WordPress sider udgør næsten halvdelen af de hjemmesider, der bliver lavet fra ny i dag. Derfor tror mange fejlagtigt, at det er et sikkert system. Det er desværre langt fra sandheden.
Hostingfirmaer tilføjer en del sikkerhed til din hjemmeside, men den sikkerhed handler om driften af din hjemmeside – ikke den applikation der er installeret på den – såsom WordPress. Derfor er det ikke nok til at opnå den sikkerhed, du bør have. Og vi ved godt, det er nemt at sige, at ting er usikre… Derfor har vi bevist det!
På kun 20 minutter lykkedes det os at skrive et lille program, som kunne gætte et ukendt password og lukke os ind på en WordPress side – og programmet skulle kun køre i 5 minutter, før det lykkedes.
WordPress har mange mangler på sikkerhedsfronten, og det ved hackerne godt. Men heldigvis er der måder at bekæmpe dem på.
Problemet med WordPress sikkerhed
WordPress har rigtig mange sikkerhedsforanstaltninger indbygget, men der mangler nogle helt essentielle ting. Login-sikkerheden følger ikke de seneste anbefalinger, og der er problemer med, hvordan man kan uploade og eksekvere filer i WordPress’ standardopsætning. Og hver eneste tema eller plugin, du installerer, kan komme med sine egne sikkerhedshuller. Vi kunne skrive lange lister over sikkerhedsproblemerne, men vi har meget at komme igennem.
Hvordan fungerer hacking?
Hacking communities fungerer generelt sådan her:
Et fåtal af hackere sidder og eksperimenterer med alverdens ting, de måske kan udnytte for at få hul igennem et system. Når de finder det bliver det registreret som et sikkerhedshul eller en såkaldt “vulnerability”.
Det betyder, at den store skare af hackere nu ved, at der er et problem og har en idé om, hvordan de kan udnytte det.
Sikkerhedshullet ligger enten i WordPress, et tema eller et plugin.
Så nu er det op til dem, der har lavet den komponent, som har en vulnerability, at få lavet en opdatering og sende den ud i en fart.
I mellemtiden kan sikkerhedsfirmaerne identificere, hvordan hackerne forsøger at udnytte sikkerhedshullerne, og bruge den information til at blokere kald/besøg, der ser mistænkelige ud.
Gør min host ikke min WordPress side sikker?
Dit webhotel gør helt klart en stor forskel for sikkerheden på WordPress-hjemmesiden, men det gør de fra et hosting-perspektiv. Hvis de eksempelvis finder en hackers IP adresse, så blokerer de den fra alle deres sider, og hvis en side pludselig modtager ekstreme mængder trafik gennem et såkaldt DDoS-angreb, så har Webhotellet også en måde at stoppe det på.
De holder den computer sikker, som din WordPress-side kører på, men de er i sagens natur ligeglade med, om du har lagt WordPress eller noget helt andet på computeren. Det er dit eget ansvar. De laver dog en backup af, hvad end du har liggende, så du kan genskabe din side ud fra visse parametre, men derudover gør de altså ikke noget specifikt for at beskytte dig mod de sikkerhedsproblemer, der eksisterer i WordPress.
SEO & GDPR besværliggør Websikkerhed
Hvis et sikkerhedsprogram skal læse dine WordPress filer igennem for at se, om en hacker har lagt malware ind på den, så bliver siden langsom, imens scanningen finder sted, fordi serverens ressourcer ikke længere kun bruges på at vise siden, men også på at scanne den. Det kan have alvorlige konsekvenser for din SEO, da søgemaskinerne ikke vil guide brugere hen til langsomme hjemmesider. De besøgende viser da også konsekvent i statistikkerne, at de forlader langsomme sider i en fart.
Det har nogle sikkerhedsprogrammer taget konsekvensen af og ændret tilgang, så de ikke sløver siden ved at bruge din processorkraft på scanning, men i stedet sender hele molevitten til sikkerhedsfirmaets servere som en backup – og så kan de scanne den med deres egen computerkraft. Problemet her er, at hvis det sikkerhedsfirma ligger udenfor EU/EØS (og det gør de typisk), og din WordPress-hjemmeside indeholder personfølsom data (det gør de fleste), så bryder du GDPR ved at sende din sides personfølsomme data ud af EU.
Hvad kan jeg gøre?
For at holde din side sikker er det vigtigt at have en komplet strategi for, hvordan du gør livet surt for hackere ved hvert eneste punkt. Intet system, WordPress eller ej, er 100% sikkert at bruge, men jo mere vi gør for sikkerheden, jo større grund giver vi hackeren til at smutte videre til naboen. En god sikkerhedsstrategi kan eksempelvis indeholde følgende trin:
1. Skjul at siden er lavet i WordPress
Hvis du skjuler, at din side er lavet i WordPress, så ved hackerne ikke, at den har de sikkerhedshuller, som eksisterer i WordPress, og du har dermed fjernet en stor risiko.
Men vær opmærksom på, at det ikke er nok at ændre URL’en til /wp-admin . Der er mere end 30 forskellige steder, man kan identificere, at en side er lavet i WordPress. Vi kommer snart med en guide til, hvordan du bedst skjuler, at din side er lavet i WordPress. Så følg med her på siden.
2. Opgrader login-systemet
Langt de fleste hacker-angreb sker ved, at en hacker finder vej gennem dit loginsystem – og når de først er inde, kan de jo faktisk gøre hvad som helst. Ofte vil de bruge denne fordel til at introducere ekstra sikkerhedshuller, så de kan komme ind igen, hvis du skulle opdage dem og smide dem ud. Men det bedste, du kan gøre, er at sikre dit login-system med 2-faktor autentifikation, høj password kompleksitet samt undgå at genbruge passwords – især hvis de har været lækket i et data-leak.
3. Scan efter malware og virus jævnligt
Hvis en hacker har haft adgang til systemet, har de nok lagt noget ind på siden, som ikke skal være der. Det kan desværre også lade sig gøre, selvom de ikke har været logget ind, men det sker oftest i forbindelse med, at de har haft adgang. Hackere lægger som regel to ting ind: Hhv. noget de kan tjene penge på (såsom falsk markedsføring eller phishing angreb) og en bagdør, så de kan komme ind igen, hvis du skulle fjerne dét, de har lavet. Derfor er det uhyre vigtigt at scanne sin side jævnligt – og hvis der bliver fundet malware, er det ikke nok bare at slette det.
4. Hav en backup klar – både internt og eksternt
Som regel kan der ryddes op efter et hackerangreb – særligt hvis hackerens hensigt var at snyde dine kunder til at give dem penge. Men visse angreb er mere ondsindede og har eksempelvis til hensigt at slette din side, gøre den utilgængelig for besøgende eller afpresse dig for penge. Hvis en hacker får adgang til de forkerte ting, kan han slette alting.
Inklusive de backups som dit Webhotel har lavet. Derfor er det en god idé at supplere hosting firmaets interne backups med eksterne backups, som automatisk lægges på din egen computer eller hos os.
Hvad gør vi hos NetRaket?
Vi holder hjemmesider sikre for vores kunder på de nævnte punkter og mange flere. Eksempelvis har vi et overvågningssystem, som automatisk notificerer os, hvis der sker mistænkelig adfærd på en WordPress side, så vi aktivt kan forsvare siden eller gå til modangreb. Det giver dig en helt andet niveau er sikkerhed, som du ikke kan få med en simpel plugin-løsning. Men vigtigst af alt, så får du en sikkerhedsorienteret og kompetent sparringspartner, som både kan beskytte dig mod hackere, men som også være den tekniske hjælp, hvis noget skulle gå hen og gå galt. Skulle der være noget galt på din side, så opdager vores overvågning det med det samme, og hvis du sidder med tekniske udfordringer og pludselig ikke kan få adgang til dit kontrolpanel, eller dine brugere tror, de har vundet en iPhone (malware), så ved du, hvem du skal kontakte, og du ved, at vi kan løse problemerne rigtig hurtigt. Uden nogen ekstra beregning i øvrigt. Bliv klogere på vores Serviceplan her og få en fornemmelse af, om vi kunne være den rigtige partner for dig.