WordPress säkerhet

Säkerhet är ett brett ämne som innefattar flera områden och potentiella angreppsmetoder. Ett angrepp kan riktas mot ert nätverk, mot er server eller mot era besökare. Att bli utsatt för angrepp är tyvärr en realitet för alla webbplatser, men med en förhöjd säkerhet och ett aktivt säkerhetsarbete kan man motverka eventuella intrång.

Vad innebär det egentligen att bli hackad?

Att ha blivit hackad innebär oftast att någon kommit åt din webbplats, där en hacker kan infoga sin egen kod eller innehåll. När hackern väl kommit åt webbplatsen lägger denne in skadlig kod eller skadligt innehåll som kan göra olika saker beroende på vad målet är. Det kan vara allt ifrån att ta webbplatsen offline till att sprida malware och utföra DDoS-attacker. Ett hack kan även styra om besökarna till andra webbplatser, använda din webbplats för att sprida reklam eller styra om betalningssystem på e-handelssiter.

 

 

Att bygga en säker webbplats

Säkerheten i en WordPress-installation börjar i hostingen. När du lägger din webbplats hos ett hostingföretag som inte har nödvändig säkerhet så kan din webbplats hamna i riskzonen om någon annan kund på samma server har blivit angripen. När du väljer en hostingtjänst eller behöver sätta upp dina egna servrar finns det vissa saker att hålla i åtanke:

  • Ha en brandvägg på servernivå.
  • Använd gärna en WAF-tjänst såsom Cloudflare.
  • Håll dina serveruppgifter borta från obehöriga så att enbart erfaren IT-personal har tillgång till servern.
  • Gå aldrig in på din server från ett osäkert nätverk, t.ex. allmänna wifi-nätverk på tågstationer och liknande.
  • Om du måste använda FTP, se till att göra det över SSL. Detta kallas normalt SFTP eller FTPS beroende på protokoll.
  • Skapa alltid unika databaser för varje installation så att inte ett hack av en webbplats resulterar i full databasåtkomst hos andra webbplatser.
  • Gör backups på databasen och webbrootens filer så ofta som möjligt. Speciellt direkt innan du gör en förändring.
  • Använd säkra lösenord och undvik att dessa återanvänds. Använd gärna en lösenordshanterare.

Använd krypterad överföring, SSL

Kryptera kommunikationen mellan besökaren och din webbplats, detta syns genom att dina webbaddresser börjar med https:// istället för http:// som annars är fallet. HTTPS (även kallat SSL/TLS) är oftast ett krav för e-handlare eftersom detta gör det möjligt att verifiera att webbplatsen du pratar med faktiskt är vad den utger sig för att vara och att ingen har modifierat informationen på vägen. När du sätter upp ett SSL-certifikat behöver du se till att det är giltigt och utfärdat av en betrodd certifikatutfärdare. Om dessa krav inte är uppfyllda kommer webbläsaren att vägra igenom trafik till webbplatsen. Ett bra sätt att testa säkerheten för din SSL-uppsättning är att använda Qualys SSL Server Test.

För att säkerställa att ni väljer rätt plattform behöver en senior DevOps-expert med gott säkerhetstänk gå igenom din plattform, din server och nätverkets infrastruktur samt din existerande uppsättning för att se till att denna är konfigurerad korrekt. Detta kommer bland annat ge dig information om några tjänster behöver uppdateras eller om du använder en osäker hostingtjänst. Skulle uppsättningen inte hålla måttet kan vi ge förslag på säkrare och mer pålitliga lösningar.

Låt en expert granska dina plugins & teman

En genomgång av din WordPress-installation, ditt tema och dina plugins kan behöva göras för att säkerställa säkerheten i installationen. Detta gör det möjligt att undersöka och läsa av koden för att hitta potentiella hål som kan utnyttjas av hackare. Våra kompetenta WordPress-experter kan utföra dessa undersökningar för att hitta var säkerhetshål finns och föreslå säkrare alternativ samt implementera strategier för att säkra er webbplattform i framtiden.  

Att upprätthålla säkerheten på din webbplats

Säkerhet har även ett underhållsbehov. En webbplats som är säker idag behöver inte vara det imorgon, därför är det viktigt att kontinuerligt uppdatera och kontrollera din webbplats, för att se till att säkerheten består. En säkerhetsretainer för regelbundna undersökningar och övervakning kan därför vara en bra idé. Detta ger dig en full genomgång av existerande uppsättning, och efter det löpande arbete för att säkerställa att uppdateringar, plugins och integrerade tjänster hålls säkra.

Minimera riskerna att bli hackad

  • Håll alltid brandvägg och virusskydd uppdaterat. Genom att skydda ditt egna datorsystem tar du första steget att inte exponera din webbplats för säkerhetsproblem.
  • Använd aktuella versioner av integrerad mjukvara. Om en version av en app, en plugin eller en widget inte blivit uppdaterad inom mer än ett år kan det vara bättre att leta efter ett annat alternativ som blir uppdaterat och granskat regelbundet.
  • Använd aktuella versioner av CMSet. Äldre CMS-versioner kan innehålla säkerhetshål som kan utnyttjas.
  • Använd hostingföretag som rutinmässigt ser över sin säkerhet.
  • Skriv aldrig in lösenordsuppgifter på webbplatser som du har navigerat till via länkar i mail. Kom ihåg att inga legitima företag kommer be dig om kontouppgifter över mail.
  • Håll eventuella verktyg som t.ex. WP-CLI, drush, m.m. uppdaterade. Om ditt CMS har installationsfiler som inte behövs efter installation så skall dessa tas bort.
  • Underskatta aldrig hur attraktiv din webbplats kan vara för hackare. Det tar bara ett ögonblick att få kontroll över en oskyddad sida. Det räcker med att din webbplats finns på internet för att vara en måltavla.
  • Använd en WAF som till exempel Cloudflare. Detta skyddar din installation från de flesta angrepp, även sådana som du inte har hunnit patcha om angreppsvektorn är känd.

Hur kan vi hjälpa er?

Vårt team av seniora DevOps- och WordPress-experter kan hjälpa er att stärka säkerheten på er webbplats och er serverplattform. Vi kan ge er konkreta åtgärdsförslag på vad som kan förbättras för att stärka säkerheten och hjälpa er att implementera dessa.

Många gånger kommer det kosta er många gånger mer att stärka upp befintlig plattform jämfört med att bara byta. Vi använder oss av Synotio WordPress-hosting som är en fullt managerad lösning. Vi har efter många års erfarenhet i branschen utvecklat en mängd verktyg som skyddar WordPress-installationer och rapporterar potentiella attackvektorer så att vi proaktivt kan göra ett säkerhetsarbete.

Tillsammans levererar vi en högkvalitativ tjänst där vi tar ansvar för att testa och drifta kundens installationer samt underhålla kundens lösning. Kontakta oss för en säkerhetsgranskning eller läs mer om våra driftsavtal.