I en tid när volymen av digital aktivitet ständigt ökar blir webbplatsens säkerhet kritisk. En effektiv strategi är att skapa skiktad säkerhet, eller djupt skydd, som använder flera försvarslager. Så här gör du din wordpress-webbplats säkrare med säkerhet på flera nivåer.
1. Använd brandväggen för webbapplikationer (WAF).
En brandvägg för webbapplikationer är ett effektivt verktyg som kan upptäcka och blockera en mängd olika attacker innan de når din webbplats. Cloudflare och Sucuri erbjuder t.ex. sådana tjänster. Dessa applikationer fungerar som en sköld som håller farliga element borta från din webbplats.
WAF:er är utformade för att blockera angriparnas ansträngningar genom att övervaka och analysera trafiken som kommer till en webbplats. Detta gör att de kan blockera misstänkta aktiviteter som kan äventyra en webbplats. Man bör dock komma ihåg att WAF:er, precis som alla andra säkerhetssystem, måste uppdateras och underhållas regelbundet.
2. Uppdatera WordPress och säkerhetskopiera regelbundet
Att inte förnya innebär att du riskerar att lämna en öppen dörr för en angripare att ta sig in. Om angripare upptäcker en svaghet kommer de att utnyttja den. Det är därför uppdatering är en av de viktigaste delarna av webbplatsens säkerhet.
Det är mycket viktigt att hålla WordPress-kärnan, teman och plugins uppdaterade. Uppdateringar innehåller ofta säkerhetsfixar som åtgärdar kända säkerhetsproblem och buggar. WordPress är en plattform som ständigt utvecklas, vilket innebär att dess utvecklare ständigt övervakar säkerhetsproblem och utvecklar nya korrigeringar.
Hela WordPress-webbplatsen bör säkerhetskopieras regelbundet. Om webbplatsen hackas kommer en säkerhetskopia att säkerställa att du enkelt kan återställa den. Säkerhetskopiering kan göras antingen manuellt eller med hjälp av ett plugin som UpdraftPlus eller BackWPup.
Säkerhetskopior bör förvaras på en säker plats och testas regelbundet för att säkerställa att de är tillförlitliga. Det är viktigt att komma ihåg att säkerhetskopior inte är en ersättning för säkerhetshöjande strategier - de är en sista utväg när allt annat har misslyckats och sidan måste återställas.
3. Använd säkerhetsplugin
Plugins som Wordfence, Sucuri eller iThemes Security kan lägga till många lager av säkerhet i ett enda paket. Dessa inkluderar funktioner som skanning av skadlig kod, IP-blockering och mer. Plugins är viktiga eftersom de lägger till specifika säkerhetsfunktioner som WordPress-kärnan inte erbjuder.
Säkerhetsplugins kan också skydda en webbplats från kända hot genom att ständigt övervaka vad som händer i cyberlandskapet. När de upptäcker ett nytt hot uppdateras insticksprogrammen för att motverka det.
4. Starka lösenord
Att använda starka lösenord är en av de enklaste men viktigaste åtgärderna du kan vidta för att förbättra säkerheten på din webbplats. Ett starkt lösenord innehåller stora och små bokstäver, siffror och specialsymboler. Det ska vara tillräckligt långt och unikt för att vara svårt att gissa sig till. Det är en god idé att uppdatera lösenorden med jämna mellanrum.
Att använda ett starkt lösenord kan verka obekvämt, men det är nödvändigt för att skydda din webbplats. För att göra det enklare kan du använda en lösenordshanterare som håller alla dina lösenord säkra och gör dem tillgängliga när du behöver dem.
5. Tvåfaktorsautentisering eller 2FA
Tvåfaktorsautentisering ger en hög säkerhetsnivå för inloggningsprocessen. Det innebär att användarna måste lämna två olika bevis på att de är den de utger sig för att vara, vanligtvis något de vet (ett lösenord) och något de äger (t.ex. en mobiltelefon).
Tvåfaktorsautentisering kan hjälpa till att skydda en webbplats även när lösenord har äventyrats. Det är ett användbart extra säkerhetslager som kan stoppa angripare som har lyckats bryta sig igenom den första försvarslinjen.
6. Högsta antal inloggningsförsök
Att begränsa antalet inloggningsförsök är ett effektivt sätt att avvärja bruteforce-attacker, där angripare testar många olika lösenord i hopp om att ett av dem ska fungera. Genom att begränsa antalet gånger en användare kan försöka logga in kan du eliminera den här taktiken.
Att begränsa inloggningsförsöken är också ett bra sätt att frustrera angriparna. Om en angripare måste vänta mellan varje försök kan det hända att de helt enkelt ger upp och försöker attackera en annan webbplats som är lättare att komma in på.
7. Skydda din egen wp-admin-katalog
Överväg att lösenordsskydda wp-admin-katalogen på servernivå eller begränsa åtkomsten från specifika IP-adresser. Detta lägger till ytterligare en försvarslinje till webbplatsens säkerhet, vilket gör det svårare för angripare att få tillgång till wordpress admin-område.
Att skydda wp-admin-katalogen är ett viktigt steg eftersom den är webbplatsens så kallade kontrollcenter. Om en angripare får tillgång till den kan han eller hon orsaka stor skada.
8. Använd SSL
Ett SSL-certifikat (HTTPS) krypterar data mellan en webbplats och dess besökare. Många webbhotell erbjuder gratis SSL genom Let's Encrypt. SSL hjälper till att skydda webbplatsbesökarnas integritet och är en viktig del av en webbplats trovärdighet hos sökmotorer.
Användningen av SSL har blivit standard idag och är en viktig del av säkerheten. SSL krypterar all data som passerar mellan en webbplats och besökaren, vilket förhindrar angripare från att stjäla eller manipulera denna data.
9. Avaktivera XML-RPC om det inte krävs
XML-RPC kan användas för bruteforce-attacker. Om webbplatsen inte behöver det (t.ex. för en WordPress-mobilapp) kan du överväga att inaktivera det. Detta är en funktion som WordPress-sidor brukade använda innan REST API dök upp.
Att inaktivera XML-RPC är ett enkelt steg som kan öka säkerheten. Om du inte använder den här funktionen finns det ingen anledning att låta angripare utnyttja den.
10. Regelbundna säkerhetsgranskningar av webbplatsen
Använd en tjänst eller ett insticksprogram som regelbundet skannar din webbplats efter skadlig kod eller misstänkt aktivitet. I likhet med en hälsokontroll kan regelbundna säkerhetsskanningar hjälpa till att upptäcka problem innan de blir ett stort problem.
Säkerhetsrevisioner kan också bidra till att identifiera nya hot eller upptäcka förändringar som kan tyda på att en webbplats har utsatts för en attack. Detta ger dig möjlighet att reagera snabbt och förhindra större skador eller dataläckage.
11. Skydda filen wp-config.php
Flytta filen wp-config.php en katalognivå ovanför WordPress rotkatalog eller begränsa åtkomsten till den via .htaccess-regler. Den här filen innehåller några av de mest känsliga uppgifterna på din webbplats och det är viktigt att den skyddas.
Om en angripare får tillgång till filen wp-config.php har denne möjlighet att ändra webbplatsens inställningar eller komma åt känslig information. Att skydda denna fil är därför en av de viktigaste säkerhetsåtgärderna.
12. Använd säker FTP
Använd om möjligt SFTP eller FTPS, som är säkrare sätt att överföra filer jämfört med vanlig FTP. Data som skickas via FTP är inte krypterad, vilket innebär att en angripare kan stjäla eller ändra den. Användning av krypterad överföring bidrar till att minska denna risk.
13. Dölj WordPress-version
WordPress lämnar en metatagg i sidhuvudet på webbsidan som avslöjar WordPress-versionen av sidan. Detta kan potentiellt hjälpa en angripare att hitta versionsrelaterade säkerhetshål och ge dem ett enkelt sätt att bryta sig in. Om du tar bort denna metatagg kan du minska riskerna.
14. Välj rätt webbhotell
Ett seriöst webbhotell har starka säkerhetsåtgärder på plats, håller serverprogramvaran uppdaterad och säkerhetskopierar webbplatsen regelbundet. Om ett webbhotell inte erbjuder tillräcklig säkerhet kan det äventyra webbplatsens säkerhet, oavsett hur starkt säkerhetssystemet på din egen webbplats är.
Tänk på att ingen webbplats är 100% säker, men om du lägger till flera säkerhetslager kan du avsevärt minska sannolikheten för att din webbplats hackas.
Läs mer om wordpress-säkerhet på härifrån
Varför det är viktigt med underhåll och support av Wordpress-webbplatser kan du läsa om härifrån