Over 40 % av de 10 millioner beste nettstedene på nettet bruker WordPress. Men er WordPress trygt? Det korte svaret på dette spørsmålet er ja – WordPress er trygt. Det betyr imidlertid ikke at WordPress ikke har noen sårbarheter.
Heldigvis har WordPress-fellesskapet dokumentert mange vanlige WordPress-sårbarheter, noe som gjør det enkelt for nettstedadministratorer å legge til lag med sikkerhet på nettstedet sitt for å løse disse sårbarhetene. I tillegg er det noen enkle måter å oppdatere eller vedlikeholde WordPress-nettstedet ditt på for å sikre at det er så sikkert som mulig.
I denne artikkelen skal jeg dekke 5 enkle måter å lage ditt WordPress-nettsted på mer sikre.
1. Har unike administratorbrukernavn og sterke påloggingspassord
Admin-påloggingssiden er den første forsvarslinjen for WordPress-nettstedet ditt. Det er der enhver administrator eller bruker kan få tilgang til "back-end" av nettstedet ditt og gjøre endringer på nettstedet, legge inn eller trekke ut bruker-/kundedata, eller legge til eller fjerne nettstedfiler og funksjoner – forutsatt at de har fått tillatelse til å gjøre det .
Likevel kan dårlige skuespillere også bruke denne påloggingssiden som en inngangsport for et angrep mot nettstedet ditt. For eksempel i "brute force”-angrep gjør hackere gjentatte forsøk på å gjette påloggingsinformasjonen din for å få tilgang til nettstedet ditt.
Det vil ikke ta lang tid før disse hackerne lykkes med å bryte seg inn i nettstedets sensitive informasjon hvis du bruker et generisk administratorbrukernavn og passord (som "admin" for brukernavnet og "password1234" for passordet).
Derfor er den første enkle tingen du kan gjøre for å gjøre nettstedet ditt sikrere bruke unike brukernavn og sterke passord for påloggingsinformasjon for nettstedet. Du vil også sørge for at brukernavnet og passordet ditt er det unikt for ditt WordPress-nettsted og brukes ikke for andre påloggingssteder (som nettbanken din eller pålogging på sosiale medier). Dette vil legge til et ekstra lag med sikkerhet.
Hvis du derimot resirkulerer brukernavnene og passordene dine på tvers av flere nettsteder, vil alle nettstedene som bruker denne legitimasjonen bli satt i fare i det øyeblikket en av dem blir kompromittert av en hacker.
Hvis du er bekymret for å miste påloggingsinformasjonen din, ta en papirkopi av informasjonen (sørg for å inkludere riktig bruk av store bokstaver!). Oppbevar papirkopien på et trygt sted der bare du og betrodde personer har tilgang (som et låsbart arkivskap).
I tillegg kan du aktivere tofaktorautentisering eller et engangspassord (OTP) for WordPress-påloggingssiden din. Dette vil gi enda et lag med sikkerhet for flere beskyttelsesnivåer. For eksempel WordPress sikkerhetsplugin SG Security (som følger med Siteground hostingplaner) kommer med en "Tofaktorautentisering"-funksjon som bruker Googles Authenticator-plugin. Dette betyr at selv om en hacker gjettet administratorbrukernavnet og passordet ditt, må de fortsatt finne ut den tilfeldig genererte autentiseringskoden for å få tilgang til bakenden av nettstedet ditt.
2. Bruk den nyeste versjonen av WordPress
En annen enkel måte å holde nettstedet ditt trygt på er å alltid bruke den nyeste versjonen av WordPress. WordPress kjører på en "utgivelsessyklus" som legger ut nye versjoner av kjernekoden hver fjerde måned eller så. Mens WordPresss nye versjoner kan være mindre eller større, inneholder de nesten alltid sikkerhetsoppdateringer.
Disse oppdateringene er basert på den nyeste informasjonen fra kilder som Åpne Web Application Security Project (OWASP Foundation), "et nettsamfunn dedikert til nettapplikasjonssikkerhet."
Heldigvis er WordPress og hver av dens nye utgivelsesversjoner alltid gratis å installere på nettstedet ditt. Og i de fleste tilfeller vil WordPress automatisk oppdatere nettstedet ditt til den nyeste versjonen (med mindre du spesifikt forteller det ikke å gjøre det eller bruker en eldre versjon enn WordPress 3.7).
I tillegg bruker WordPresss kjerneteam mye krefter på å gjøre nye versjoner av WordPress bakoverkompatible. Dette betyr ganske enkelt at nye versjoner av WordPress er designet for å fungere med dine eksisterende temaer, plugins og egendefinerte kode.
Du kan sjekke om nettstedet ditt er oppdatert til den nyeste versjonen ved å gå til Dashboard>Oppdateringer (gul pil i bildet ovenfor). Her vil du se hvilken versjon av WordPress du bruker og om det er den nyeste versjonen som er tilgjengelig (rød pil i bildet ovenfor).
En viktig ting å merke seg er at du vanligvis ikke ønsker å "hoppe" til den nyeste versjonen av WordPress hvis du bruker en mye eldre versjon.
For eksempel, hvis du bruker WordPress 4.9 (utgitt i 2017) på live-siden din, anbefaler jeg ikke å prøve å oppdatere rett til WordPress 6.2 (den nyeste versjonen på tidspunktet for denne artikkelen). Dette vil ødelegge ting.
I stedet kan du laste ned og installere tidligere utgivelser til nettstedet ditt og sakte oppdater nettstedet ditt. I tillegg vil du sikkerhetskopiere nettstedets filer før du utfører oppdateringene. Jeg anbefaler å sjekke ut denne artikkelen om de ulike trinnene du må ta før, under og etter sikkerhetskopiering av WordPress-nettstedet ditt. Det kan definitivt være en prosess, men det vil spare deg for hodepine ved å krasje nettstedet ditt og prøve å fikse alt i etterkant.
Merk at jo eldre den nåværende versjonen av WordPress din er, desto mer kjedelig og usikker vil denne prosessen være. Dette er desto større grunn til å holde din versjon av WordPress oppdatert til enhver tid!
3. Oppdater temaet til den nyeste versjonen, pluss avinstaller ubrukte temaer
WordPress «herder» sikkerheten til standardtemaene sine ved å stadig utvikle, iterere og gi ut nye temaversjoner. Dette betyr at du alltid bør bruke det nyeste standardtemaet fra WordPress når du kan, da det vil ha alle de nyeste sikkerhetsoppdateringene innebygd.
Heldigvis er det lett å finne ut hvilket standardtema som er det nyeste fordi de navngir hvert nytt tema etter det nåværende (eller kommende) året når temaet skal utgis. For eksempel heter temaet de ga ut i 2023 «Twenty Twenty-Three».
Bortsett fra sikkerhetsoppdateringer, inneholder nye standardtemaer også mange nye funksjoner som er designet for å gjøre utformingen av nettsidene dine enklere og morsommere. I tillegg kommer de ofte med ytelsesforbedringer for å få nettstedet ditt til å yte bedre og dermed hjelpe deg med å få mer trafikk.
Er du usikker på hvordan du oppdaterer temaene dine i WordPress? Jeg viser deg hvordan i min WordPress for nybegynnere 2023: WordPress Masterclass uten kode på Udemy.
Enten du bestemmer deg for å bruke det nyeste standardtemaet for WordPress-nettstedet ditt eller holder deg til temaet du er komfortabel med, bør du alltid slette alle inaktive eller på annen måte ubrukte temaer i bakenden av nettstedet ditt. Dette er fordi ubrukte temaer (spesielt eldre temaer eller tredjepartstemaer) kan ha sikkerhetssårbarheter som gjør det lettere for hackere å få tilgang til og angripe nettstedet ditt.
4. Oppdater plugins til den nyeste versjonen og sjekk kompatibiliteten
En av tingene som gjør WordPress bra er integreringen av tredjeparts plugins. Imidlertid er ikke alle plugins laget like, og noen av dem kan faktisk skape sikkerhetssårbarheter for nettstedet ditt.
Heldigvis er det noen enkle ting du kan gjøre for å redusere risikoen for sikkerhetstrusler skapt av plugins.
For det første anbefales det alltid at du last ned og installer WordPress-plugins fra WordPress-depotet. Dette er fordi plugins som er oppført her, må gjennomgås og godkjennes av WordPress Security Team før de gjøres tilgjengelige for nedlasting. Du finner disse pluginene via denne direkte lenken til plugin-depotet, eller direkte fra WP Admin Area på nettstedet ditt ved å gå til Plugins>Add New (gul pil i bildet nedenfor).
Når du bestemmer deg for hvilken plugin som skal lastes ned for WordPress-siden din, anbefaler jeg på det sterkeste å bruke plugins som er oppført som "kompatible med din versjon av WordPress." Heldigvis forteller WordPress deg om plugin-en og WordPress-versjonen din er kompatible direkte fra plugin-katalogen (rød pil i bildet ovenfor). Plugins som ikke er testet mot den nyeste WordPress-versjonen vil vise meldingen: "Utestet med din versjon av WordPress" (blå pil i bildet over).
Selv om "utestede" plugins kan fungere bra med WordPress-versjonen og -temaet, kan det være uoppdagede sikkerhetssårbarheter knyttet til disse pluginene. Så bruk slike plugins med forsiktighet på nettstedet ditt.
Legg merke til at WordPress opplyser i deres sikkerhetshvitbok: "Inkludering av plugins og temaer i depotet er ikke en garanti for at de er fri for sikkerhetssårbarheter." Når det er sagt, blir plugins med kjente "alvorlige sårbarheter" fjernet fra depotet, og kan til og med fikses av WordPresss sikkerhetsteam før de legges ut på nytt til depotet.
Til slutt, når du har installert plugins på nettstedet ditt, vil du sørge for at du holder dem alle oppdatert. Plugin-utviklere introduserer vanligvis sikkerhetsoppdateringer og rettelser med sine nye versjoner. Så ved å ha den nyeste versjonen av en plugin, sikrer du at du har alle de nyeste sikkerhetsoppdateringene tilgjengelig for den plugin-en på nettstedet ditt. Akkurat som med ubrukte eller inaktive temaer, anbefaler jeg også at du deaktiverer og avinstallerer eventuelle ubrukte plugins på nettstedet ditt for å redusere sjansene for at slike plugins skaper en sikkerhetssårbarhet senere.
Hvis du ikke er sikker på hvordan du oppdaterer plugins i WordPress, anbefaler jeg på det sterkeste å sjekke denne prosessen i min WordPress for nybegynnere 2023: WordPress Masterclass uten kode på Udemy.
5. Legg til et SSL-sertifikat til domenet ditt
Finalen lett måten å legge til mer sikkerhet til WordPress-nettstedet ditt i 2023 er å legge til et SSL-sertifikat til domenet ditt.
SSL (Secure Socket Layer)-sertifikater bekrefter i hovedsak at innholdet som besøkende på nettstedet ditt ser, kommer fra den faktiske skaperen av innholdet, og ikke en bedrager eller falsk nettside. Med andre ord, den bekrefter at alt er legitimt direkte fra brukerens nettleser.
Nettsteder som har et SSL-sertifikat riktig konfigurert, vil ha et låseikon ved siden av nettstedets URL i nettleserens søkefelt. Hvis du for eksempel ser på toppen av denne nettsiden i Googles Chrome-nettleser, vil du se et låsikon ved siden av hovednettadressen (rød pil i bildet ovenfor). Når du klikker på låseikonet, vil du se en linje som sier "Tilkoblingen er sikker." Dette er Google som bekrefter at forbindelsen mellom denne nettsiden og den besøkendes nettleser er sikker og privat.
SSL-sertifikater er spesielt viktige for alle nettsider som samler inn NOEN type brukerdata. Dette inkluderer enkel informasjon innhentet fra et kontaktskjema (dvs. navn, e-post, telefonnummer osv.), samt mer kompleks eller privat informasjon som for eksempel kan samles inn fra en e-handelsside (dvs. kredittkortnummer, adresse, etc.). Ved å gjøre forbindelsen sikker mellom nettstedet og de besøkende på nettstedet, gjør SSL-sertifikater det svært vanskelig for hackere å stjele informasjonen som utveksles mellom de to partene.
Noen nettstedsvertsfirmaer tar betalt for et SSL-sertifikat, mens andre (som Siteground) vil tilby en gratis SSL-sertifikat. De fleste vertsleverandører bør tilby et SSL-sertifikat, samt gi instruksjoner om hvordan du installerer det på WordPress-nettstedet ditt.
Som en ekstra bonus har søkemotorer som Google en tendens til å rangere nettsteder med SSL-sertifikater høyere enn de som ikke har et. Med andre ord, SSL-sertifikater gjør ikke bare sidene dine sikrere, de kan også hjelpe nettstedet med å få mer trafikk.
Det var alt for denne artikkelen! Hvis du likte det, kan du lære mer om hvordan du lager et WordPress-nettsted fra start til slutt i min WordPress for nybegynnere 2023: WordPress Masterclass uten kode på Udemy.
