Wordpressäkerhet

WordPressäkerhet är alltid viktigt att tänka på

Att hela tiden arbeta med säkerhet när det gäller datorer är viktigt. Främst gäller det kanske med alla Internettjänster man har. Internet är inte helt ofarligt, det skall man ha i tanken när man är ute på nätet. Detta inlägg handlar om en av alla tjänster som finns, nämligen om WordPressäkerhet. Detta är något jag har bloggat om innan men det tål att upprepas.

WordPressäkerhet

WordPress är idag det överlägset största publikationsverktygen när det gäller att skapa webbsidor. Miljontals människor använder det runt om i världen. Det är inte så konstigt, det är billigt, det är enkelt och det är kraftfullt. Men WordPress är tyvärr inte ofarligt att använda. Snarare är det så att WordPress är väldigt sårbart.

Men det finns saker man kan åtgärda för att öka säkerheten. Att försvåra för de som vill komma åt WordPressidor är viktigt.

Uppdatera ofta

Några enkla saker man kan göra för att öka sin WordPressäkerhet är dels att uppdatera ofta. Så fort det kommer en ny version av WordPress så uppdatera. Det är inte säkert att det finns nya funktioner man gillar. Det var länge sedan det kom något intressant tycker jag själv.  Men varje ny uppdatering innehåller inte bara nya funktioner utan även åtgärder inom säkerheten. Det kan till exempel vara punkter där man har upptäckt en sårbarhetsrisk som nu täpps igen. Så det är viktigt att alltid uppdatera sin installation av WordPress.

Det samma gäller självklart även om det kommer nya versioner av plugins och det tema man använder. Det är också viktigt att man avinstallerar plugins och teman som man inte använder. Det blir lätt att man tänker ”jaha, ny version av ett plugin som jag inte använder, det behöver jag inte uppdatera då”.

Använder man inte ett plugin eller tema så avinstallera den. Använder man dom så håll de uppdaterade.

Lösenord

Sen så är det viktigt att ha bra lösenord och även ett bra användarnamn. Använd så krångliga som möjligt. Definitivt så skall man inte använda så lätta lösenord så som 12345 eller abcdef och så vidare. Använd inte heller ditt, din partner, barn eller husdjurs namn.

I stället så skall man använda ett lösenord i stil med (detta är helt slumpat fram) Hqcps2?f2fvdpJH6Vb%. Ju mer obegripligt lösenord och ju längre (dock ej för långt) desto bättre.

Användarnamn

Ännu en sak när det gäller WordPressäkerhet är val av användarnamn. När man installerar WordPress så skapas en användare som är Admin. En av de allra första saker man bör göra efter en installation är att skapa en ny användare. Sedan så när man har gjort det så raderar man Admin på direkten.

Skall man vara riktigt noga så skapar man sedan ett administratörskonto. Detta använder man enbart när man skall göra ändringar i ens installation. För att skriva inlägg eller sidor så skapar man istället ett nytt konto. Detta konto ger man rollen Författare, då får man inte så mycket rättigheter på det konto man använder sig mest av.

Har man sedan ett tema som visar namnet på författaren så tycker jag att man tar bort detta. Är det inte nödvändigt att visa namnet på författaren så finns det ingen anledning till att göra det. Undantaget är väl om man är flera som skriver och om man då vill visa vem som har skrivit respektive inlägg. Men är man ensam om att skriva finns det ingen anledning till att skriva ut namnet.

Egna erfarenheter

Jag arbetade för ett par år sedan med Internet. Då hade jag en kund som hade en installation av WordPress till sin webbplats. Han hade vald användarnamnet Admin och lösenordet Password. Hans sida blev hackad vilket inte direkt är förvånande. Visst, dessa inloggningsuppgifter är lätta att komma ihåg. Men det är nästan som att åka på semester ett par veckor och lämna fönster och dörrar till ens bostad öppna under tiden. Som gjort för att få inbrott.

Ytterligare lösningar

Förutom det jag har nämnt ovan så har jag ytterligare några åtgärder i min WordPressäkerhet. Det är framförallt tre ytterligare punkter som jag har tänkt på. Alla tre gäller inloggningen till WordPress.

Adress till inloggningssidan

Som standard så är adressen till sidan man loggar in på www.domännamn.se/wp-admin. Detta är den adress som de som gör intrångsförsök via inloggningssidan först och främst försöker tas sig in genom. Jag har bytt ut denna adress till en helt ny. Dessutom så ser jag till att byta adress till inloggningssidan med jämna mellanrum.

Captcha

Som punkt två på mina övriga åtgärder så har jag att jag måste ange en så kallad Captcha när jag loggar in. Med andra ord till exempel några bokstäver eller siffror som visas på en bild. Detta för att försvåra för icke-människor att logga in. Oftast är det som så att det inte är en person som sitter och gör intrångsförsök utan ett datorprogram. Har man denna åtgärd så försvårar man en hel del för programmet.

Tvåstegsverifiering

Den sista åtgärden jag har för inloggningen är en så kallad tvåstegsverifiering. Det finns några lösningar på denna, jag använder en från Google. Den går ut på att när jag skall logga in så kör jag igång en app på telefonen som heter Authenticator. Denna ger mig en kod sex siffror som jag skall mata in vid inloggningen till WordPress. Koden gäller bara i 30 sekunder sen så får man en ny. Man kan också om man vill få koden via SMS.

Detta är en metod som jag för övrigt använder mig av på många inloggningar till tjänster på nätet. Känns lite extra tryggt att ha den.

Slutligen

Detta var lite om hur jag arbetar och hur jag tycker andra bör jobba när det gäller WordPressäkerhet. Det finns mycket mer att göra för att förbli säker. Men dessa punkter är en bra start. Skall jag lägga till en ytterligare punkt så är det att man skall logga ut. Det spelar ingen roll hur säker inloggning man har om man inte loggar ut efter det att man är klar. Speciellt gäller det om man sitter vid en dator där det finns andra människor runt omkring. Till exempel på en arbetsplats.

Kan till sist nämna det att jag kollade för en tag sedan vilka försök till inloggningar det hade gjorts på denna sidan. Det var innan jag bytte URL till inloggningssidan. De flesta intrångsförsöken var gjorde genom att testa användarnamnet Admin. Efter det kom användarnamnet Ringman, med andra ord mitt domännamn.

Kan avslöja att jag inte har något av dessa som användarnamn.

Photo credit: Nikolay Bachiyski via VisualHunt / CC BY

Lämna en kommentar