Når din hjemmeside eller webshop har udgangspunkt i WordPress, er det vigtigt at være klar over, at der løbende findes sårbarheder i softwaren (core, temaer, plugins), og at man kan gøre sit for at undgå, at det disse sikkerhedshuller udnyttes på ens side.
Denne artikel bør du derfor gennemgå hvis din side er lavet med WordPress, og/eller gennemgå den i samspil med den hjemmeside-ansvarlige. Vi gør her opmærksom på helt elementær sikkerhed i WordPress, og den ansvarlige for din side, bør kunne berolige dig med, at der er taget højde for hvad denne artikel gennemgår.
Vigtigt – Netsites webhotel-platform tager daglig backup af din hjemmeside, inklusiv eventuelle databaser. Det er muligt at få gendannet fra denne backup (30 dage tilbage i tiden), hvilket er en betalingsopgave, som udføres af en tekniker fra Netsite.
Med et Medium‐ eller Largesite webhotel, har du selv direkte adgang til samme backup via FTP, og kan derfor selv udføre gendannelse efter kunnen og behov.
Inden du selv laver større opdateringer af WordPress selv (core), temaer eller plugins, kan du med fordel tage et aktuelt øjebliksbillede (backup) af din hjemmeside med plugins som UpdraftPlus eller Duplicator.
Anbefalinger
- Vælg temaer & plugins med omhu
- Slet ikke-aktive temaer & plugins der ikke bruges
- Slet ikke-aktive brugere & brug kun stærke adgangskoder
- Vær generelt opmærksom på opdateringer til WordPress
- Sæt eventuelt temaer til automatisk at blive opdateret
- Sæt plugins til automatisk at blive opdateret
- Suppler med et sikkerhedsplugin
- Hav ikke gamle/inaktive WP-installationer liggende
Vælg temaer & plugins med omhu
Det er normalt, efter installationen af WordPress på ens webhotel, at man supplere med et ønsket tema, og plugins der opfylder ens behov for ekstra funktionalitet.
Men for ens sides sikkerheds skyld, er en tommelfingerregel man bør følge, kun at bruge populære, og dermed veletablerede temaer og plugins. At temaer og plugins er veletablerede, betyder som regel at sikkerhedshuller vil blive løst, og løst hurtigt, af de ansvarlige for softwaren.
Normalt tilføjes temaer og plugins direkte til ens side via WordPress-kontrolpanelet - Både i kontrolpanelet og på https://da.wordpress.org/plugins/ og https://da.wordpress.org/themes/ kan du se om et tema/plugin er "populært":
For begge dele skal man særligt kigge efter hvilken bedømmelse et tema/plugin har (og normalt ikke bruge noget med under 4 stjerner), men antal bedømmelser er ligeledes vigtige her. Antallet af bedømmelser bør som regel være "højt", hvis også aktive installationer er (500.000+). Og netop aktive installationer er vigtigt, da det viser dig, hvor mange andre sider der bruger dette plugin - F.eks. må man sige at 500.000 aktive installationer er en form for blåstempling.
Derudover kan man tillægge et tema/plugin yderligere værdi, hvis Senest opdateret ikke halter med mere end 6 måneder, hvilket også indikerer, at det er testet med seneste version(er) af WordPress.
Dertil kan det siges, at der bestemt også er god værdi i at betale for "pro" versioner af populære temaer/plugins, da det som regel giver bedre support, løbende (software) opdateringer og flere features.
Anbefalet – Taget i betragtning egen WordPress-kunnen, behov og budget, anbefaler vi så vidt muligt, at du har en service/opdateringsaftale med den ansvarlige for din WordPress-hjemmeside. På den måde er du af med "hovedpinen", der ligger i at opnå balancegang mellem at ens hjemmeside altid er up-to-date i forhold til opdateringer, men også platform-kompatibilitet, og altså processen hertil.
Slet ikke-aktive temaer & plugins der ikke bruges
Temaer i WordPress du ikke bruger til din side bør slettes, og det samme gælder deaktiverede plugins/plugins der ikke bruges men er aktive. Eventuelle sikkerhedshuller i dem kan potentielt udnyttes også selvom deres status ikke er aktiv.
Hav derfor kun tilføjelser installeret, som din side aktivt gør brug af. Slet temaer
- Log på WordPress - Normalt via https://eksempel.dk/wp-login.php hvor eksempel.dk erstattes af dit eget domæne - og klik på Udseende > Temaer i hovedmenuen til venstre.
- Temaer der ikke bruges, kan fjernes ved at du klikker på det ikke-aktive tema (Tema-detaljer), og klikker på Slet i bunden til højre.
Bemærk – I nogle tilfælde vil du gøre brug af både et "Parent Theme" og et "Child Theme" - Det vil du normalt være klar over, hvis du selv har opsat dit tema, og i så fald, skal det inaktive tema af de to relaterede temaer ikke slettes under en oprydning. Se evt. https://developer.wordpress.org/themes/advanced-topics/child-themes/
Slet plugins
- Log på WordPress - Normalt via https://eksempel.dk/wp-login.php hvor eksempel.dk erstattes af dit eget domæne - og klik på Plugins i hovedmenuen til venstre.
- Et plugin som er deaktiveret, kan i oversigten fjernes, ved at man klikker på Slet.
Slet ikke-aktive brugere & brug kun stærke adgangskoder
Brugere med adgang til din WordPress-side findes på https://www.eksempel.dk/wp-admin/users.php eller via WordPress hovedmenu > Brugere.
Vær opmærksom på hvilke brugere der er oprettet her, og sørg for at listen altid er up-to-date - Kræv også at brugerne har stærke adgangskoder, som WordPress kan være med til at sætte - F.eks. er A&DU1kXXx&ee6JxjA6!6UqC) en stærk adgangskode, foreslået af WordPress.
I oversigten Brugere, kan en bruger nemt slettes ved at holde musemarkøren over brugeren, og klikke på Slet. Du kan også her klikke på Rediger og give brugeren en ny adgangskode.
Vær generelt opmærksom på opdateringer til WordPress
En oversigt over opdateringer til WordPress, temaer og plugins kan altid findes på https://www.eksempel.dk/wp-admin/update-core.php eller via WordPress hovedmenu > Kontrolpanel > Opdateringer
Grundlæggende opdaterer WordPress sig selv: "Dette websted vil automatisk blive opdateret med hver ny version af WordPress." - Her kan man skifte til "Skift kun til automatiske opdateringer for vedligeholdelse- og sikkerhedsopdateringer.", men det anbefaler vi ikke, med mindre du/din webudvikler har et kontinuerligt fokus på de generelle opdateringer der kommer til WordPress, og sørger for at de manuelt installeres.
Sæt eventuelt temaer til automatisk at blive opdateret
WordPress-sider med temaer, hvor man stort set har holdt sig til det installerede, og ikke modificeret siden med helt særlig opsætning, bør et tema som regel sættes til at blive opdateret automatisk - Det medfører, at hvis et kendt sikkerhedshul i et tema lukkes af udvikleren, kommer denne rettelse direkte til din side, og tiden, hvor denne sårbarhed kan udnyttes, reduceres maksimalt.
- Log på WordPress - Normalt via https://eksempel.dk/wp-login.php hvor eksempel.dk erstattes af dit eget domæne - og klik på Udseende > Temaer i hovedmenuen til venstre.
- Klik på dit aktive tema (Tema-detaljer), og klik herefter på Aktiver autoopdateringer under temaets navn.
Bemærk - I nogle tilfælde, f.eks. med et WordPress "framework" som Gensis, kan det omvendt være bedst, ikke at lade Genesis opdatere sig selv, da det kan medføre ændringer til din side, som direkte påvirker hjemmesidens funktionalitet.
Her skal man i stedet aktivt følge med i Genesis' udvikling, og planlægge at få det opdateret, særligt når der kommer sikkerhedsrettelser til temaet.
Ydermere er det ikke alle temaer som er omfattet af den indbyggede opdateringsfunktion i WordPress - Det kan især gælde købte temaer. Følg derfor altid med i udviklingen af det tema du køber/bruger, f.eks. via nyhedsbreve.
Sæt plugins til automatisk at blive opdateret
For de fleste sider, bør installerede plugins sættes til at blive opdateret automatisk - Det medfører, at hvis et kendt sikkerhedshul i et plugin lukkes af udvikleren, kommer denne rettelse direkte til din side, og tiden, hvor denne sårbarhed kan udnyttes, reduceres maksimalt.
- Log på WordPress - Normalt via https://eksempel.dk/wp-login.php hvor eksempel.dk erstattes af dit eget domæne - og klik på Plugins i hovedmenuen til venstre.
- Hvis ikke du i oversigten ser Aktiver autoopdateringer ud for hvert plugin, klik da på knappen Skærmindstillinger oppe til højre, og sørg for at der her er flueben under Kolonner i Automatiske opdateringer.
- Kig på dine plugins på siden, og klik som udgangspunkt på Aktiver autoopdateringer for alle plugins.
Bemærk - I nogle tilfælde, f.eks. for webshops lavet med WooCommerce, kan det omvendt være bedst, ikke at lade WooCommerce opdatere sig selv, da det kan medføre ændringer til systemet, som direkte påvirker din webshops funktionalitet.
Her skal man i stedet aktivt følge med i WooCommerces udvikling, og planlægge at få det opdateret med ens webudvikler, særligt når der kommer sikkerhedsrettelser til pluginet.
Ydermere er det ikke alle plugins som er omfattet af den indbyggede opdateringsfunktion i WordPress - Det kan især gælde købte plugins. Følg derfor altid med i udviklingen af de plugins du køber/bruger, f.eks. via nyhedsbreve.
Suppler med et sikkerhedsplugin
Ovenstående tiltag er i næsten alle tilfælde nok til at holde WordPress beskyttet mod hacking og malware, men man kan supplere med et af mange sikkerhedsrelaterede plugins - Af dem kan vilkårligt nævnes Wordfence, iThemes Security Pro, Jetpack Security og BulletProof Security. Undersøg selv hvilket der passer bedst til din side, ved at lære mere om de enkelte plugins.
Hav ikke gamle/inaktive WP-installationer liggende
Vær opmærksom på at en gammel WordPress-side ikke rykkes til en undermappe, og glemmes - F.eks. i forbindelse med at ny hjemmeside placeres på webhotellet. Det gælder også eventuelle andre test-sider (lavet med WordPress), man kan have placeret på webhotellet. Hvis ikke længere de bruges og opdateres, skal de slettes fra serveren. Ellers kan også de bruges til at hacke din aktive hovedside.