Nyttan av hög WordPress säkerhet, handlar mycket om att förebygga hackerattacker, men även andra aspekter såsom att känsligt innehåll för inloggade inte läcker ut, eller en hög driftsäkerhet som gör att ert företags webbplats fortsätter att fungera på ett säkert och stabilt sätt.
De flesta hackerattacker kan stoppas från att göra skada, genom att i förväg jobba med säkerheten istället för att det ska behöva gå så långt att er webbsida faktiskt blir hackad. Jag rekommenderar därför att vi börjar jobba med säkerheten redan idag. Hör av dig till mig för en genomgång, så undersöker jag vad som behöver göras för just er WordPress-installation och med ert webbhotell!
Om WordPress
WordPress är ett projekt som bygger på öppen källkod och har utvecklats enormt sedan starten år 2003. I skrivande stund, så drivs 43% av världens webbplatser av WordPress. (Källa: wordpress.org 2024)
Jag hjälper er med WordPress säkerhet genom att:
1. Sätta upp anti-malware och brandvägg för WordPress
Det allra första jag gör, är alltid att se till att det finns ett gediget säkerhets-plugin med brandvägg och anti-malware. Vanligen arbetar jag med Wordfence, vilket är ett ledande pluign för WordPress säkerhet. Gratis-versionen har 30 dagars fördröjning i sin databas, så vill man ha det allra färskaste och bästa skyddet för WordPress, så bör man köpa en licens.
Wordfence behöver sedan konfigureras på lämpligt sätt, med t.ex. recaptcha för login, möjlig två-faktor autentisering och andra inställningar. Jag som administratör kommer även att underrättas via e-post vid allvarliga säkerhetshot som uppkommer efter hand. Säkerhetsarbetet är inte ett engångsprojekt, utan början på en kontinuerlig kontakt vi kan ha.
2. Hålla WordPress och plugins uppdaterat
Hackerattacker består ofta av skript som testar tusentals WP-sidor efter svagheter. Inte minst gamla ouppdaterade versioner av WordPress, plugins eller ditt tema. Om du använder välkända plugins med höga användarbetyg och där pluginet fortfarande underhålls, så kommer sannolikt ev. svagheter efter hand att åtgärdas i takt med att nya versioner släpps. För plugin som ej längre underhålls är det en bedömningsfråga huruvuda pluginet utgör ett säkerhetshot eller ej kontra den funktionalitet ni behöver.
För WordPress finns det dels versionsuppdateringar, t.ex. 6.4 till 6.5, men även säkerhetspatchar såsom 6.4.1 till 6.4.2. Versionsuppdateringarna initierar man normalt själv som ett manuellt förfarande, medans säkerhetspatcharna installeras automatiskt. Säkerhetspatchar släpps garanterat för den senaste versionen av WordPress, men vid allvarliga säkerhetshot släpps normalt även patchar en bit bakåt i tiden för lite äldre versioner av WordPress.
Genom att ha en plan för hur WordPress, plugins och temat ska hållas uppdaterat har du vunnit mycket i kampen om en hög WordPress säkerhet.
Anlita mig för återkommande uppdateringar och underhåll via serviceavtal
Jag erbjuder serviceavtal, där jag manuellt uppdaterar WordPress, plugins och vid behov temat. Då med återkommande intervall, vanligen var 3:e, var 6:e eller var 12:e månad. Genom att uppdatera WordPress och plugins under kontrollerade former, med totalbackup före och testning efteråt, så säkerställer du fortsatt funktionalitet och detta samtdigt som en hög säkerhetsnivå kan hållas.
Jag skulle säga att det är ca: 50% chans att någon form åtgärder krävs för större WP-sidor i samband med en uppdatering av WordPress och plugins eller tema, för att din webbsida ska se ut som innan och fortsätta fungera normalt. När jag uppdaterar WordPress + plugins, tar jag totalbackup av filer och databas, samt funktionstestar och åtgärdar ev. fel efteråt. Därav är det en trygghet att anlita mig för återkommande uppdateringar, jämfört med att göra det själv och chansa på att det går bra.
Extra uppdateringar av plugins kan även göras utanför intervall, när kritiska hot identifierats av Wordfence. Serviceavtal innebär även att kontaktformulär, funktionalitet och WordPress-sidans säkerhet ses över vid varje tillfälle för uppdatering.
3. Vid behov byta till ett säkrare webbhotell
Jag har jobbat med de flesta vanliga svenska webbhotell under många år och vet därför att vissa webbhotell är mer drabbade än andra när det gäller hackade WordPress-sidor. Detta beror i sin tur mycket på vilken säkerhetsnivå webbhotellet har. Då med effektiva brandväggar, eventuellt anti-malware som ligger i bakgrunden och hela tiden skannar av filer och ett kontinuerligt säkerhetsarbete där användare varnas om brister, eller att osäkra webbsidor suspenderas.
Utöver säkerhet är ju även prestanda, konfigurationsmöjligheter och teknisk support viktiga parametrar när man ska välja webbhotell. Hör av dig till mig om du vill prata om webbhotell eller vill ha hjälp att byta. Jag hjälper er med flytt av WordPress, domäner, konfiuration och att sätta upp högsta möjliga mailkvalitet för utskick från WordPress, lägga upp era e-postadresser m.m.
4. Införa en bättre hantering av användare och lösenord samt en säkrare inloggning
Dagligen testar bottar att logga in på din WordPress-sida med vanligt förekommande användarnamn eller lösenord, eller i värsta fall med kontouppgifter som har läckt eller kommits över efter ett intrång. För en högre WordPress säkerhet behöver vi även gå igenom hantering av användaruppgifter men även att vi säkrar upp inloggningssidor eller sidor för registrering av användare från botar.
Val av användarnamn
Först och främst när det gäller valet av användarnamn, bör man undvika vanliga standard användare såsom ”admin” för administratörskontot. För extra hög säkerhet kan du sikta på mer unika användarnamn, särskillt för administratörer.
Viktigt att använda säkra lösenord
Ett säkert lösenord bör t.ex. innehålla en kombination av stora och små bokstaver, siffror samt tecken. Sedan ska de ej heller vara för korta – 12 eller fler tecken rekommenderas för närvarande av Wordfence. Det är också mycket viktigt att du använder unika lösenord per tjänst och aldrig återanvänder ett lösenord!
Jag brukar se till att användare tvingas att använda säkra lösenord, vilket görs genom konfiguration av en lösenordspolicy i WordPress.
Enligt statistik över de vanligaste lösenorden 2024 är de följande:
- 123456
- 123456789
- qwerty
- password
- 12345
Det finns en del att jobba på här och det är inte konstigt att bottar som provar vanliga användarnamn ihop med vanliga lösenord kan få napp.
reCaptcha för inloggning
Google reCaptcha är ett verktyg som särskiljer människa från robot. Genom att ha en osynlig reCaptcha i bakgrunden på samtliga inloggningssidor eller registreringssidor i WordPress, kan man redan här sålla bort de flesta botar som försöker logga in. Genom att hindra botar från att ens försöka att logga in och minska antalet försök innan användaren blir blockerad, så kan botar inte heller testa olika lösenord i någon större skala.
Möjlig 2-faktor autentisering
Vill du gå ännu längre och ha en extra hög WordPress säkerhet för inloggning, kan vi även aktivera 2-faktor autentsiering. Det finns lite olika alternativ till WordPress, t.ex. via en app såsom Google authenticator, eller att en kod skickas via e-post eller sms vid inloggning.
Lagra inloggningsuppgifter till WordPress på ett säkert sätt
Om du vill lagra ditt lösenord för din användare till WordPress digitalt, så finns diverse lösenordshanterare t.ex. i ditt antivirusprogram. Dessa lagrar dina lösenord krypterat och att använda en lösenordshanterare anses vara säkert.
Tänk på att aldrig att lämna ut lösenord till WordPress-konton via telefon eller som klartext i e-post. Vanlig e-post är exempelvis okrypterad och e-post som innehåller känsliga användaruppgifter kan i värsta hamna i fel händer.
För WordPress kan nya användare på ett säkert sätt själva sätta sitt lösenord, så du behöver aldrig skicka själva lösenordet i ett mail. Den nya användaren kan även använda funktionen ”glömt lösenordet”.
Behöver man byta lösenord återkommande?
Det finns lite delade meningar huruvida man bör byta lösenord återkommande. En nackdel med detta är att man riskerar tappa sina användare, där ständigt nya lösenord gör att man istället undviker att logga in.
Jag brukar inte rekommendera en sådan lösenordspolicy av just ovan nämnt skäl, men om du misstänker att ditt lösenord kan vara röjt eller inte är tillräckligt säkert, ska du givetvis byta lösenord.
Hantering av användarroller i WordPress
En användare ska inte ha mer behörighet än vad den behöver, annars finns risken att den börjar laborera med att ändra viktiga inställningar utan att förstå konsekvenser, eller att på eget bevåg slumpartat köra uppdateringar av WordPress och plugins utan backup eller testning efter.
Genom att dela upp användare i olika roller, som i sin tur har olika behörigheter så skyddar ni er WordPress-sida från er själva, era anställda, eller medlemskonton. Det finns några färdiga standardroller i WordPress. Rollen Redaktör bör innehas av den som skapar innehåll, medans administratör bör innehas av den som underhåller webbsidan rent teknsikt. Det går även att sätta upp nya unika roller eller modifera befintliga roller utifrån önskemål.
5. Vid behov uppdatera till senaste versionen av PHP
PHP är det skript-språk på serversidan som WordPress bygger på. För högre WordPress säkerhet bör du använda en aktuell och underhållen version av PHP. I takt med att PHP utvecklas, så gör också WordPress, plugins och teman det. Det är till och med så att plugins och till slut även WordPress kräver att du använder en viss version av PHP för att uppdateringar ska kunna köras.
Att uppdatera till senaste versionen av PHP är i sig normalt bara en inställing på ditt webbhotell, men tyvärr är det inte alltid så enkelt. Om din WordPress-sida bygger på ett äldre tema som ej längre underhålls, ett äldre skräddarsytt tema, eller om din WP-installation är beroende av gamla ej längre underhållna plugins, så finns det en stor risk att din WordPress-sida inte fungerar med senaste versionen av PHP.
Jag hjälper er med uppdatering av PHP och eventuella anpassningar samt felsökningar som kan krävas i samband med detta.
Så vanligt är det att WordPress-sidor utsätts för attacker
Om ni inte jobbat med säkerheten tidigare för er WordPress-sida, kanske ni är lyckligt ovetande om att ert företags webbsida med hög sannolikhet utsätts för olika typer av attacker varje dag.
Exempel: 4 miljoner WP-sidor under 30 dagar
Wordfence är ett uppskattat säkerhetsplugin med brandvägg, anti malware, loginskydd m.m. för högre WordPress säkerhet. Diagrammet nedan visar totalt antal stoppade attacker i Wordfence hela nätverk med över 4 miljoner WordPress-sidor, dag för dag under 30 dagar, i början av 2024.
Källa: Wordfence – Diagrammet visar totalt antal stoppade attacker för över 4 miljoner använder under 30 dagar i början av 2024.
Exempel med statstik över WordPress attacker på en av mina egna siter
Här kommer även ett exempel från en av mina egna WordPress-siter, där Wordfence stoppat 20 hackerattacker på en månad i början av 2024.
Komplexa | Brute Force | Totalt | |
Idag | 0 | 0 | 0 |
Vecka | 2 | 5 | 7 |
Månad | 9 | 11 | 20 |
Vanliga frågor
Hur höjer man säkerheten med WordPress?
WordPress + plugins behöver uppdateras regelbundet, vilket för mer avancerade webbplatser bör göras under kontrollerade former med backup och testning före / efter. Detta eftersom säkerhetsluckor kan upptäckas och utnyttjas av hackare. Utöver det behövs exempelvis även ett lämpligt säkerhetsplugin med brandvägg och antimalware, samt bra rutiner för hantering av login och lösenord. Läs mer och få hjälp med WordPress säkerhet för just er webbplats.
Vilken brandvägg är bäst för WordPress?
Det finns en rad olika säkerhetsplugin för ökad WordPress säkerhet, innehållandes inte minst brandvägg och antimalware. Wordfence är en av de allra mest populära vilken erbjuder bra skydd även med gratis-versionen.
Varför behöver man använda säkra lösenord för WordPress?
Att använda stora och små bokstäver samt specialtecken gör antalet möjliga lösenord mycket högre. Detta försvårar för botar som hela tiden ligger och testa olika kombinationer av användarnamn och lösenord.
Tänk därför på att till varje pris undvika vanliga användarnamn såsom admin och särskillt i kombination med förutsägbara vanliga lösenord såsom qwerty eller test.