Vill du säkra din WordPress-webbplats från hackare?
WordPress-säkerhet är inte bara ett alternativ. Det är nödvändigt att skydda din webbplats från säkerhetsrisker som skadlig kod, skadlig kod, bots och mycket mer.
Varje vecka svartlistar Google över 10 000+ webbplatser dagligen för skadlig programvara och uppåt 50 000 för nätfiske. Så om du menar allvar med att hålla din webbplats säker har du kommit rätt.
I den här WordPress-säkerhetsguiden visar vi dig hur du säkrar din WordPress-webbplats från de flesta säkerhetsproblem.
Kan WordPress vara säkert?
WordPress kan vara ett säkert innehållshanteringssystem (CMS) om du vidtar nödvändiga säkerhetsåtgärder för webbplatsen. Nedan kommer vi att dela med oss av de viktigaste säkerhetsåtgärderna för webbplatsen att vidta och förklara varför det är viktigt för din företagswebbplats.
Grunderna i WordPress säkerhet
Låt oss börja med att förstå varför det är viktigt att hålla din WordPress-webbplats säker för din framgång och hur man implementerar några grundläggande säkerhetsåtgärder.
Först kan du fråga dig själv varför är WordPress-säkerhet viktigt?
1. Förstå varför WordPress-säkerhet är viktigt
Föreställ dig att vakna upp en dag och upptäcka att din WordPress-webbplats äventyras. Allt som jobbar med att bygga en professionell företagswebbplats, blogg eller e-handelswebbplats krossas av irriterande hackare.
Hackare kan introducera säkerhetsbrister som inte bara skadar ditt företags intäkter och rykte. De kan också stjäla personlig information, såsom lösenord och kreditkortsuppgifter, och installera skadlig programvara som skickar skadlig programvara till dina användare.
Vad värre är är att du kan bli offer för att betala ransomware för att återfå åtkomst till din webbplats.
Om din webbplats är ett företag och du vill undvika den mardrömmen måste du vara mer uppmärksam på din WordPress-säkerhet. Det börjar med den enkla övningen att hålla din kärnversion av WordPress uppdaterad.
2. Håll WordPress Core-filer uppdaterade
Eftersom WordPress är öppen källkod underhålls och uppdateras det regelbundet. Din standardinstallation av WordPress kommer automatiskt att installera mindre uppdateringar, men du måste uppdatera WordPress till den senaste versionen för större utgåvor manuellt.
På samma sätt har WordPress tusentals plugins och teman. Utvecklarna av dessa tredjepartsverktyg släpper också regelbundna uppdateringar.
Dessutom innehåller uppdateringar ofta säkerhetskorrigeringar som åtgärdar sårbarheter. Så det är viktigt att uppdatera dina WordPress-plugins och teman ofta för att säkerställa din webbplats stabilitet och säkerhet.
3. Ta bort oanvända teman och plugins
Förutom att hålla dina plugins och teman uppdaterade, bör du också ta bort alla du inte längre använder.
Att ha onödiga teman och plugins är som att lämna dina oanvända husdörrar olåsta. Det erbjuder en bakdörr för hackare att få tillgång, så bli av med allt du inte behöver.
4. Använd starka lösenord och behörigheter
Några av de vanligaste WordPress-hackningsförsöken använder stulna användarnamn och lösenord för att få tillgång till en webbplats. För att göra hackningsförsök svårare, använd starka lösenord som är unika för din WordPress-webbplats.
Detta gäller din WordPress-webbplats, värd, FTP-konton, företags e-postadress och mer.
Även om det är frestande att använda ditt husdjurs namn eftersom det är lätt att komma ihåg, är det också lätt att gissa.
Det bästa är att använda ett lösenord med minst 12 tecken. Dessa tecken ska ha stora och små bokstäver, symboler och bokstäver.
Många WordPress-användare undviker att skapa komplexa lösenord eftersom de är svåra att komma ihåg. Den goda nyheten är att du kan använda lösenordshanterare för att skapa och lagra starka lösenord på ett säkert sätt.
Ett annat viktigt tips är att hålla ditt WordPress-adminkonto privat. Om du har ett stort team som arbetar på din webbplats, eller flera WordPress-författare, kan du tilldela dem specifika användarroller och behörigheter innan de lägger till sina nya användarkonton.
5. Välj ett säkert WordPress-värdföretag
Ett annat grundläggande säkerhetssteg är att se till att du använder ett välrenommerat webbhotell. De bästa WordPress-värdleverantörerna, som Bluehost, SiteGround och Hostinger, är extra noga med att skydda sina servrar från säkerhetsintrång.
Ett bra WordPress-värdföretag kommer ofta att arbeta i bakgrunden för att skydda din webbplats med hjälp av följande åtgärder:
- Övervaka för misstänkt aktivitet
- Underhåll verktyg för att förhindra storskaliga DDOS-attacker
- Håll serverprogramvara, hårdvara och PHP-versioner uppdaterade
- Implementera återställnings- och olycksplaner för större incidenter
Många värdar erbjuder delade värdplaner där du delar webbserverresurser med andra kunder.
Eftersom detta kan riskera att hackare använder närliggande webbplatser för att attackera din, kan det vara bäst att använda hanterad WordPress-värd istället.
Hanterade WordPress-värdleverantörer som WPEngine har en säkrare plattform. De erbjuder också automatisk säkerhetskopiering, WordPress-uppdateringar och avancerad säkerhet.
Ingen kod WordPress säkerhetssteg
Vi förstår att det kan vara skrämmande att förbättra din WordPress-säkerhet, särskilt för nya webbplatsägare och nybörjare. Oroa dig inte; stegen nedan kräver ingen teknisk expertis.
Om några minuter är du på väg att stärka din WordPress-säkerhet utan att skriva kod.
6. Installera en WordPress-säkerhetskopieringslösning
Säkerhetskopiering av WordPress är ett av dina första skydd mot hackare. Om något hemskt händer låter de dig återställa din webbplats till det tidigare tillståndet.
De bästa WordPress backup-plugins har gratis och betalda versioner med ytterligare funktionalitet, såsom WordPress-databas och filöverföringar, återställningspunkter och e-postvarningar. Den viktigaste funktionen att leta efter är dock möjligheten att regelbundet utföra och spara säkerhetskopior på en avlägsen plats.
Leta efter säkerhetskopieringslösningar med lagring utanför webbplatsen på platser som Amazon, Dropbox eller privat molnlagring. Välj dessutom plugins som tillåter säkerhetskopieringar som passar ditt schema, till exempel en gång per dag eller realtidssäkerhetskopior.
Några populära backup-plugins med dessa funktioner inkluderar Dupliceringsapparat, UpdraftPlus, BlogVault och Jetpack VaultPress Backups. De är enkla att använda, pålitliga och kräver ingen kodning.
7. Välj det bästa WordPress-säkerhetsplugin
Efter att ha köpt en backuplösning är nästa uppgift att ställa in ett övervakningssystem för att spåra aktiviteten på din webbplats. Denna aktivitet kan innefatta misslyckade inloggningsförsök, övervakning av filintegritet, skanning av skadlig programvara och mer.
De flesta av dessa övervakningsuppgifter hanteras enkelt av Sucuri Scanner, det bästa gratis WordPress-säkerhetsplugin. När du har installerat och aktiverat Sucuri, navigera till Sucuri Säkerhet » Inställningar från din WordPress-instrumentpanel och klicka på fliken Härdning.
Gå nu igenom varje alternativ och klicka på Applicera härdning knapp.
Dessa inställningar hjälper till att låsa områden på din webbplats som hackare ofta använder i sina attacker. Det enda alternativet du behöver betala för att uppgradera är webbapplikationens brandvägg som vi kommer att förklara i nästa steg.
Andra alternativa WordPress-säkerhetsplugins inkluderar WordFence och iThemes Security.
8. Använd en brandvägg för webbapplikationer (WAF)
Att använda en brandvägg är ett effektivt sätt att blockera skadlig trafik innan den når din WordPress-webbplats, och det finns flera typer att välja mellan.
- Webbplatsbrandvägg på DNS-nivå: Leder webbplatstrafik genom molnproxyservrar och skickar endast äkta trafik till din webbserver.
- Applikationsnivå brandvägg: Undersöker trafik när den når din server men innan WordPress-skript laddas.
Som nämnts ovan är Sucuris brandvägg en robust lösning för detta. Sucuri hjälpte WPBeginner att blockera 450 000 attacker på 3 månadersom bevisar dess effektivitet.
Plugin-programmet kommer också med rensning av skadlig programvara och en garanti för borttagning av svartlista, så om du blir hackad när du använder dem kommer de att fixa din webbplats, inga frågor. Med tanke på att de flesta säkerhetsexperter tar ut cirka 250 USD per timme, är den här tjänsten en stjäla för endast 199 USD per år.
Förbättra din WordPress-säkerhet med Sucuri Firewall idag.
9. Växla från HTTP till SSL/HTTPS
Om du inte redan har gjort det är det ett avgörande nästa steg att lägga till SSL-kryptering på din WordPress-webbplats. SSL, förkortning för Secure Sockets Layer, krypterar dataöverföringar mellan din webbplats och besökarens webbläsare. Det gör det i princip svårare för hackare att stjäla information.
När SSL är aktiverat kommer din webbplats att använda HTTPS istället för HTTP. Det kommer också att finnas en hänglåsikon bredvid din adress i webbläsare.
SSL-certifikatpriserna sträcker sig från 80 till hundratals dollar årligen, vilket gör det till något som många webbplatsägare undviker. Men sedan Let’s Encrypt började erbjuda gratis SSL-certifikat, erbjuder många värdföretag dem som en del av sina planer.
Om ditt webbhotell inte erbjuder SSL kan du köpa en från domain.com. De har den mest pålitliga SSL-affären, med en säkerhetsgaranti på $10 000 och TrustLogo-säkerhetssigill.
Avancerade WordPress säkerhetstips
När du har bemästrat säkerhetsstegen ovan är det dags att gå upp i nivå. Det finns alltid mer du kan göra för att säkra din WordPress-webbplats, låt oss utforska några avancerade säkerhetsåtgärder.
Notera: Vissa av stegen nedan kan kräva kunskap om kodning.
10. Begränsa inloggningsförsök
För att ytterligare skydda din webbplats mot hotet om brute force-attacker kan du begränsa försök att logga in på WordPress. På så sätt, när någon anger fel lösenord upprepade gånger, låses de ute från din webbplats under en tid.
Ett sätt att implementera den här funktionen är att använda Begränsa inloggningsförsök laddade om plugin.
Den låter dig ange det maximala antalet felaktiga lösenord som tillåts innan du låser ut användaren och skickar e-post till dig när en inloggning misslyckas.
För fullständiga instruktioner om hur du konfigurerar detta plugin, kolla in den här guiden på hur man begränsar inloggningsförsök i WordPress.
11. Använd tvåfaktorsautentisering
Tvåfaktorsautentisering gör inloggningsprocessen för legitima användare mer komplicerad och irriterande och hjälper till att hålla oönskade från din webbplats.
Som namnet antyder kräver tvåfaktorsautentisering användare att slutföra två säkerhetssteg innan de kan använda webbplatsen. Det första steget är vanligtvis den traditionella namn/lösenordsutmaningen. Det andra steget innebär att ange en säkerhetskod som skickas till dem via sms eller annan säker enhet.
Många plugins låter dig ställa in tvåfaktorsautentisering, till exempel gratis WordPress Two Factor Authentication-plugin.
När du har installerat och aktiverat plugin-programmet klickar du på Two Factor Auth länken i din WordPress-admin, som avslöjar en engångsinstallationskod.
Installera och öppna sedan en autentiseringsapp på din telefon, till exempel Google Authenticator, och klicka på plusikonen för att lägga till en ny kod.
Därifrån kan du skanna QR-koden på insticksprogrammets inställningssida för att slutföra installationen.
Nästa gång du loggar in på din WordPress-webbplats kommer den att be dig om tvåfaktors autentiseringskoden efter att du har angett ditt lösenord.
12. Göm din WordPress-inloggningssida
Nästan alla hackare vet att en WordPress-adminsida vanligtvis nås genom att lägga till /wp-admin efter domännamnet. Om ditt domännamn till exempel är xyz.com, nås din administratörssida förmodligen av följande URL: http://xyz.com/wp-admin.
De vet också att namnet på inloggningssidan är wp-login.php.
Lyckligtvis kan du ändra på det. Plugins, som t.ex WPS Dölj inloggninglåter dig anpassa din inloggningsadress.
Det blir mycket svårare för hackare att bryta sig in i ditt system om de inte hittar din inloggningssida. Du kan också följa den här guiden om hur du ändrar din inloggningsadress för WordPress.
13. Ändra ditt standardanvändarnamn för administratör
På samma sätt kan din WordPress-installation ge administratörskonton användarnamnet “admin”. Det är bäst att ändra detta namn så snart som möjligt eftersom hackare är bekanta med det och kan prova ett “brute force”-hack (försöker olika lösenord upprepade gånger) med det användarnamnet.
Många värdleverantörer är medvetna om denna potential för en attack och undviker som ett resultat att skapa administratörskontot med namnet “admin”. Det är dock fortfarande värt att kontrollera för att förbättra din säkerhet.
14. Ge administratörsåtkomst via IP
Om du är den enda som har behörighet att utföra administrativa uppgifter på din WordPress-webbplats, kan du också begränsa administrativ åtkomst med IP-adress.
Din IP-adress är en kvartett av siffror som identifierar dig online. Se det som din digitala adress.
Med detta i åtanke kan du bara säga åt WordPress att tillåta personer att komma åt administratören om de har en specifik IP-adress. Det betyder att hackare som försöker komma åt din webbplats från någon annan IP kommer att misslyckas.
För att implementera denna säkerhetsfunktion, gå till whatismyip.com för att upptäcka din IP-adress. Sedan måste du ändra din .htaccess-fil i din värdleverantörs adminkatalog för att göra säkerhetsändringen.
Om du inte vet hur du gör det, ring ditt webbhotells tekniska supportlinje och be en tekniker att göra det åt dig.
Specifikt vill du att något som ser ut så här läggas till i filen:
Byt ut “xxx.xxx.xxx.xxx” med IP-adressen du såg på whatismyip.com. När det är gjort och filen har sparats kan bara personer med den specifika IP-adressen komma åt din WordPress-administratör.
Notera: Din Internetleverantör (ISP) kommer ibland att ändra din IP-adress. Om det händer kommer du att stängas ute från din webbplats. Lösningen är att ringa teknisk support och be en tekniker att uppdatera IP-adressen därefter. Gör detta på egen risk.
15. Inaktivera XML-RPC i WordPress
ML-RPC är en funktion som introduceras i WordPress 3.5 som hjälper till att koppla ihop din WordPress-webbplats med webb- och mobilappar. Men på grund av hur kraftfull den är kan den också förstärka brute-force attacker.
Till exempel, tidigare, om en hackare ville prova 500 olika lösenord, måste de göra 500 inloggningsförsök som insticksprogrammen för gränsinloggning vanligtvis skulle fånga. Men med XML-RPC kan hackare använda system.multicall-funktionen för att prova tusentals lösenord med färre förfrågningar.
Följaktligen, om du inte använder XML-RPC, är det bäst att inaktivera det. För fullständiga instruktioner, se denna guide på hur man inaktiverar XML-RPC i WordPress.
16. Inaktivera filredigering
WordPress har en inbyggd kodredigerare som låter dig redigera WordPress-tema och plugin-filer från ditt WordPress-administratörsområde. I fel händer kan den här funktionen riskera säkerheten för din webbplats, varför det är bäst att stänga av den.
Du kan göra detta enkelt genom att lägga till följande kod till din wp-config.php-fil.
Alternativt kan du stänga av filredigering med hjälp av härdningsfunktionen i den kostnadsfria Sucuri-plugin som nämndes tidigare.
17. Skanna din WordPress-webbplats efter skadlig programvara
Du har förmodligen redan ett antivirusprogram på din dator som skannar din hårddisk efter potentiella hot. Om du har ett WordPress-säkerhetsplugin installerat kommer det rutinmässigt att kontrollera din webbplats för säkerhetsintrång och skadlig programvara.
En plötslig nedgång i din webbplatstrafik eller sökmotorrankning kan dock tyda på att något är fel, och du bör göra en manuell genomsökning. Du kan använda ditt WordPress-säkerhetsplugin eller skadlig programvara och säkerhetsskanner för detta.
Att köra en onlineskanner är enkelt. Ange bara webbadresserna till din webbplats så genomsöker skannern din webbplats och letar efter skadlig kod och skadlig kod.
Även om dessa skannrar kan skanna din webbplats, kan de inte ta bort skadlig programvara eller rensa en hackad webbplats.
Nästa steg
Vi hoppas att du tyckte att den här guiden om hur du säkrar din WordPress-webbplats från hackare var hjälpsam. Din WordPress-webbplats är lika känslig för intrång som vilken annan webbplats som helst på webben, men du kan minska risken för en attack genom att följa de bästa WordPress-säkerhetsmetoderna.
För ytterligare läsning, kolla in följande handledningar och guider:
Tack för att du läser! Vi vill gärna höra dina tankar, så lämna gärna en kommentar med frågor och feedback.
Du kan också följa oss på Youtube, X (tidigare Twitter)och Facebook för mer användbart innehåll för att få ditt företag att växa.
Stacey har skrivit om WordPress och digital marknadsföring i över 10 år och om andra ämnen mycket längre. Vid sidan av detta är hon fascinerad av webbdesign, användarupplevelse och SEO.