Välkommen till whr.se, recensioner av webbhotell. I denna avdelning publicerar vi guider och artiklar runt webbteknik, programmering och marknadsföring på Internet bland annat.

Säkerhet i WordPress

Uppdatera till senaste versionen

Det kanske enklaste sättet att hålla WordPress-systemet säkert är att helt enkelt uppdatera WordPress till den senaste versionen. När en ny version har kommit får man information om det genom en gul informationsruta. På de flesta webbhotell kan man uppdatera WordPress direkt från administrationen och det gör att man blir mer motiverad att hålla installationen uppdaterad.

På vissa webbhotell går det inte att uppdatera automatiskt och på andra krävs det en liten handpåläggning. På Binero krävs att man lägger till tre rader kod i wp-config.php för att kunna uppdatera WordPress via administrationen. Det är värt att lägga den tiden.

define( ‘FS_METHOD’, ‘direct’ );
define( ‘FS_CHMOD_DIR’, 0755 );
define( ‘FS_CHMOD_FILE’, 0644 );

Håll koll på instickningsprogrammen

Vissa instickningsprogram / plugins innehåller virus, andra innehåller säkerhetshål. Därför är det viktigt att bara använda instickningsprogram som går att lita på. För att lösa problemet med säkerhetshål i instickningsprogrammen är den bästa lösningen att inte installera för många samt att hålla dem som är installerade uppdaterade.

Rent konkret rekommenderar jag att alltid ladda ner instickningsprogram från wordpress.org, samt hålla koll på när de uppdaterades senast, vilken version de stödjer, hur bra betyg de har fått och hur många nedladdningar de har. Har de många nedladdningar, bra betyg, är nyligen uppdaterat samt stödjer den versionen du använder så kan man vara ganska säker.

Göm WordPress och versionsnumret i metadatan

Virus och elaka robotar på internet kan hitta WordPress-installationer genom att helt enkelt titta på metadatan. Där står i de flesta WordPress-installationer att WordPress används samt vilken version det är. Perfekt för en robot som vill attackera en specifik WordPress-version där säkerhetshålen ännu inte är fixade.

Det går dock att åtgärda detta genom att antingen köra en eller flera remove_action i PHP, eller installera ett plugin för att dölja WordPress-versionen och att WordPress används. Jag rekommenderar det sistnämnda.

Ange ett säkert lösenord

Säkerheten är inte bättre än dess svagaste länk. Tänk därför på att ange ett säkert lösenord. ”admin” som användarnamn och ”password” som lösenord är ingen bra kombination, även om den dessvärre är mycket vanlig.

Ett säkert lösenord är följande:

  • Går inte att forma till ett ord.
  • Innehåller både stora och små bokstäver.
  • Innehåller siffror.
  • Innehåller konstiga tecken.
  • Är mer än 8 tecken långt.

För att testa ett säkert lösenord, gå till Post och Telestyrelsens webbplats testalosenord.pts.se.

Sätt inte läs och skrivrättigheter på alla filer

I vissa fall kan man behöva ändra läs- och skrivrättigheterna för att exempelvis kunna ladda upp bilder i WordPress administration. Dock ska man vara mycket försiktig med filrättigheterna på servern då de kan användas vid attack.

644 är ok för de flesta filer. Det innebär att filerna endast är läsbara och elaka skript kan därför inte göra så mycket. För att kunna ladda upp och ändra filer behövs dock utökade rättigheter. Det kan vara frestande att sätta 777 som innebär fulla läs och skrivrättigheter. Oftast kan man göra samma sak med 755 som är betydligt säkrare.

Sammanfattningsvis ska man försöka använda 644 så långt det går. Det är bara uploads-mappen som brukar kräva utökade rättigheter som 755.

Ta backup ofta

Trots att man arbetar säkert kan det värsta inträffa, att man råkar ut för ett angrepp. Därför bör man ha ett väl fungerande backup-system. Att kopiera filerna och databasen manuellt en gång i veckan är ett sätt men det kan lätt innebära att det rinner ut i sanden. Även om webbhotellen också tar backup så är det vanligt att detta bara görs exempelvis upp till 10 dygn bakåt.

Vissa använder Dropbox för backup och det går även att använda Dropbox vid backup av WordPress.

Använder man inte Dropbox eller söker en annan lösning rekommenderar jag att använda BackWPup. Det har stöd för schemaläggning, databasbackup och filbackup. Man kan välja om backupen ska mailas, placeras på FTP-kontot eller ett externt FTP-konto. Man får välja vilka mappar som ska backas upp vilket är en fördel eftersom man sällan behöver hela WordPress-kärnan i backupen.

Har du fler säkerhetstips? Lämna gärna en kommentar!

Publicerad 2011-06-12. Kategori Bygga hemsida.


Skriv en kommentar eller en fråga

This blog is kept spam free by WP-SpamFree.