*S9[;:TA|rZPFl1,0k>B>QW(~Tb');
define('NONCE_SALT',       ']5Nu8Yk3oSyk_Wn>]eplQ15h78}Atnd>MC|.iF*HZ`QQK3YgHl9WJUbytzJ%+,5k');

Med WordPress’ secret key generator, kan du sørge for, at cookies bliver krypteret og det bliver mere besværligt at stjæle din identitet. Det kan så også være du skal logge ind lidt oftere, men det er en lille pris at betale…

Du skal bare klikke på linket ovenfor og få en vilkårlig genereret nøgle. Disse 6 linjer skal så ind i din wp-config.php

Men mit WordPress site er allerede blevet hacket

Hvis det er gået galt, så kig på dette overblik over hvad du skal gøre.

Der er et utal af andre tiltag man kan foretage sig såsom: IP blokering af ens WP-admin mappe, IP-banning, Log ind via SSL, skift navn på din .htaccess fil og en masse andet, men jeg har taget fat i nogle af de mest fundamentale ting her. Men har du andre gode råd eller ideer, så kom endelig med dem i kommentarerne.

Og nej, det er ikke fordi, jeg ikke gider hjælpe, men fordi hjælpen meget gerne skulle nå frem til alle interesserede – ikke kun til den person, der måtte mene, at min tid er bedre givet ud en vedkommendes egen tid til en ganske simpel Google-søgning.

Fra dags dato ingen support fra min side via e-mail. Meget gerne hjælp i supportforumet.

Selv om jeg ikke er i nærheden af Jespers over 500.000 (!!!) spamkommentarer (her på stedet har Akismet fanget knap 7.000 og på min egen blog lidt over 95.000 spamkommentarer), så irriteres jeg stadig grænseløst over dem. Derfor synes jeg faktisk, at det er en irriterende god idé. Og godt irriterende, dog.

Problemet med valg af dato er, at det er dagen efter Store Julefrokostdag, så vi må se, om jeg husker det. Initiativet er fint, og det skal blive spændende at se nogle blogindlæg om, hvor meget tid, der rundt omkring i verden skal bruges på manuel sletning af kommentarer.

Se brugsanvisning i Jespers indlæg.