WordPress sikkerhetssjekkliste: 17 gyldige poeng

Å beskytte nettstedet ditt er en viktig sak akkurat som å sikre huset ditt, det er derfor vi har laget denne WordPress sikkerhetssjekklisten. Nettkriminalitet skjer oftere i dag. Personlig informasjon tyveri og senere salg eller utpressing, tyveri av nettsideinformasjon for utpressingsformål og mye mer. Du vil definitivt ikke at det skal skje med nettstedet ditt. For å forhindre dette må du hele tiden holde et øye med sikkerheten din.

WordPress sikkerhetssjekkliste

Vi vil gi deg flere måter på hvordan du kan beskytte nettstedet ditt. Du kan faktisk bruke ulike muligheter i ett og gjøre nettstedet mer beskyttet.

1. Godt vertskap

Det første trinnet i å sikre nettstedet ditt er hosting, det er det viktigste i denne WordPress sikkerhetssjekklisten. Delt hosting er mer sårbart siden nettstedet ditt kan bli hacket selv om angrepet ble ledet mot et annet nettsted på den serveren. Dedikerte eller administrerte servere er bedre fra dette synspunktet. Disse serverne holder kun nettstedet ditt og nivået på sikkerhetstiltakene er ganske høyt. Men dette betyr ikke at du ikke skal legge til din egen beskyttelse. Det betyr at serveren vil være vanskelig å hacke, ikke nettstedet ditt. Vi har håndplukket de beste WordPress-administrerte hostingselskapene.

2. WordPress kjerne-, plugin- og temaoppdateringer

WordPress er en plattform i stadig utvikling, og det samme er elementene. Så det er naturlig at det kommer nye versjoner. Disse nye versjonene vil inneholde oppdateringer, feilrettinger og mange flere. Det er åpenbart umulig å fjerne og fikse alle problemdelene på en gang. Men utviklere over hele verden prøver sitt beste for å redusere dem. Det er grunnen til at nyere versjoner av disse elementene blir utgitt. Nye versjoner hindrer nettstedet ditt i å etterlate looper som hackere kan komme inn i. Vi har utarbeidet våre egne guider – hvordan oppdatere WordPress-plugins, hvordan oppdatere WordPress-kjerne og hvordan oppdatere WordPress-tema.

3. Flere sikkerhetsnivåer

Ett passord er ikke den beste beskyttelsen du kan ha, det er faktisk det mest grunnleggende nivået av hva som kan eksistere. Det er mulig å stille inn ulike varianter av flerlags beskyttelse, det er opp til deg å velge den du ønsker. Den mest populære er autentifiseringen, det er forskjellige programmer som gir deg en kode som endres hvert minutt eller annet. Hvis du ikke klarer å fylle ut dette tidsrommet, vil du ikke logge inn. Sjekk ut vår nybegynnerveiledning om WordPress-sikkerhet.

4. WP sikkerhetsplugin

WordPress sikkerhetsplugins er nyttige tillegg. De gir deg verdifull informasjon som en rapport som vil vise deg om nettstedet ditt gjør det bra. Informasjonen i denne rapporten leveres ved skanning, den skanner nettstedet ditt for å oppdage skadelig programvare eller virus. Hvis nettstedet blir hacket eller det oppdages skadelig programvare, vil det sende en alarm til selskapet som vedlikeholder nettstedet ditt. Det er et stort utvalg av disse plugins, det er opp til deg å bestemme hvilke du skal kjøpe. Vi anbefaler å bruke iThemes Security or Wordfence.

5. Sterkt passord og endring av passord over tid

Det anbefales sterkt å angi et sterkt passord fra første gang du gjør det. Det vil redusere sjansene for at noen vil logge på som administrator og slette alle dataene eller sette noe skadelig programvare for å stjele informasjonen som skal legges inn. Det er også en god idé å angi en passordendringsforespørsel for overtidsperiode-plugin som iThemes Security. Denne plugin-en vil be deg om å endre passordet ditt etter den angitte tidsperioden.

6. SSL-sertifikat

Dette sertifikatet kreves hvis nettstedet ditt er en nettbutikk. Å ha dette sertifikatet betyr at nettstedet ditt samsvarer med de fastsatte kravene. Det beviser for kundene dine at nettstedet er beskyttet og dataene deres er trygge. Ingen vil at noen andre skal få tilgang til kredittkortet eller bankkontoen deres.

7. Begrensning av påloggingsforsøk

For å forhindre at nettstedets administrator eller nettstedbesøkendes kontoer blir hacket, anbefales det å begrense påloggingsforsøk. Denne handlingen vil sette en grense hvoretter kontoen vil bli suspendert i en stund og ikke tillate å logge på. Det er også en god idé å angi en automatisk e-postvarsling som sendes på vegne av mislykkede påloggingsforsøk.

8. Tofaktorverifisering

Denne metoden er en veldig vanlig måte å beskytte nettstedet ditt på. Den bruker en verifiseringsapp, som vanligvis genererer koder som endres hvert 1-3 minutt, avhengig av hvilken app og hvilken verifisering du bruker. Du blir bedt om å oppgi det etter at du har skrevet inn påloggingsinformasjon og passord. Du blir bedt om å skrive ned koden som vises på autentiseringsappen din. Hvis du ikke nevner å logge på før koden endres, må du skrive inn den nye koden som dukket opp.

9. Ikke bruk nulltemaer eller plugins

Nullerte temaer og plugins er vanligvis premium-elementer som har opphavsrettsressursene fjernet. Disse elementene har ikke støtte fra utvikleren deres, så når det er en oppdatering får du den ikke. Det vil bety at du ikke får noen feil eller sikkerhetsfiks som vil resultere i en stor mulighet for at nettstedet ditt blir hacket. Du vil heller ikke kunne oppdatere WordPress-kjernen din.

La oss fortsette med vår WP-sikkerhetssjekkliste:

10. Aktiver en brannmur for nettapplikasjoner

WAF (Web Application Firewall) er en av de raskeste måtene å beskytte nettstedet ditt på. Den legger til flere sikkerhetselementer fra forskjellige kjente og ukjente trusler. Det finnes to typer WAF:

1. Hosted- det er en plugin som er installert direkte i WordPress. Forespørsler blir undersøkt, beskyttet, blokkert etter å ha mottatt forespørsler til webserveren.
2. Skybasert – skybasert sikkerhetsleverandør beskytter et nettsted. Dette sitter utenfor vertsinfrastrukturen din, i nettverkskanten.

11. Bytt nettstedet til HTTPS

HTTP er metoden for hvordan data blir transformert på internett. Du kan se det i begynnelsen av hvert nettsted. Dessuten er det veldig enkelt å hacke inn dataene som overføres. Hvis du sender viktige data er det virkelig viktig, ikke sant? for å fjerne muligheten for hacking, anbefales det å endre fra http til https. For å kunne gjøre det må du ha et SSL-sertifikat. SSL-sertifikatet vil kryptere dataene som blir overført.

12. Magic link passord

Denne beskyttelsesmetoden brukes for det meste kun ved registrering, men likevel er det mulig å bruke den ved pålogging. Etter registrering ber den deg om å skrive en spesifikk nøkkel, passord, som har blitt sendt til e-posten din for å bekrefte at du ikke er det. en bot. Tvert imot bruker noen nettsteder det fortsatt når besøkende logger inn. De blir bedt om å oppgi nøkkelen, som ble sendt til deres registrerte e-post. Dette gjøres for å være sikker på at det er eieren av kontoen som logger inn.

13. Endring av WP-påloggings-URL

Uten å endre WP-påloggings-URLen din risikerer du at når noen prøver å hacke seg inn på nettstedet ditt, er det som en åpen dør. Dette er det viktigste du må gjøre når du vurderer å ha et nettsted: enkel endring av URL-endringen for WordPress-pålogging.

14. Endre navn på kjernemappen wp-content, wp-includes, wp-admin

For å kunne endre navnene på de mest avgjørende mappene må du installere en plugin som lar deg gjøre det. Du må gjøre det for å gjøre det vanskeligere å forstå hvilken mappe som er en viktig mappe på nettstedet. Den inneholder alle temaene, plugins og mediefiler. Etter å ha endret navn på disse mappene, må de forbli i samme katalog, hvis du flytter dem til en annen katalog, vil nettstedet krasje. Så husk denne viktige saken.

15. Beskytt wp-config.php via .htaccess-fil

Denne filen inneholder den mest avgjørende informasjonen om nettstedet ditt. Den lagrer all sikkerhet eller databasetilkoblinger. Du vil definitivt ikke at denne filen skal falle i noens hender. Dette er den enkleste måten å beskytte den på:

1. Koble til nettstedet ditt ved hjelp av FTP-klienten.
2. Last ned .htaccess-fil.
3. Åpne den ved å bruke notisblokk eller et annet tekstredigeringsprogram.
4. Kopier teksten nedenfor:
   # protect wpconfig.php
   <files wp-config.php>
   order allow,deny
   deny from all
   </files>
5. Lagre den med «Lagre som»-funksjonen slik at den ikke får .txt-utvidelsen.
6. Last opp .htaccess bac til roten av nettstedet ditt.

16. Deaktiver filredigering

Hvis du ikke er den eneste med administratorrettigheter, og en annen part ikke skal gjøre noen koding. Det er bedre å deaktivere redigering av temaer og plugin-moduler for å forhindre uventede endringer forårsaket av dem. Disse endringene som brukes av dem kan krasje hele nettstedet eller de kan installere skadelig programvare. En måte vi vil fortelle deg om er å bruke en plugin. iThemes security er en av pluginene som tilbyr disse tjenestene. Etter å ha installert denne plugin-en, gå til Sikkerhet -> Innstillinger. Gå derfra til WordPress Tweaks. Der vil du finne avkrysningsboksen Deaktiver filredigering, kryss av og trykk Lagre innstillinger-knappen. Det er alt, du sikret nettstedet ditt fra uønsket filredigering.

17. Sikkerhetskopier nettstedet ditt regelmessig

Den siste og mest logiske måten å sikre nettstedet ditt på er å lage sikkerhetskopier på en konstant basis. Det anbefales å lage flere sikkerhetskopier samtidig og lagre dem på forskjellige steder. Backup er din beste venn i tilfelle noe skulle skje med nettstedet ditt.

For å oppsummere

Det er mange måter å sikre nettstedet ditt på, de viktigste er i denne WordPress-sikkerhetssjekklisten. Jo flere av dem du har, jo bedre vil det være for deg og din bedrift i fremtiden. I tillegg til at du bør huske at hvis du ikke blir hacket i dag, vil du aldri bli det i fremtiden. Å bruke litt penger på nettstedets sikkerhet vil spare deg mer og gjøre det mulig å sove godt om natten. Vi håper at måtene vi beskrev vil oppmuntre deg til å forbedre beskyttelsen av nettstedet ditt.