Välj en sida

Hur man genomför en WordPress-säkerhetsgranskning

av | nov 16, 2022 | Artiklar

Att säkra din WordPress-webbplats är inte ett engångsjobb. Oavsett hur mycket du litar på ditt säkerhetsplugin eller hur noggrann du var med att göra din webbplats så säker som det bara går en så kallad härdning, en säker webbplats idag  är inte säkert en säker webbplats i morgon. För att hålla hackare på avstånd måste du regelbundet genomföra WordPress-säkerhetsrevisioner och täppa till i de säkerhetshål du hittar.

Webbplatshackningstaktik går alltid framåt, och tillsammans med det kan man alltid göra förebyggande åtgärder för att hålla din webbplats säker. Se det som en återkommande aktivitet. Ju säkrare en webbplats är, desto mer kreativa måste hackare vara för att komma in på den, vilket innebär att din webbplats måste bli ännu säkrare, och så vidare.

Sikta på att genomföra en WordPress-säkerhetsrevision minst var tredje månad. Varje månad är bättre, och varje vecka (eller till och med dagligen, beroende på hur känslig din webbplats är) är bäst. Och naturligtvis, om du känner att det är något fel på din webbplats, gör en säkerhetsgranskning omedelbart. Något av följande bör lyfta en röd flagga:

  • Din webbplats är plötsligt långsam och trög.
  • Det finns en stor nedgång i webbplatstrafik utan någon uppenbar anledning.
  • Det finns nya konton, inloggningsförsök eller förfrågningar om ”glömt lösenord”.
  • Nya länkar som du inte har lagt till finns på din webbplats.

Följande steg är ett måste för att hålla din webbplats i toppform, säkerhetsmässigt. Med en checklista till hands gör du dina granskningar strömlinjeformade istället för överväldigande.

En översikt över WordPress Security Audit

Vid ett eller annat tillfälle kommer nästan varje WordPress-webbplats att stöta på någon typ av säkerhetsproblem. En vanlig är ett plugin eller ett tema som plågas av en sårbarhet, vilket tillåter hackare direkt in på din webbplats. När din webbplats väl har hackats kan hur många saker som helst hända:

  • Kundernas personuppgifter stulna
  • Olagliga annonser och innehåll visas
  • Trafiken omdirigeras någon annanstans
  • WordPress-data krypterad, raderad eller såld

Det här är så mycket mer än en huvudvärk eller en nedlagd plats under några timmar. Hackare kan hålla dina data för lösen. Information från din webbplats kan säljas på Dark Web. Google kan svartlista din webbplats för att visa skräppost på webbsidor. Kunder kan stämma dig om deras kreditkortsinformation blir stulen. Andra webbplatser kan bli infekterade när hackare har fått tillgång till din.

WordPress säkerhetsrevisioner identifierar dessa sårbarheter så att du kan korrigera dem direkt – innan en hacker har hittat in. Du kommer att se till att de säkerhetsåtgärder du för närvarande vidtar fortfarande fungerar, och du kommer också att ta reda på var du behöver mer skydd.

Utvärdera säkerhetspluginen du använder

Ditt WordPress-säkerhetsplugin är ett av de viktigaste verktygen för att skydda din webbplats. Se till att ditt säkerhetsplugin fortfarande fungerar på följande sätt:

  • Aktivitets logg: Detta spårar din webbplats användare, inklusive vem som loggat in och när, misslyckade inloggningsförsök och webbplatsändringar. Det finns många bra plugins för WordPress aktivitetsloggar som du kan använda för att övervaka aktiviteten på din WordPress-webbplats.
  • Brandvägg: Detta kommer att blockera bots, hackare och IP-adresser som försöker komma in på din webbplats.
  • Inloggningsförsök: Kvalitetssäkerhetsplugins kommer att upprätthålla starka lösenord, kräver tvåfaktorsautentisering och begränsa inloggningsförsök.
  • Inloggningsskydd: Detta blockerar brute-force-attacker, vilket är när hackare försöker olika användarnamn och lösenordskombinationer för att logga in.
  • Skanningar och rensningar av skadlig programvara: Detta bör köras dagligen, genomsöka din webbplats databas, filer och mappar efter skadlig programvara och rensa allt den hittar.
  • Realtidsvarningar: Plugin-programmet bör meddela dig omedelbart om det är något misstänkt på gång med din webbplats.

Har du inget säkerhetsplugin ännu? Överväg att skaffa en som ditt preliminära steg i din WordPress-säkerhetsrevision. Vi har samlat ihop 6 bästa WordPress-säkerhetsplugins att välja ifrån.

Testa din lösning för säkerhetskopiering av din webbplats

Om något går fel på din webbplats som är omöjligt eller för komplicerat att fixa, innebär en WordPress-säkerhetskopia att du kan återställa din webbplats till dess tidigare tillstånd från innan problemet uppstod. Men om din säkerhetskopiering misslyckas har du inget att återställa, vilket innebär att du kan ha fastnat med en infekterad eller felaktig webbplats. Helst kommer du att använda en säkerhetskopieringslösning (oavsett om det är en som tillhandahålls av din värd eller ett plugin du använder) som låter dig testa dina säkerhetskopior, som BlogVault. Du kanske också vill läsa vår artikel med 6 bästa WordPress backup-plugins.

Gå över din WordPress-administratör och FTP-installation

Med WordPress kan du ha flera personer som loggar in för att arbeta med olika projekt, men det betyder inte att varje enskild person med inloggning ska ha full tillgång till din webbplats. Och när det kommer till din FTP-klient att tillåta flera personer åtkomst innebär att de kan göra ändringar på din webbplats … ja, allt.

När du lägga till en ny användare i WordPress tilldelar du dem en roll (och du kan redigera deras profil för att ändra deras roll också):

wordpress säkerhetsgranskning

Olika roller har olika förmågor. Till exempel kan en administratör komma åt alla webbplatsens administratörsverktyg (som att ändra temat eller installera ett plugin), men en bidragsgivare kan bara skriva och hantera sina egna inlägg. Här är en omfattande uppdelning av olika roller och deras förmågor.

För din WordPress-säkerhetsrevision, gör följande:

  • Se vilka WordPress-användare som har åtkomst på administratörsnivå.
  • Bestäm om alla dessa användare behöver den åtkomstnivån (och om andra som har begränsad åtkomst ska vara administratörer).
  • Sänk behörigheter och begränsa åtkomsten genom att uppdatera användarroller för dessa individer.
  • Om du inte känner igen användare i instrumentpanelen, ta bort dem – de kan vara konton som skapats av en hackare.
  • Är några användarnamn helt enkelt ”admin”? Detta är ett alltför vanligt användarnamn och ett som hackare ofta försöker använda för att komma åt din webbplats. Skapa ett nytt användarkonto för personen och ta bort det gamla kontot.
  • Ta bort FTP konton för användare som inte behöver så hög åtkomstnivå.

Slutligen, om din webbplats tillåter medlemmar, vill du se till att de faktiskt måste skapa ett konto när de registrerar sig och att deras standardroll inte tillåter administratörsåtkomst. Gå till inställningar > Allmän. Avmarkera rutan bredvid Vem som helst kan registrera sig. Välj sedan lämpligt alternativ under Ny användarstandardroll.

Se till att WordPress är uppdaterat

Du kanske kör detta automatiskt, men det lönar sig ändå att dubbelkolla att WordPress är uppdaterat till sin senaste version. Uppdateringar åtgärdar inte bara säkerhetshål – de förbättrar också prestandan och lägger till funktioner. Gå till instrumentbräda > Uppdateringar för att se om en är redo.

wordpress säkerhetsgranskning

Rensa upp dina plugins och teman

Plugins kan utöka kapaciteten på din webbplats, men de är också sårbara för attacker, särskilt om de går utan att uppdateras för länge. Pålitliga utvecklare kommer att hålla koll på deras plugins sårbarheter och släppa uppdateringar med patchar. Under din WordPress-säkerhetsuppdatering, gå till din plugin-lista och gör följande:

  • Inaktivera och avinstallera alla plugins som du inte längre använder eller som du inte känner igen.
  • Uppdatera eventuella återstående plugins som har uppdateringar redo.
  • Om du använder ett plugin som inte har tagit emot uppdateringar från utvecklaren, överväg att använda ett annat som har samma funktionalitet – ett plugin som är föråldrat är för sårbart för säkerhetsproblem.

Även om du gör din WordPress-säkerhetsrevision en gång i månaden eller så, är det en bra idé att kontrollera dina plugins mer regelbundet för att uppdatera dem efter behov. Ta också bort alla teman som du för närvarande inte använder eller inte förväntar dig att behöva. Precis som med plugins utgör teman risken för säkerhetsbrister, så det är bäst att hålla din webbplats så fri från dem som möjligt.

Håll dig säker där ute!

Du slutar inte arbeta med andra delar av ditt företag – att komma med nya produkter eller tjänster, marknadsföra dem, sälja, etc. Säkerheten på din webbplats bör inte vara annorlunda. Ett litet problem kan snabbt leda till ett affärshotande hack om du inte fångar det i tid, men utan att veta var problemområdena finns vet du inte vilka korrigeringar du ska implementera.

Att hålla din webbplats säker är en pågående process, och att ha en checklista för säkerhetsgranskning av WordPress sparar dig besväret att försöka komma ihåg vad du ska göra varje månad. Dessutom, ju mer du kan automatisera med ett säkerhetsplugin, desto bättre. Din WordPress-checklista för säkerhetsgranskning kan vara mycket mindre om en majoritet av vad du måste göra är att dubbelkolla att plugin-programmet fortfarande fungerar korrekt. Vi har djupgående översikter av recensioner av två ledande säkerhetsplugin, Juicer och Wordfence.