Viktiga säkerhetstips för WordPress


Det finns inga ursäkter till att inte vidta åtgärder för att förebygga intrång din WordPress-installation. Här kommer ett gäng tips som hjälper dig att säkra upp din webbplats.

Ändra ditt användarnamn

Standard i WordPress är att den första användaren som skapas vid installationen får användarnamnet admin. Förvisso är det smidigt att fortsätta ha det så, men genom att ändra det blir det genast svårare för en illasinnad person att manuellt eller automatiskt försöka få åtkomst till din administrationspanel.

Ta bort versionsnumret

WordPress skriver som standard ut vilken version av plattformen som du använder på flera platser, vilket gör det enklare för en illasinad person att se om du använder en föråldrad version av WordPress och sedan utnyttja den versionens eventuella säkerhetsbrister. För att ta bort versionsreferenserna helt rekommenderas tillägget BlogSecurity WordPress Noversion.

Skydda din administrationskatalog

Du hittar normalt WordPress administrationssystem genom att skriva in /wp-admin/ efter bloggens webbadress. Detta gör det enkelt för personer med ont uppsåt att att använda lösenordsgeneratorer för att försöka knäcka ditt lösenord. Som tur var finns det lösningar som kan förhindra dessa personer att uppnå sitt syfte.

  • Login Lockdown sparar IP och datum för varje misslyckad inloggningsförsök till administrationssystemet. Ifall flera misslyckade försök från samma IP-spann upptäcks förhindras besökare från detta IP-spann att försöka logga in.
  • AskApache Password Protect lägger till ytterligare ett lager av säkerheten genom att kräva användarnamn och lösenord (som du väljer själv) när du försöker nå något under /wp-admin/. Tillägget skriver automatiskt till din .htacess-fil.

Förhindra visning av filstruktur

På många WordPress-bloggar är det till exempel möjligt att se vilka tillägg som är installerade genom att skriva in www.doman.se/wp-content/plugins vilket kan innebära att de kan använda ett säkerhetshål i ett av tilläggen. Enklaste lösningen är att ladda upp en tom fil med namnet index.html och ladda upp den i /wp-content/plugins.

En bättre lösning är att genom den .htaccess-fil som finns i din root-katalog förhindra besökarna att lista filer och kataloger på servern. Detta gör du genom att öppna .htaccess-filen i en texteditor och lägga till följande kod i botten av filen:
[sourcecode language=’html’]
# Prevents directory listing
Options -Indexes
[/sourcecode]

När detta är gjort ska du istället för att se alla kataloger i /plugins/ istället vidarebefodras till en 404-sida.

Ta backup kontinuerligt

Se till att ta backup av din blogg så ofta som möjligt, både för filsystemet och för databasen. För filerna på webbservern kan du koppla upp dig med FTP och föra över alla filer till din hårddisk. För databasen har jag tidigare tipsat om WordPress Database Backup.

Använd WP Security Scan*

Michael Torbert har utvecklat ett smidigt tillägg som automatiskt testar din WP-installation efter tänkbara säkerhetshål och ger förslag på hur du kan rätta till dessa. Bland annat testas databassäkerheten, lösenord, filrättigheter samtidigt som den också tar bort versionsreferenserna (som nämns högre upp i detta inlägg). Få mer information och ladda ner WP Security Scan.

* Nikke tipsar i kommentarerna om se upp med WP Security Scan – speciellt när man har fler WordPress-installationer i samma databas.

Sist, men inte minst…

Jag vet att ni har hört detta tusentals gånger, men det kan inte poängteras nog många gånger faktiskt – se till att använda ett säkert lösenord. Jag rekommenderar er att läsa Lorelles artikel Protect Your Blog With a Solid Password som har massor av matnyttig information och intressant statistik om val av lösenord.

Källor: Noupe, Wordprezzie, Online Tech Tips. Inläggsbild från Flickr.