Om det är något som varje WordPress-sajt bör ta på allvar så är det detta säkerhet. Att vidta lämpliga säkerhetsåtgärder kommer inte bara att skydda din och dina kunders data, utan också säkerställa att din webbplats inte blockeras av Google eller andra sökmotorer.
Om din webbplats har bestämt sig för att publicera skadlig programvara kommer Google att blockera dig, och en hackare kan enkelt få detta att hända.
Av dessa skäl måste du göra allt du kan för att säkra din webbplats. Lyckligtvis finns det mycket information för att förbättra din webbplats säkerhet.
WordPress i sig har inga större säkerhetsproblem, och om det uppdateras regelbundet bör det alltid vara en säker plattform. Men eftersom WordPress är det mest populära innehållshanteringssystemet mer än 44 % litar på internet för byggarbetsplatser har den blivit måltavla av hackare och andra dåliga aktörer.
Som sådan måste du ta några enkla steg för att säkra din webbplats idag.
Även om mängden plugins och alternativ i WordPress vanligtvis är bra, kan det i det här fallet orsaka mycket förvirring, vilket är anledningen till att den här guiden finns. Idag ska vi gå igenom en en komplett checklista med steg du bör vidta för att säkra din webbplats.
Varför WordPress-säkerhet är viktigt
När allt kommer omkring är en webbplats ett företag. Och när ett företag drabbas av ett säkerhetsintrång kostar det dem inte bara pengar utan kan förstöra deras rykte.
Av denna anledning måste en webbplats alltid säkras för att skydda den känsliga information den innehåller.
Föreställ dig till exempel en enkel e-handelswebbplats. Tänk på vilken användardata den lagrar. Kreditkortsinformation, postadresser, telefonnummer och mer kan lagras i en databas.
Om den här informationen skulle bli stulen skulle den inte bara påverka ditt varumärke och ditt rykte negativt, utan det skulle även kunna förstöra någons liv.
Som sådan kräver regeringar runt om i världen vissa säkerhetsåtgärder. Och även om du inte bor i något av dessa länder, räcker det med en besökare från ett ställe för att få rejäla böter eller värre.
De lagar och säkerhetsåtgärder du måste följa förändras ständigt och skiljer sig runt om i världen. Därför är det viktigt att din webbplats alltid är skyddad för att undvika problem. Tyvärr är något lätt att förbise, därför finns denna checklista.
Den leder dig genom stegen du behöver slutföra för att säkra din nya WordPress-installation.
Grundläggande
Låt oss börja med grunderna i WordPress-säkerhet. Det här är enkla saker som inte tar mycket tid, men som kan göra stor skillnad i säkerheten på din webbplats.
Utan dessa steg är det meningslöst att implementera mer avancerade alternativ eftersom det skulle bygga på en svag grund.
Låt oss börja täcka detta i hans sinne hur man förbättrar WordPress säkerhet.
1. Uppdatera ditt tema, plugins och WordPress-kärnfiler
Din WordPress-webbplats, plugins och tema bör uppdateras regelbundet. Hackare riktar sig ofta mot föråldrade installationer med kända säkerhetshål, vilket gör dem till enkla mål även om du har andra säkerhetsåtgärder på plats.
Lyckligtvis kan allt detta konfigureras att ske automatiskt, och WordPress gör ett bra jobb med att meddela dig när en uppdatering är tillgänglig.
Logga in på din WordPress-webbplats för att se om uppdateringar finns tillgängliga. I den vänstra instrumentpanelen klickar du på Dashboard och väljer alternativet Uppdateringar.
Lägg märke till om det finns ett litet rött nummer bredvid alternativet Uppdateringar. Detta nummer representerar antalet tillgängliga uppdateringar för plugins, teman och WordPress-kärnfiler. Om du ser ett rött nummer är det dags att uppgradera.
I det här avsnittet kan du se alla tillgängliga uppdateringar. Överst finns avsnittet WordPress-uppdateringar. Detta kommer att berätta din nuvarande version av WordPress. Så länge det står “Du har den senaste versionen av WordPress” är du bra att gå.
Nedanför detta hittar du en sektion för plugins och teman. Om uppdateringar är tillgängliga, välj bara plugin eller tema och klicka på motsvarande “Uppdatera”-knapp. Även om detta är lätt att göra manuellt, glömmer många användare att göra det, så du bör överväga att ställa in automatiska uppdateringar.
Du kan göra detta för plugins, teman och WordPress-kärnfiler.
Det är värt att notera att även om du inte aktivt använder en plugin eller ett tema, bör du hålla det uppdaterat. Även en inaktiv plugin kan skapa en öppning som hackare kan utnyttja. Därför är det bästa rådet att alltid ta bort plugins och teman som inte är aktiverade på din sida.
De tar inte bara upp utrymme på servern, utan är också en säkerhetsrisk.
2. Använd och upprätthåll starka lösenord
Jag är säker på att du har hört vikten av starka lösenord förut, och jag ska säga allt igen. Din webbplats kan använda de bästa säkerhetsplugin-programmen på marknaden, och de kommer alla att vara värdelösa om du använder svaga eller generiska lösenord.
Dessa lösenord är lätta att knäcka eller gissa, och eftersom Brute Force-attacker är den vanligaste metoden är starka lösenord ett av de bästa sätten att skydda sig själv.
Som standard tillhandahåller WordPress en lösenordsgenerator som kan skapa ett starkt lösenord för ditt konto. Du kan också skapa din egen så kommer WordPress att meddela dig att lösenordet är starkt eller svagt.
Om du anger ett svagt lösenord måste du bekräfta att du använder ett.
Tyvärr hindrar detta inte användare från att använda det. Istället måste du genomdriva starka lösenord med ett tillägg.
Till exempel skulle en sådan förlängning vara Hantering av lösenordspolicy. Detta ger dig möjligheten att förhindra användare från att skapa svaga lösenord och till och med tvinga dem att ändra befintliga lösenord.
Det lägger också till andra fantastiska lösenordsskydd som lösenordets utgångsdatum. Detta tvingar i huvudsak användaren att uppdatera sitt lösenord regelbundet, vilket rekommenderas var sjätte månad. Du kan också tillämpa olika regler för olika användarroller.
Många nybörjare undviker starka lösenord eftersom de är svåra att komma ihåg, men det försvagar den övergripande säkerheten på din webbplats. Om det är svårt att komma ihåg ditt lösenord, överväg att använda en lösenordshanterare för att enkelt logga in samtidigt som du behåller ett starkt lösenord.
Det är också värt att betona vikten av individuella lösenord. Återigen, många nybörjare gillar att använda samma lösenord för flera webbplatser. Tyvärr, om ett av dessa konton äventyras, försöker hackare vanligtvis komma åt informationen på andra populära plattformar som Amazon och så vidare.
Således bör ditt lösenord inte bara vara starkt, utan också unikt för varje webbplats.
3. Välj ett bra webbhotell
Din webbplats är bara lika säker som servern den är lagrad på, vilket innebär att webbhotellet du väljer har en enorm inverkan på din webbplats säkerhet. Lyckligtvis har de flesta webbhotell idag effektiva säkerhetsåtgärder på plats som kan hjälpa till att förhindra några av de vanligaste attackerna.
Till exempel, som GreenGeeks-kund, behöver du inte oroa dig för brute force-attacker.
Alla våra värdkonton är utrustade med WordPress Protect.
I grund och botten innebär en brute force attack att en hacker försöker bryta sig in i ditt inloggningsområde genom att ständigt gissa lösenord tills de kommer in. Vårt system upptäcker flera misslyckade inloggningar och börjar begränsa anslutningen de kommer från.
Som ett resultat kan attacken inte längre utföras och din webbplats kommer inte att drabbas av driftstopp eller prestandaproblem. Och detta är bara en av säkerhetsåtgärderna vi har vidtagit för att hålla de webbplatser vi driver säkra. Vi ser också till att dina filer, PHP-version och andra filer är uppdaterade.
Det viktigaste är att webbplatserna vi är värd för säkerhetskopieras regelbundet i händelse av en katastrof. Om din webbplats äventyras kan vi hjälpa dig att få saker att fungera igen och hitta eventuella bakdörrar som kan ha blivit kvar.
Webbhotell påverkar alltså inte bara din webbplatss prestanda direkt, utan påverkar också din säkerhet. Så se till att välja ett webbhotell av hög kvalitet, annars kommer din webbplats att lida mycket.
4. Aktivera tvåfaktorsautentisering (2FA)
Tvåfaktorsautentisering eller 2FA är en av de mest populära säkerhetsåtgärderna för att skydda konton. Som sådan stöder de flesta webbplatser det och tillåter användare att aktivera det på sina konton.
Det är säkert, lätt att använda och viktigast av allt, lägger till ett extra lager av säkerhet till inloggningsområdet.
Normalt när du loggar in anger du ett användarnamn eller e-postadress och ditt lösenord. När 2FA är aktiverat måste användarna tillhandahålla denna information och uppmanas sedan att ange ett engångslösenord. Detta lösenord kan komma från ett textmeddelande, e-post eller via en autentiseringsapp.
I grund och botten betyder detta att även om dina inloggningsuppgifter äventyras, skulle de fortfarande behöva ett engångslösenord som normalt kräver din smartphone. Tyvärr är 2FA inte inbyggt i WordPress, du måste installera ett plugin som Wordfence-setup för det.
Även om det finns många plugins som kan hjälpa dig att lägga till den här funktionen, WP 2FA plugin kan vara det enklaste att använda.
Det ger dig möjlighet att tvinga vissa användarroller att aktivera 2FA eller att göra det för alla konton. Den stöder de flesta autentiseringsappar som Google Authenticator, så användare kommer inte att ha några problem med att ställa in den.
Det är också värt att nämna att det faktiskt finns en ännu säkrare version som heter Multi-Factor Authentication (MFA). Detta är egentligen bara något att tänka på för ett administratörskonto, men det är identiskt med 2FA. Istället för att bara använda en extra säkerhetskod använder du flera.
Till exempel, efter att ha angett din inloggningsinformation behöver du en säkerhetskod från autentiseringsapplikationen och en från din e-postadress.
5. Installera SSL-certifikatet
Ett SSL-certifikat är en fil som lagras på din webbserver som verifierar att domänen som lagras på den servern matchar domännamnet i filen. Detta gör att besökaren kan upprätta en säker anslutning med dig. SSL säkerställer att dåliga aktörer inte kan läsa eller ändra informationen som överförs mellan besökaren och din webbserver.
Med andra ord låter den din webbplats kryptera kopplingen mellan besökaren och webbplatsen.
Lyckligtvis har SSL-certifikat blivit en standard och är nu obligatoriska för webbplatser. Om inte kommer webbläsare att informera användaren om att anslutningen inte är säker, vilket skrämmer de flesta användare.
Du kan identifiera ett SSL-certifikat om webbadressen har HTTPS.
Så hur får man ett SSL-certifikat i WordPress? Tja, det beror på ditt webbhotell. Till exempel, här på GreenGeeks tillhandahåller vi automatiskt gratis SSL-certifikat till våra kunder. En webbplats kan inte fungera utan den idag, så vi inkluderar den i våra planer.
Om din webbplats är äldre och inte har ett SSL-certifikat installerat från början, kontakta din ISP så kan de lägga till ett åt dig. Det är en enkel sak och kan hjälpa till att skydda din webbplatsdata.
För att inte tala om, att inte ha en sådan kommer att förstöra din webbplatss SEO-insatser, eftersom sökmotorer som Google inte vill rekommendera webbplatser som inte anses vara “säkra”.
6. Ändra administratörens användarnamn
När WordPress först installeras på din webbserver skapas ett standardadministratörskonto. Och användarnamnet för det administratörskontot är “Admin”. Även om detta kanske inte låter särskilt oroande, säger jag det på ett annat sätt. Hackare, vet nu vad ditt administratörsanvändarnamn är.
Åtminstone var det så förr. WordPress har upptäckt det här problemet, så nya installationer av WordPress kräver nu faktiskt att du väljer ett unikt administratörsanvändarnamn. Men om du använde WordPress-installationen med ett klick kan du fortfarande stöta på det här problemet.
För att inte tala om, om din webbplats är på den äldre sidan och du aldrig ändrat användarnamnet, kan det fortfarande vara Admin.
Därför bör du ändra standardadministratörens användarnamn så snart som möjligt. Du kan dock inte ändra standardanvändarnamnet för WordPress. Istället måste du vara lite kreativ för att lösa det här problemet, men var säker, det är faktiskt ganska enkelt.
Det finns några sätt du kan ändra ditt adminanvändarnamn i WordPress.
Det första är att helt enkelt skapa ett nytt administratörskonto med ett unikt användarnamn och ta bort det gamla. Du kanske tror att du missar något, men det är du inte. Data lagras på webbservern, inte kontot, så detta är säkert, speciellt om du precis har skapat en ny webbplats.
Om du har skapat några inlägg under det administratörskontot måste du lägga lite tid på att byta författaren till det nya kontot.
Ett annat sätt är att komma åt din webbplats databas och ändra användarnamnet inuti. Det är lite mer komplicerat, men har samma resultat.
Det sista sättet är att bara använda plugin. Detta är ett vanligt problem, så det finns flera plugins som kan ändra användarnamnet i WordPress.
7. Ge användarna tillgång till endast det de behöver
WordPress använder användarrollsystemet för att definiera vad varje användare har tillgång till. Ett administratörskonto har tillgång till allt på webbplatsen utan begränsningar. Som sådan är det den mest kraftfulla användarrollen i systemet och bör endast vara i händerna på webbplatsägare.
Det är dock inte den enda användarrollen. Som standard inkluderar användarrollshierarkin:
- Administratör
- Leverantör
- Faktor
- Deltagare
- Abonnent
Jag kommer inte att förklara vad var och en gör här, men om du är intresserad har vi en fullständig guide om det. Att tilldela fel användare en roll med för mycket kraft kan allvarligt skada din webbplats och öppna dörren för skadliga attacker.
Till exempel kan det tyckas vara en bra idé på papper att låta författare redigera inlägg så att de kan göra korrigeringar, men vad hindrar den här utomstående från att lägga till svordomar, SEO-omdirigeringar och mer i ditt inlägg utan din vetskap? Ingenting.
Det är också viktigt att notera att många plugins lägger till sina egna användarroller till systemet på en plugin-specifik basis.
Det rekommenderas starkt att skapa anpassade användarroller som bara ger användarna de behörigheter de behöver. Om de saknar något kan de kontakta dig för att få tillgång.
Även om du kan använda kod för att anpassa vilka användarroller som har åtkomst, skulle det enklaste alternativet vara att använda en plugin. Ett av de bästa alternativen skulle vara Redaktör för användarroll ansluta. Som namnet antyder låter det dig ändra vad en användarroll kan göra och till och med skapa nya.
Avancerade informationssäkerhetslösningar
Följande alternativ är lite mer involverade, men jag använder termen “avancerat” lite löst eftersom alla kan göra dessa steg. De kräver vanligtvis att du konfigurerar ett plugin eller lägger till en kodrad någonstans.
Hur som helst, låt oss gå rakt på sak med inlägget du förmodligen har väntat dig.
8. Installera säkerhetstillägget
Många människor skyndar sig ofta för att installera ett säkerhetsplugin, och även om detta är en bra sak, utan några av de andra stegen vi har nämnt hittills, skulle det lämna luckor i din webbplats säkerhet. Jag tycker dock att det här är ett riktigt bra tillfälle att installera ett säkerhetsplugin.
När det kommer till WordPress säkerhetsplugin finns det ingen brist på alternativ.
Å ena sidan är detta bra eftersom det finns många alternativ, men å andra sidan är detta ett problem eftersom du har många alternativ att välja mellan. Du måste gå igenom lite för att hitta ett verktyg som passar det du letar efter.
Även om du är fri att välja vilket säkerhetsplugin som helst, rekommenderar jag det personligen Wordfence säkerhet ansluta.
För det första är plugin gratis att använda. Du får ett komplett säkerhetssystem för din webbplats med alla klockor och visselpipor gratis.
När det kommer till funktioner är detta plugin laddat. Låt oss börja med Wordfence-brandväggen. Det förhindrar skadlig trafik från att komma in på din webbplats och förhindrar även brute force-attacker innan de inträffar. Det finns också en skanning av skadlig kod som skannar alla dina kärnfiler.
Den har också flera funktioner som förbättrar säkerheten för ditt inloggningsområde, som att aktivera CAPTCHA-skydd för att förhindra bots eller 2FA, som vi pratade om tidigare. Du kan också blockera individuella användares IP-adresser eller IP-adresser från länder.
Sammantaget är det ett bra plugin som ger ett gäng säkerhetsfunktioner för WordPress.
9. Montera säkerhetskopior
Hittills har vi pratat om sätt att förhindra en attack, men hur återhämtar man sig när den gör det?
Tyvärr, även om du gör allt rätt, är det fortfarande möjligt att din datasäkerhet kommer att äventyras någon gång, och kanske ett av de mest kraftfulla verktygen som finns är en säkerhetskopia.
En säkerhetskopia är en kopia av din webbplats, vanligtvis lagrad på en annan plats. Många webbvärdar säkerhetskopierar automatiskt din webbplats, så du kanske redan har tagit hand om detta för GreenGeeks-kunder.
Det rekommenderas dock alltid att du aldrig förlitar dig enbart på ett webbhotell. Istället bör du ha en extra säkerhetskopieringslösning.
Lyckligtvis har WordPress många bra backup-plugins att välja mellan. Dessa tillägg erbjuder vanligtvis flera lagringsplatser i molnet eller sina egna personliga servrar. I andra fall kommer tillägget att generera en säkerhetskopia och komprimera den för lagring på din dator eller hårddisk.
De flesta backup-plugins låter dig välja exakt vilka filer du vill säkerhetskopiera och stöder automatiska backuper. Du kan välja hur ofta säkerhetskopieringar ska göras och hur många säkerhetskopior som ska sparas samtidigt.
Det viktigaste du behöver komma ihåg är att du aldrig lagrar en säkerhetskopia på din webbserver.
Om din webbplats äventyras har hackare tillgång till alla dina filer, inklusive din säkerhetskopia. Istället bör de lagras antingen i molnet eller på en annan enhet så att de alltid är tillgängliga. Och viktigast av allt, se till att de är uppdaterade.
Lyckligtvis har molnlagring blivit ganska billig nu för tiden, och det finns flera gratisalternativ tillgängliga. Vissa plugins skickar automatiskt säkerhetskopior till plattformar som Dropbox, Google Drive eller Microsoft OneDrive.
Se bara till att komprimera din säkerhetskopia, annars kan den vara för stor för att lagra till ett rimligt pris.
10. Uppdatera din PHP-version
WordPress-plattformen är skriven i PHP. Precis som du uppdaterar dina kärnfiler, plugins och teman, måste din PHP-version också uppdateras. Dessa uppdateringar innehåller ofta säkerhetskorrigeringar för att skydda din webbplats, så det är viktigt att hålla sig uppdaterad med dem.
Det som dock gör detta lite mer avancerat är att du inte kan uppdatera PHP-versionen manuellt i WordPress.
Istället måste du välja din PHP-version från ditt webbhotellkonto. Det är inte svårt, men vissa nybörjare kan kämpa för att hitta det.
Logga bara in på ditt webbhotellkonto och använd cPanel. Därifrån hittar du avsnittet Programvara och väljer alternativet Välj PHP-version.
Det finns en lång lista med PHP-plugins som du inte behöver oroa dig för som nybörjare. Istället är din nuvarande PHP-version högst upp. Du kan välja den senaste versionen från rullgardinsmenyn.
Det är värt att notera att de flesta webbhotell inte har din webbplats som kör den senaste versionen av PHP. Av denna anledning, även om ditt konto just har konfigurerats, kan du förmodligen byta det till den senaste versionen av PHP.
Den främsta anledningen är att den senaste versionen ibland kan bryta WordPress-applikationer när den är helt ny. Detta händer om utvecklaren inte tar hänsyn till förändringarna i PHP-miljön.
Så behåll alltid en säkerhetskopia och var redo att ångra ändringen om det behövs.
11. Ändra standarddatabasprefixet
Om du någonsin har tittat på dina WordPress-filer, kanske du har märkt att de alla har ett “wp-“-prefix i varje fil. Detta görs som standard när WordPress är installerat. Som du kanske gissar, om det är standardalternativet betyder det att hackare vet vad de letar efter.
Som sådan kan en ändring av detta prefix hjälpa till att skydda dina WordPress-filer genom att göra dem svårare att identifiera.
Detta är inte svårt att göra och du behöver bara ändra tabellprefixet i PhpMyAdmin-området i cPanel. Du hittar tydliga instruktioner i vår kompletta guide.
Du kan använda bokstäver, siffror och understreck när du skapar ett nytt prefix. Även om du kan skapa ett mycket långt och invecklat prefix, bör du inte göra det.
Tänk på att du förmodligen kommer att behöva använda dessa filer, så att identifiera dem är ett tveeggat svärd. Istället, bara att ersätta dessa “wp-” med något enkelt som “q223” eller något godtyckligt kommer att få jobbet gjort.
Även om detta gör det svårt att snabbt hitta nyckelfilerna, hindrar det inte hackare från att hitta filerna.
12. Dölj WordPress-versionen från användargränssnittet
Har du någonsin tittat på en webbplats och märkt en liten ansvarsfriskrivning längst ner som talar om för användarna vilken version av WordPress eller vilket CMS de använder? Detta kan verka ofarligt, men det är faktiskt ett stort säkerhetsbrist.
Låt oss säga att din webbplats inte har uppdaterats och kör en äldre version av WordPress. Tja, genom att berätta för en hackare exakt vilken version av WordPress du kör, kan han snabbt leta efter säkerhetsfördelar i de äldre versionerna.
Uppenbarligen är detta ingen bra idé. WordPress visar faktiskt inte denna information som standard. Istället är det ditt tema.
Lyckligtvis, om du upptäcker att ditt tema gör detta, finns det ett enkelt sätt att fixa det. Allt du behöver göra är att komma åt det temats functions.php-fil och lägga till följande kodrad till den:
remove_action(‘wp_head’, ‘wp_generator’);
Detta tar helt enkelt bort versionsmeddelandet på skärmen. I sällsynta fall kan det här inlägget vara låst bakom att betala för Pro-versionen av temat. I det här fallet är dina alternativ att antingen betala för det eller hitta ett annat tema.
13. Ändra din inloggningsadress för WordPress
WordPress-inloggningsområdet är som ytterdörren till ditt hem. Och jag slår vad om att du inte lämnar ytterdörren olåst när du går till affären. På samma sätt måste du låsa ditt inloggningsområde i WordPress.
Problemet är att alla vet vad standardinloggningsadressen är i WordPress, men som du redan har gissat kan vi ändra den.
Även om du kan redigera WordPress-koden bakom för att justera detta, är ett mycket enklare sätt att använda WPS Hide Login-plugin. Med detta anger du helt enkelt en ny inloggnings-URL och konfigurerar en omdirigering när användare försöker komma åt den gamla.
Till exempel, istället för www.OmaDomain.com/login kan du göra det till www.OmaDomain.com/ovi. Du kan göra det vad du vill, men undvik att använda befintliga sidor för det.
När det gäller omdirigeringen, skicka dem till en 404-sida och nämn inte den faktiska inloggningsadressen.
Om du letar efter mer information, kolla in vår kompletta guide om hur du döljer webbadressen till ditt inloggningsområde.
14. Eliminera PHP-felmeddelanden
Om en PHP-webbplats stöter på ett fel kommer den faktiskt att visa vad felet är på webbplatsen. Eftersom WordPress är skrivet i PHP, visar det naturligtvis även dessa meddelanden. Även om detta är användbart för utvecklare som försöker identifiera problemet, är det egentligen inte information som den genomsnittliga användaren, än mindre en hackare, behöver se.
Som jag har sagt i flera andra tips på den här listan är det ingen bra idé att ge hackare mer information att arbeta med.
Dessa meddelanden ska inte vara på som standard, men de kan aktiveras om du aktiverar felsökningsläge. Lyckligtvis kan du lösa detta problem ganska enkelt genom att lägga till några rader kod.
Även om det finns flera sätt att uppnå detta, tror jag att den enklaste lösningen är att lägga till följande rader i din wp-config-fil:
ini_set(‘display_errors’,’Av’); ini_set(‘error_reporting’, E_ALL ); define(‘WP_DEBUG’, false); define(‘WP_DEBUG_DISPLAY’, false);
Detta kommer att avsluta felsökningsläget och förhindra att PHP-fel visas på din webbplats. Om du behöver se felen kan du fortfarande se dem genom att se PHP-fel i cPanel.
Det här är en utmärkt resurs för att felsöka problem, men kräver lite kodkunskap för att verkligen dra nytta av det.
15. Växla från FTP till SFTP
Det finns flera sätt att komma åt filer på din webbplats, och ett av de mest populära alternativen är att använda File Transfer Protocol (FTP).
Enkelt uttryckt kan du överföra filer mellan två enheter, så att du enkelt kan ladda upp eller ladda ner filer från din webbserver.
Secure File Transfer Protocol eller SFTP är helt enkelt en säkrare variant av FTP.
Den största skillnaden mellan de två är att SFTP använder en säker envägskanal för att ansluta enheter. I grund och botten gör detta det omöjligt för någon annan att använda den anslutningen för att visa, ladda ner eller redigera filer. Därför är det mycket säkrare.
I vissa fall använder din webbvärd faktiskt en SFTP-server, vilket är vad vi gör på GreenGeeks. Detta säkerställer att din data alltid är säker från nyfikna ögon för bästa möjliga användarupplevelse.
Det här är bara ett exempel på hur viktig ditt webbhotell är för säkerheten på din WordPress-webbplats.
Vanliga frågor om WordPress säkerhet
Även om vi har täckt många WordPress-säkerhetstips idag, är det bara naturligt att du kanske har några kvardröjande frågor. Här är några av de vanligaste frågorna om WordPress-säkerhet.
Är det en bra idé att logga ut oanvända användare?
Många banker, värdepappersföretag och andra mycket känsliga företag använder denna åtgärd för att skydda konton från åtkomst om användaren går bort från datorn. Det är inte nödvändigt för de flesta vanliga webbplatser, men det kan förbättra säkerheten.
Ska min webbplats använda CAPTCHA för att skydda mot bots?
CAPTCHA är ett säkerhetssystem utformat för att säkerställa att den nuvarande användaren är mänsklig. Det gör det genom att be användaren att lösa något slags pussel, som att känna igen text, hitta något i en bild eller något liknande. Det är effektivt i vad det kan göra, men kan irritera användare.
Av denna anledning är det bäst att hålla det enkelt om det är aktiverat på din WordPress-webbplats. De flesta säkerhetsplugins inkluderar det.
Är premiumsäkerhetsplugins värda priset?
I allmänhet erbjuder premiumplugins fler funktioner än deras gratis motsvarigheter, vilket gör dem till ett bättre alternativ i de flesta fall. Även om det finns bra säkerhetsplugins som du kan använda gratis, erbjuder premiumversionen vanligtvis bättre skydd, så det är vanligtvis värt priset.
Vad gör jag om min webbplats har blivit hackad?
Börja med att ändra alla dina lösenord på hemsidan. Använd sedan pre-hack backup för att återställa din webbplats och börja söka efter skadlig programvara med säkerhetsplugin. Du kan också kontakta ditt webbhotell för att få hjälp, eftersom många har skannrar om skadlig programvara som du kan begära.
Är WordPress en säker plattform?
Absolut! WordPress i sig är ganska säkert och lappar hela tiden säkerhetshål. Anledningarna till att hacka en webbplats har vanligtvis ingenting att göra med vilket innehållshanteringssystem de väljer. Detta orsakas ofta av verktyg från tredje part eller mänskliga fel.
Inriktar sig hackare alltid på administratörskontot?
Nej. I de flesta fall tillhör de flesta intrångade konton normala användare på grund av svaga lösenord eller lösenord som äventyrats på en annan webbplats. Hackare kommer att rikta sig mot alla sårbarheter och inte bara toppen.
Skyddar dessa säkerhetsåtgärder mitt innehåll från plagiat?
Nej. Säkerhetsåtgärderna i den här guiden fokuserar på att skydda din webbplats och relaterade konton. Att upphovsrättsskydda ditt innehåll är en annan form av skydd, och om du är intresserad kan du ta en titt på vår kompletta guide till upphovsrättsskydd för ditt innehåll.
WordPress säkerhetschecklista
Med vår lista komplett, låt oss ta en titt på allt du behöver göra för att säkra din WordPress-webbplats:
- Uppdatera plugins, teman och WordPress Core
- Använd starka lösenord
- Välj ett bra webbhotell
- Aktivera 2FA
- Installera ett SSL-certifikat
- Ändra administratörens användarnamn
- Definiera användarroller korrekt
- Installera säkerhetstillägget
- Montera backupen
- Uppdatera din PHP-version
- Ändra databasprefixet
- Dölj din version av WordPress
- Ändra inloggningsadressen
Om du kan göra allt detta kommer din webbplats att vara skyddad från 99,9 % av hoten. Du kan aldrig vara 100% säker, men detta gör att du kan sova lugnt och veta att din WordPress-webbplats är säker. Detta ger dig mer tid att oroa dig för ditt nästa innehåll.
Förbättra din WordPress-säkerhet idag
Som du kan se finns det många steg som webbplatser kan vidta för att säkra din WordPress-webbplats idag. Även om det kan verka lite överväldigande till en början, realistiskt sett kan du förmodligen gå igenom den här checklistan på mindre än en timme utan alltför mycket problem.
De flesta av stegen innebär att ändra standardinstallationsinformationen för WordPress, som erfarna hackare ofta letar efter. Det förmodligen mest tidskrävande på den här listan skulle vara att välja och ställa in ett bra säkerhetsplugin.
Men om du följer min Wordfence-rekommendation kommer du inte att ha några problem.
Kom bara ihåg att du också bör överväga användarupplevelsen när du lägger till några av dessa funktioner. Du kan enkelt hämma upplevelsen, vilket kan leda till att många användare letar någon annanstans efter sitt innehåll. Testa alltid allt ur en vanlig besökares synvinkel.
Vilket säkerhetsplugin använder du i WordPress? Har din webbplats någonsin blivit hackad?