Hvert minut sker der 90.978 angreb mod websites (kilde: wpmudev – og jeg antager, at at tallet er et gennemsit). Hvis du ikke gør en indsats for at passe på din WordPress-hjemmeside, er du meget sårbar for et af disse hacker-angreb. Og tro endelig ikke, at din lille hjemmeside, er uinteressant for hackere. Det er den.
Lillejuleaften 2016 sad jeg i mine forældres køkken, nød duften af andestegen og regnede med, at jeg havde julefri. Men en e-mail fra min web host, UnoEuro, fik mig i den grad på andre tanker. UnoEuro fortalt mig, at de havde lukket den hjemmeside, som jeg lige var gået live med – min ALLERFØRSTE hjemmeside.
Årsagen var, at den spyede tusindvis af mails ud. Min hjemmeside var altså med andre ord blevet hacket og udnyttet af kriminelle til lyssky formål. Det var dyre lærepenge for mig. Jeg måtte betale en mere erfaren WordPress-person for at rense ud og få websitet op at køre igen. Jeg var heldig, at den overhovedet kunne genoprettes, for jeg er ikke engang sikker på, at jeg havde styr på backup dengang. Et hacker-angreb kan også resultere i, at din hjemmeside, dit gode digitale omdømme og dine SEO-indsatser bliver ødelagt og tilintetgjort, hvis du ikke opdager det og får rettet op i tide.
Hvordan undgår man hacker-angreb?
Lad mig starte med at sige, at der mig bekendt ikke findes noget værktøj, der kan garantre mod hacker-angreb. Men hvis du tager følgende fem metoder i brug, har du i det mindste gjort en indsats, der minimerer risikoen for at blive hacket væsentligt:
-
-
- Opdater WordPress, plugins og temaer via WP-kontrolpanelet (jeg tjekker selv for opdateringer dagligt).
- Deaktiver og slet temaer og plugins, som du ikke bruger. Hvert plugin indebærer en risiko for sårbarheder – så ud med det, hvis det ikke udfører et job for dig.
- Installer sikkerheds-plugin som WordFence og Defender og brug tid på at gennemgå indstillingerne og sæt dem så restriktivt, som det er muligt og acceptabelt for dig. Jeg har erfaret, at de to sikkerhedsplugins udgør er godt makkerpar.
- Installer kun plugins, der er opdateret for nylig, har gode anmeldelser og MANGE installationer. ‘Sidst opdateret for et år siden, færre end 10 aktive installationer, og ikke testet med seneste WordPress-version’ er IKKE gode anbefalinger af et plugin. Så med mindre, du har en anden grund til at have tillid til et plugin med disse anmærkninger – så hold dig fra det.
- Brug sikre kodeord. Ulla123 er bare ikke godt nok. Der findes udmærkede kodeordsgeneratore på nettet. Disse finder på svære svære kodeord. Jeg bruger selv LastPass, der også kan anbefales til opbevaring af kodeord.
- Sæt to-trins autorisation op. Dette kan gøres med gratis-versionerne af Defender WordFence.
- Undgå brugernavnet ‘admin’ – som er det brugernavn, som WordPress selv opretter, når man starter en installation. ’Brute force’-hackers ved, at der er mange, der ikke får fjernet denne brugerkonto – så de går først efter brugernavnet ‘admin’, når de forsøger at logge på. Hvis du selv loggger på med ‘admin’, kan du oprette en ny brugerkonto til med administratorrolle til dig selv, logge på med denne og slette ‘admin’-brugerkontoen.
- Aktiver Google reCapcha på login- og glemt-password-siderne (kan gøres med gratisversionen af Defender). Det skulle holde robotter væk og forhindre DDOS-angreb (noget, som min (denne) hjemmeside for nylig har været udsat for – altså umiddelbart før, jeg aktiverede Google reCapthca).
- Tag backup og eksporter dine backup-filer til ’skyen’ eller en ekstern harddisk. Du bør ikke gemme dem i din WordPress-installation. Hvis du gør det, ligger de på dit websites server, som også kan blive kompromitteret, hvis din hjemmeside bliver hacket.
- Aktiver SSL. Hvis du ikke allerede har sat et SSL-certifkat på din hjemmeside, og ændret din domæne-url til at begynde med https i stedet for http, skal du have styr på dette nu. Dit website er ikke sikkert at bruge for besøgende, før du har styr på det. Hvis du ikke har https, viser internet-browsere, at dit site ikke er sikkert. Og dette er også skadeligt for din SEO i forhold til Google. Peter Sørensen fra Errorlog har skrevet denne artikel, om hvor skræmmende få (25% primo april 2019) hjemmesider, der har aktiveret SSL.
-
Hvis det kniber med tid eller selvtillid til pasning og pleje af din hjemmeside, kan du have glæde af denne WordPress-serviceaftale, som jeg tilbyder.
Sæt i gang
Rigtig god abejdslyst med at forbedre din hjemmesides sikkerhed. Du er velkommen til at skrive en kommentar, hvis du har spørgsmål til artiklen.
FÅ FLERE TIPS TIL DIN HJEMMESIDE – LÆS OGSÅ:
Hej Rikke
TAK. Der fik min hjemmeside lige en tiltrængt sikkerhedsopgradering. Har tænkt mange gange, at “det skal jeg have set på og fikset”. Dejligt med en så overskuelig og nem gennemgang.
Vh. Lotte
Hej Lotte
Hvor ér det godt at høre, at du lige kunne bruge min artikel til at stramme sikkerheden op på din hjemmeside. Tusind tak fordi du tog dit tiden til at dele din oplevelse af min gennemgang 🙂
Bedste hilsner
Rikke