Om man har ägnat månader och i vissa fall år åt att bygga upp en webbplats finns det inget värre än att förlora den till hackare, malware och spamlänkar. Säkerhet är något som många av oss inte tänker på innan olyckan är framme, men genom att lägga ner mindre än en halvtimmes arbete kan man skydda sig från 90 procent av attackerna.

I den här guiden hittar du tio enkla tips till hur du kan förbättra säkerheten på din WordPress-blogg.

1. Uppdatera, uppdatera, uppdatera

WordPress släpper hela tiden uppdateringar för att täppa igen säkerhetshål i systemet. Att köra den senaste versionen av WordPress är därför det enklaste sättet att skydda sig mot intrång och andra otäckheter. WordPress dokumenterar säkerhetshålen som åtgärdas i varje version, vilket innebär att det är extra viktigt att hålla sig á jour – så snart ett hål täpps igen i den senaste versionen vet nätets mer tvivelaktiga karaktärer vilka kryphål de ska utnyttja i de äldre versionerna.

2. Använd inte ”admin” som användarnamn

Fram till version 3.0 tilldelades alla förstaanvändare i WordPress-installationer användarnamnet ”admin”. Efter 3.0 har man kunnat bestämma användarnamnet själv, men av gammal vana fortsätter många att ha en admin-användare med användarnamnet ”admin”. Som ett resultat av det brukar många av de mer omfattande brute force-attackerna mot WordPress-installationer rikta in sig mot användarna med användarnamnet ”admin”. Ett enkelt sätt att förhindra att man själv drabbas av detta är att byta användarnamn på ”admin”-användaren eller ta bort den helt och hållet.

3. Använd starka lösenord

Majoriteten av intrång som sker, WordPress-relaterade eller inte, beror på att den drabbade har ett vanligt lösenord som personen bakom intrånget har lyckats komma åt genom en brute force-attack. Använder du ett lösenord som ”lösenord”, ”123abc”, ”abcdefgh”, ”123456” eller liknande är det hög tid att byta till något starkare. Det behöver inte vara en lång kombination av stora och små bokstäver, siffror och tecken, men se till att det inte är ett av de lösenord som Aftonbladet inkluderar i sina ”100 vanligaste lösenorden”-artiklar.

Vill du vara riktigt säker är dock en teckenkombination av typen jag nämnde ovan att föredra. Har du svårt att komma ihåg lösenord kan ett program som 1Password vara värt att titta närmare på.

4. Begränsa antalet inloggningsförsök

Ett annat sätt att motverka intrång är att begränsa antalet inloggningsförsök som tillåts på din WordPress-installation. Om en besökare försöker logga in med fel lösenord fler än ett visst antal gånger blockeras besökarens IP-adress från inloggningen under en begränsad tid. Funktionen finns inte inbyggd i WordPress, men du kan lägga till den genom att installera tillägget Limit Login Attempts Reloaded. Den kommer inte att stoppa alla brute force-attacker, men det är en billig försäkring mot många av dem.

5. Använd tvåstegsverifiering

Tvåstegsverifiering har blivit mycket populär som metod för att förbättra säkerheten för webbaserade tjänster. Systemet fungerar på samma sätt som BankID – när du ska logga in måste du både fylla i ditt lösenord på WordPress-installationen och verifiera att det faktiskt är du som försöker logga in genom en app på din smartphone. Om inloggningen inte bekräftas i appen misslyckas den, vilket innebär att en person som försöker ta sig in på din WordPress-installation både behöver ditt användarnamn och lösenord och tillgång till din smartphone.

Nackdelen är att du alltid behöver ha din smartphone inom räckhåll när du ska använda ditt WordPress-konto, och det tar också lite längre tid att logga in. I utbyte får du en inloggning som är svårslagen när det gäller säkerhet. Google Authenticator-tillägget låter dig integrera din inloggning med Google Authenticator-appen, som också kan användas för tvåstegsverifiering i Gmail/Dropbox/Amazon etc.

6. Installera teman och tillägg med omdöme

Teman och tillägg kan användas som trojanska hästar för skadlig kod, och därför är det viktigt att man använder sitt omdöme när man installerar nya. Vissa teman och tillägg introducerar nya säkerhetshål på grund av att de är dåligt programmerade. Andra lägger till spamlänkar och malware på din webbplats med ont uppsåt. Så hur skyddar du dig?

Det enklaste sättet är att bara installera teman och tillägg som tillhandahålls på WordPress officiella tema- och tilläggsbank. Alla teman och tillägg som publiceras på WordPress har granskats av WordPress Review Team som, bland annat, kontrollerar hur säkra de är. Det är inte en hundraprocentig garanti, men det är så nära som man kan komma.

Bara för att alla teman och tillägg har granskats innebär det inte att du sitter säkert ändå. Ha för vana när du ska installera något att inte välja ett tema eller tillägg som är helt nytt. Kontrollera hur mång aktiva installationer som finns, vilket betyg det har och vad som sägs på omdömena.

7. Ta bort teman och tillägg du inte använder

På grund av att det inte är en hundraprocentig garanti är det alltid bra att hålla mängden installerade teman och tillägg till ett minimum. Även om det inte fanns några säkerhetshål i ett tillägg eller tema när det installerades kan det introduceras nya genom uppdateringar. Sträva alltid efter att ha så få teman och tillägg installerade som möjligt för att minska riskerna. Ta bort det du inte längre använder. Att begränsa antalet teman och tillägg är inte bara bra för din webbplats säkerhet – det gör också webbplatsen snabbare, lättare och enklare att underhålla.

8. Ta bort möjligheten att redigera filer i WordPress

Som standard låter WordPress alla användare med administratörsbehörighet redigera filer i teman och tillägg direkt i WordPress (under Utseende > Redigerare och Tillägg > Redigerare). Majoriteten av WordPress-användarna använder dock inte den funktionen överhuvudtaget, och om du är en av dem kan det vara en god idé att avaktivera redigeraren. Om någon skulle lyckas ta sig in på din webbplats kan hen använda redigerarna till att lägga in skadlig kod i dina teman och/eller tillägg.

För att stänga av filredigering, lägg till följande rad kod i wp-config.php-filen i den WordPress-installations rootkatalog:

define( ‘DISALLOW_FILE_EDIT’, true );

9. Ta backup

Även om du har följt vara råd som har presenterats ovan finns det inte något sätt att vara hundra procent skyddad från intrång och attacker. Skulle olyckan vara framme är det enormt viktigt att det finns säkerhetskopieringar av din webbplats, så att du kan återställa den till dess forna glans.

Det finns mer information om hur du säkerhetskopierar din WordPress-installation i WordPress-kodexen (på engelska). Du kan också kontakta ditt webbhotell och höra vilka back up-tjänster de tillhandahåller.

10. Se till att din dator är säker

Alla försiktighetsåtgärder i världen kan inte hålla din webbplats säker om din dator inte är säker. Om en keylogger lyckas komma åt ditt lösenord spelar det ingen roll hur många tecken det innehåller. Därför är det viktigt att se till att datorn du använder för att komma åt din WordPress-installation är fri från virus och annan ohyra. Köp ett antivirusprogram, om du inte redan har ett – det är ett billigt pris att betala för bekymmersfri nattsömn.

Använd också ditt omdöme innan du loggar in på din WordPress-installation från någon annans dator – hos en bekant eller på en offentlig plats, som en skola eller ett bibliotek. Även om din egen dator är säker kan du inte vara hundra procent säker på att deras är det.

Slutligen

Innan du får panik och börjar skynda dig igenom den här listan punkt för punkt – andas. Himlen kommer inte att trilla ner över ditt huvud om din WordPress-webbplats inte är Fort Knox. Så länge du har ett någorlunda säkert lösenord, uppdaterar din WordPress-webbplats och håller ett öga på dina teman och tillägg så kan du känna dig relativt säker.