iThemes

iThemes Security plugin när det gäller säkerhet

 

Fick en gång i tiden ett tips av en kollega om ett plugin till WordPress som ökar säkerheten en hel del på ens WordPressinstallation. Pluginet heter iThemes Security och finns i en gratisversion och i ett antal olika betallösningar.

IThemes Security

Normalt så är jag lite skeptisk till sådana här plugins, jag har testat en del och oftast så lovar de mer än vad de kan hålla. Men jag installerade i alla fall iThemes bara för att testa. Genast så fick jag upp en lista på en hel del åtgärder som iThemes tyckte att jag skulle åtgärda. Jag fixade till en del som jag insåg var bra förslag. Men jag våga inte riktigt genomföra allt innan jag vet exakt vad som händer om jag åtgärdar säkerhetsluckorna. I allra värsta fall kanske jag riskerar att låsa ute mig från min egen WordPressinstallation. Men alla åtgärdsförslag skall i alla fall kollas upp för att se vad de betyder, vad risken med dessa luckor är och vad som händer om om jag låter iThemes åtgärda dem.

Något som var både intressant och smått skrämmande med iThemes var att pluginet loggar alla intrångsförsök mot ens sida. Jag trodde inte att min sida var direkt utsatt, en relativt anonym sida från ett avlägset hörn av världen och med få besökare dagligen. Men enligt iThemes så har det i skrivande stund varit 36 intrångs försök mot min sida sedan jag installerade pluginet, och det är cirka femton och en halv timme sedan. Det betyder att cirka två gånger i timman så har någon försökt att logga in på min sida. Stämmer detta så är det smått skrämmande som sagt.

Admin

Jag kan se med vilket användarnamn de har försökt att logga in på och det vanliga är admin. Det användarnamn man får när man skapar en WordPressinstallation. Med den vetskapen så förstår man hur viktigt det är att omedelbart skapa en ny användare och radera admin-konton. Det går inte att påpeka detta allt för många gånger för det är väldigt viktigt att skapa en ny användare detta genast och direkt radera admin.

Jag kan också se att ordet ringman, namnet på min blogg, förekommer ofta bland det användarnamn som används för intrångsförsöken. Med andra ord, har inte webbplatsens namn som användarnamn, det är inte bra, inte alls bra.

Lösenord

Sist av allt, och detta bör man egentligen inte påpeka för alla, det borde vara en självklarhet – Se till att ha bra lösenord, bra och säkra. Ord som password, abc123 och liknande är totalt vansinniga. Det är alltid extremt viktigt att ha lösenord som är krångliga att knäcka. Blanda hej vilt mellan stora och små bokstäver och mellan siffror och specialtecken. Ett lösenord som JruR#14g är betydligt svårare att knäcka än abc123. Se också till att byta lösenord ofta. Personligen tycker jag att man skall byta åtminstone en gång i kvartalet, i alla fall ett par gånger om året. Misstänker man att någon har kommit över ens lösenord så skall man byta omedelbart.

Bilden kommer ifrån iThemes Securitys webbsida.

Säkerhet i Wordpress

Säkerhet i WordPress är värt att tänka på

Jag har tidigare skrivit om säkerhet i WordPress men det är ett ämne som är väl värt att lyfta fram ännu en gång (och säkert flera gånger ytterligare). WordPress är en utsatt tjänst av flera orsaker, dels är det en av de mest vanliga verktygen idag för att skapa en webbsida så det finns många sidor på nätet som bygger på WordPress vilket gör att det är stor sannolikhet att en sida som hackas är en WordPresssida. Dels så är WordPress i sig, åtminstone i grunden, relativt ostabilt om man tänker ur ett säkerhetsperspektiv. Det är med andra ord inte så särskilt svårt att hacka en WordPressinstallation om man skulle vilja det.

Säkerhet i WordPress

Men det finns saker man kan göra för att skydda sig lite. Helt säker blir man aldrig men man kan åtminstone försvåra så mycket som möjligt för de som tycker att det är kul att förstöra för andra. Det som är givit är att ha ett bra användarnamn och ett säkert lösenord (detta skrev jag om i mitt tidigare inlägg). Att exempelvis ha orden Admin som användarnamn är extremt dumt. Likväl så skall man ha ett lösenord som inte är ens namn, eller något namn överhuvudtaget och absolut inte lösenord så som 123456 eller password bara för att nämna några exempel. Ha istället en slumpmässigt kombination av stora och små bokstäver samt ett par siffror inblandade i lösenordet.

Men det finns annat man bör tänka på också.

Säkerhetsplugin

Ett säkerhetsplugin bör vara det bland det första man installerar, det är ett bra första hjälpmedel när det gäller säkerhet i WordPress. Jag jobbar själv för tillfället (har testat flera olika) med All In One WP Security som verkligen är en stor hjälp när det gäller säkerhet i WordPress. Med detta plugin så kan man göra en mängd olika inställningar som förbättrar säkerheten. Man får också en indikation på hur säker ens installation är på en skala mellan 0 och 470.

URL till inloggningssidan

Använd inte någon av de URLr som finns som standard när det gäller adressen till inloggningssidan för ens installation, exempelvis www.mindomän.se/wp-admin. Byt istället ut den mot något krångligare. Till exempel www.mindomän.se/rfaetgd. Det gör det svårare att hitta till rätt sida för de som försöker logga in.

Captcha vid inloggningen

Använd en så kallad captcha vid inloggningen. Med andra ord att man när man loggar in måste exempelvis ange en bokstavskombination som visas på en bild eller svara på en fråga. Detta försvårar inloggningsförsök där en annan dator försöker logga in genom att slumpmässigt ange användarnamn och lösenord. Ett bra sätt att få bättre säkerhet i WordPress.

Visa inte ditt användarnamn

Har man en blogg så är det vanligt att man i bloggen visar vem som har skrivit inlägget. Det är inte bra, då riskerar man att avslöja sitt användarnamn. Många teman har möjligheten att plocka bort detta. Finns inte den möjligheten i det tema man använder så man man gå in i koden och rensa bort det kodstycke som skriver ut koden. Men ta alltid en kopia av koden först, om något skulle gå fel.

Max antal inloggningsförsök

Se till att sätta ett max antal inloggningsförsök. Exempelvis så kan man göra så att ens IP-adress blir spärrat efter tre misslyckade inloggningsförsök. Se bara till att sätta ert eget IP-nummer i en undantagslista. Det är lätt att kanske skriva fel lösenord (speciellt om man har ett svårt och krångligt som man bör ha). Det vore trist att bli spärrad och utlåst från sin egen installation av WordPress.

Detta var några tips på vad man kan göra för att öka sin säkerhet i WordPress. Det finns mycket mer att göra än detta. Man skall dock tänka på att man inte blir 100 % säker om man genomför dessa åtgärder. Helt säker blir man aldrig. Men kan man försvåra en aning för de som sysslar med sådant här. Då är det ett bra steg när det gäller säkerhet i WordPress.

Photo credit: Nikolay Bachiyski via VisualHunt / CC BY

Uppdatera Wordpress

Uppdatera WordPress, varför skall man göra det

Läste idag ett blogginlägg på den utmärkta bloggen WPBeginner om varför man egentligen skall uppdatera WordPress varje gång det kommer en ny version, vilket det gör relativt ofta. Jag kan hålla med om mycket av det som tas upp i inlägg, nästan allt faktiskt.

Vilka är då dessa anledningar som tas upp om man varför man skall uppdatera WordPress? Jo, dessa punkter tas bland annat upp i inlägget.

Säkerhet

Detta är den absolut största anledningen till att man skall uppdatera WordPress. WordPress i är, tyvärr, en väldigt sårbar applikation. Det går att få lite hjälp på traven med diverse appar som skyddar en men det räcker inte långt alla gånger. WordPress uppdateras ofta med nya versioner där diverse säkerhetshål och fel har rättats till. Vill man vara säker, i alla fall så säker som man kan bli, så bör man uppdatera sin WordPress så fort det kommer en säkerhetsuppdatering. Detta är den absolut största och viktigaste anledningen till att uppdatera.

Nya häftiga funktioner

När det är dags att föra en stor uppdatering av WordPress, som till exempel den uppdateringen till WordPress 4.3 som kommer inom kort, så kommer det lite nya funktioner. Självklart tycker jag det är viktigt att uppdatera WordPress varje gång det kommer en ny version, mest med tanke på att man troligen har fixat lite buggar och, som sagt, säkerhetshål har täppts till. Men att uppdatera enbart med tanke på nya funktioner tycker jag inte är en bra anledning. Sanningen är ju den att under de senaste släppen av WordPress så har det var glest med nya häftiga funktioner. I alla fall så har det inte kommit så mycket nytt som är spännande de senaste åren, inte enligt mig i alla fall.

Hastighet

Kan man få upp en högre hastighet genom att uppdatera WordPress så är det självklart bra. Visst kan en ny version speeda upp en installation en aning. Men jag tror att de största bromsklossarna är en dåligt optimerade databas samt att man gör på tok för många plugins, bland annat. Så vill man ha lite mera fart så testa först och främst att fixa till databasen och avinstallera onödiga plugins.

Buggfixar

Buggfixar är ju som sagt en vettig anledning till att uppdatera WordPress. Detta och säkerhetsuppdateringar är som sagt de mest vettiga orsakerna till att hålla sin installation uppdaterad.

Vad skall man tänka på när man skall uppdatera WordPress?

Det viktigaste när man skall köra en uppdatering är självklart att ta en backup. Nu skall man inte bara ta backup när det är dags att uppdatera utan det skall man göra alltid och man skall göra det regelbundet, inte bara då och då när man känner för det.

Men se till att ha en så nya backup som möjligt på lager när det är till att uppdatera. Det är inte ofta det går fel men risken finns tyvärr och då är det inte så kul att stå där med en i värsta fall trasig databas.

Sen så är det så, skall man kanske tillägga så här i slutet. Det är att man numera sen en tid tillbaka, inte behöver tänka på att uppdatera. Detta sköter WordPress numera automatiskt om, vilket självklart är bra för då har man alltid den senaste versionen i drift.

Sen, slutligen, så måste man komma ihåg att det är väldigt viktigt att uppdatera till senaste version. Detta gäller inte bara Wordpress i sig. Nya versioner av teman och av plugins kommer med jämna mellan rum. Det är viktigt, mest av orsaken säkerhet, att även alltid uppdatera dessa så fort som möjligt.

Fotokredit: Urban Explorer Hamburg via Visualhunt.com / CC BY