SUV-test 2013

Du vill inte. Vill inte. Komma till jobbet eller starta mobilen på vägen dit och upptäcka att din webbplats är hackad. Kanske inte så jobbigt om du har en personlig blogg, kanske inte end-of-the-world om du har ett företag som säljer via andra kanaler. Förmodligen katastrof om webbplatsen du ansvarar för är affärskritisk?

Du behöver skydda din webbplats från illvilliga, människor och automatiserade datorer. För detta finns det såklart flertalet säkerhetstillägg som du kan köra på WordPress. Ett sådant plugin är Defender, utgivet av WPMU. Det är gratis i grunden och erbjuder PRO-funktioner för dig som vill betala för mer.

Defender rekommenderas dig som vill öka den WP-specifika säkerheten, bortom vad ditt webbhotell eller managed hosting erbjuder i säkerhetsväg. Här presenteras fem (av många) funktioner i Defender-tillägget:

1) Login-lockout

Script, datorer eller människor kommer att försöka hacka sig in på din webbplats. För att förstöra, lägga in dolda länkar eller för att någon tycker att de är duktiga när de lyckas göra det. Den som flera gånger anger fel lösenord kommer att spärras automatiskt. Fler regler som kan leda till lockout är upprepade försök att nå innehåll som inte finns eller innehåll som frestar på servern t.ex. en stor bild, video eller ett dokument.

2) Login-masking

Du kan ange en hemlig webbadress som bara du känner till. När du ska logga in i WordPress går du till din hemliga inloggning. Alla andra kan bli omdirigerade till en sida med valfritt innehåll, förslagsvis en sida där du berättar om hur olydiga de är som försöker logga in på din webbplats:

Sennbrink: WordPress-skydd - Mask Login Area - Defender

3) Blockera IP-nummer

Nu för tiden är IP-nummer statiska eller dynamiska. IP-nummer kan finnas hos en användare ett tag för att senare tilldelas en annan användare. Om den första användaren var olydig kommer du genom en blockering kanske att straffa en oskyldig. Det kan vara bra att känna till. IP-blockering kan rätt använt nämligen vara effektivt för att få stopp på attacker eller återkommande intrångsförsök. En avancerad inställning i Defender-tillägget är att blockera hela länder.

4) Byt ut databasprefixet

Databasen som driver WordPress har ett prefix i sitt namn. Det kan t.ex. vara _wp eller något liknande. För extra skydd bör du välja ett annat prefix t.ex. _ostkaka eller något som är lite klurigare att komma på.

5) Uppdatera säkerhetsnycklarna

Du som någon gång konfigurerat wp-config.php känner säkert till säkerhetsnycklarna. Det är en uppsättning koder som stärker skyddet för dina lösenord. Du kan byta koderna manuellt eller via funktionen i Defender-tillägget.

Uppdatera WordPress säkerhetsnycklar

Den uppsättning funktioner i Defender som är lite kniviga att förstå är Security Tweaks. Det är mycket tekniskt mumbo jumbo som för en oinsatt kan verka krångligt. Det är ofta i det läget som Sennbrink Kommunikation kommer in i bilden: Istället för att du ska försöka själv, göra fel och inte få rätsida på saken – Anlita en expert från början!

Två “tweaks” är dock enkla att förstå:

  • Deaktivering av temaredigeraren (file editor) – Om du vill minska risken för att obehöriga inloggade att göra ändringar. Å andra sidan kan en obehörig inloggad komma åt inställningen i Defender, aktivera temaredigeraren och göra ändringar via några extra klick. Fast ponera att den obehöriga inloggningen kommer vi en WP-användare med lägre behörighet än administratör. Då kan en deaktiverad file editor, från din adminroll, vara till hjälp (om den med lägre behörighet hade access till temaredigeraren från början).
  • Deaktivering av XML-RPC – Om du inte använder en extern tjänst för automatiskt underhåll, delning till social media eller liknande (som inte går vi RSS) kan du deaktivera detta. XML-RPC kan nämligen, med rätt behörighet, användas för att skapa och redigera bloggposter mm. Det är alltså en slags kontakt, en koppling till din WP-webbplats, som kan missbrukas av illasinnade. Om du kör Jetpack och inte vill vara utan, strunta i att deaktivera XML-RPC.