WordPress sikkerhed – Sådan undgår du, at din WordPress side bliver hacket

Her er, hvad data og undersøgelser siger om WordPress sikkerhed og forebyggelse af hacking

WordPress er ubetinget det mest udbredte CMS i verden.

31% af alle websites på internettet er WordPress sider, og 59,9% af alle websites med et kendt CMS-system er designet i WordPress.

Men den store popularitet gør samtidig WordPress til et meget attraktivt mål for hackere.

Ifølge Sucuri Hacked Website Report 2017 var 83% af de websites, der blev hacket i 2017, WordPress sider.

Det ærgerlige er, at mange af de WordPress sider, der bliver hacket, sagtens kunne undgå de uønskede besøg.

For det kedelige faktum er:

At rigtig mange nedbrud af WordPress sider pga. hacking helt overordnet skyldes, at webmastere og hjemmesideejere ikke sørger for, at den basale Best Practice inden for WordPress sikkerhed er på plads.

“The one constant you’ll find in this report is the issues
pertaining to poorly trained website administrators (i.e., webmasters)
and their effect on websites

… In most instances, the compromises which were analyzed
had little, if anything, to do with the core of the CMS application itself
but more with its improper deployment, configuration
and overall maintenance by the webmasters.”

Sucuri Website Trend Report 2017

 Baseret på undersøgelser og data vil jeg derfor i det følgende afdække:

• Hvor opstår sikkerhedshullerne på WordPress sider?
• Hvordan kommer hackerne ind?
• Hvad kan du gøre for at undgå, at din WordPress side bliver hacket?

I dette indlæg gennemgår jeg 7 punkter, som skal være på plads, hvis du ønsker at styrke din WordPress sikkerhed og beskytte en WordPress side bedst muligt mod hacking.

De 7 punkter til god WordPress sikkerhed, som jeg gennemgår er:

1. WordPress core software
2. Plugins og temaer
3. Adgangskoder
4. Supply Chain Attacks
5. Hosting og PHP
6. Sikkerhedsplugin og firewall
7. Backup

#1 – Hacking pga. WordPress core software, der ikke er opdateret

Sårbarheder i WordPress core software er et væsentligt problem, som skyldes, at alt for mange websites kører med en forældet version af WordPress.

I 2017 havde 39,3% af alle hackede WordPress sider installeret en forældet version af WordPress.

Og pt. er det desværre kun 62,7% af alle WordPress sider, der kører med den nyeste version.

Alt for mange websites kører stadig på 3+ versioner, som er de versioner, hvor der er allerflest sikkerhedshuller!

Webmaster Best Practice #1

Ved konstant at holde WordPress core software opdateret til den nyeste version, og straks opdatere, når WordPress udsender nye sikkerhedsopdateringer, så styrker du sikkerheden markant og nedsætter risikoen for, at hackere trænger ind på siden.

#2 – Hacking af WordPress sider pga. plugins og temaer, der ikke er tilstrækkeligt opdateret

Der findes mange tusind WP-plugins og et hav af WP-temaer. Det store udbud er fantastisk for os, der bruger WordPress, men det udgør også et sikkerhedsproblem.

På hele 55,9% af hackede WordPress-sider i en undersøgelse foretaget af Wordfence, var hackerne kommet ind via et plugin.

Det er en anseelig procentdel, så der er meget at hente i forhold til sikkerhed, hvis du sørger for at holde alle plugins opdateret.

Temaer udgør et mindre problem end plugins, men er stadig i top 5. Risikoen kan minimeres ved at holde temaet opdateret, og skifte tema, hvis udviklerne ikke længere laver regelmæssige opdateringer og sørger for at lukke sikkerhedshuller.

Hvilke overordnede sikkerhedsproblemer er der med plugins?

Der er 4 væsentlige problemer med plugins, som webmastere skal være opmærksomme på:

1. Plugins, som ikke længere bliver opdateret af udvikleren
   Som brugere af plugins er vi afhængige af, at udviklerne kontinuerligt opdaterer pluginnet, og lukker evt. sikkerhedshuller. Det er langt fra alle plugins, der bliver opdateret regelmæssigt, så vær opmærksom.
2. Sårbarheder og sikkerhedshuller, der ikke bliver opdaget
   Der findes masser af plugins, hvor udvikleren ikke bruger den store tid på opdatering. Det øger risikoen for, at et sikkerhedshul kan være til stede i lang tid, uden at det bliver opdaget
3. Sikkerhedshuller bliver lukket, men brugerne af pluginnet opdaterer ikke
   Gode kvalitetsplugins er kendetegnet ved, at udviklerne hurtigt lukker sikkerhedshuller. Problemet er her, at det langt fra er alle webmastere og hjemmesideejere, der sørger for at holde deres plugin og temaer kontinuerligt opdateret
4. Sikkerhedsproblemer pga. plugins af dårlig kvalitet
   Vær opmærksom på kun at bruge pålidelige plugins. Gå efter WordPress plugins, der har mange downloads, er opdateret for nyligt og som har en udførlig change-log. Brug også gerne Premium plugins. De har som regel god support, og de opdateres og udvikles løbende.

Webmaster Best Practice #2

• Sørg for at holde alle plugins og temaer fuldt opdateret
• Brug udelukkende pålidelige plugins
• Betal evt. for Premium-versioner
• Udskift temaer og plugins, der ikke længere bliver opdateret

#3 – Adgangskoder til WordPress, FTP eller hosting bliver opsnappet og misbrugt

Årsagen til en alt for stor andel af hacker-inficerede WordPress sider er, at hackere opsnapper og misbruger WordPress logins, hosting logins eller logins til FTP.

Wordfence-undersøgelsen, som er illustreret ovenfor, viser, at brute force angreb udgør 16% af de hackede sites.

Brute force er angreb, hvor hackeren gætter brugernavn og adgangskode.

Brugernavn admin og adgangskode 123456 eller lignende logins er desværre stadig alt for udbredte.

Denne type svage brugernavne og adgangskoder svækker (helt unødvendigt) sikkerheden på mange WordPress sider.

Webmaster Best Practice #3:

• Brug stærke adgangskoder
• Brug IKKE admin som brugernavn
• Brug 2-faktor login
• Forebyg brute force angreb ved at begrænse antal af mulige login-forsøg
• Opbevar dine adgangskoder sikkert
• Skift adgangskoder jævnligt
• Brug SSL
• Brug kun SFTP ikke FTP

SFTP giver dig sikker krypteret overførsel af data fra din egen computer til din webserver.

Det er som regel dit webhotel, der tilbyder SFTP. Standard på mange webhoteller er stadig FTP. Vælg derfor et kvalitets-webhotel, som tilbyder SFTP.

Tilbyder dit nuværende webhotel SFTP – så brug det!

#4 – Plugins, hvor hackere tilføjer en bagdør (Supply Chain Attacks)

Supply Chain Attacks er en særlig ondsindet form for hacking, fordi hackerne her bruger kvalitetsplugins til angrebet, og udnytter tillidsforholdet mellem WP-brugerne og plugin-udviklerne.

Supply Chain Attacks foregår ofte sådan her:

• Hackeren køber et velrenommeret plugin
• Hackeren tilføjer en bagdør til pluginnets kode
• Når brugerne opdaterer pluginnet kommer bagdøren med

Ifølge Wordfence er Supply Chan Attackt en hackingmetode, som vi må forvente at se mere af i fremtiden.

“As a site owner, you will need to apply extra scrutiny
to every plugin and theme you add to your website
while keeping your eyes open for anything odd that crops up
to stay vigilant against any such potential attacks in the future.”

Kilde: Wordfence

Det er efterhånden blevet en ret avanceret opgave at opretholde et højt sikkerhedsniveau på WordPress sider.

Det kræver, at webmastere og hjemmesideejere hele tiden følger med og holder sig opdateret på den nyeste udvikling.

En WordPress supportløsning gennem fx wpcare.dk, kan derfor være en rigtig god løsning for mange.

Vi varetager sikkerhed, opdatering, backup og yder hurtig WordPress hjælp – I slipper for bekymringer.

Webmaster Best Practice #4

• Vælg plugins og temaer med omhu
• Skan hjemmesiden for malware regelmæssigt
• WordPress.org er meget opmærksomme på Supply Chain Attacks, og fjerner hurtigt inficerede plugins fra deres liste. Sikkerheds-plugins som fx Wordfence giver dig besked om plugins, der er fjernet fra listen
• Udskift plugins og temaer, der ikke længere bliver opdateret

Du kan læse mere om Supply Chain Attack her.

#5 – Sikkerhedsproblemer pga. hosting og PHP

Vær opmærksom på, hvilket webhotel du bruger, og hvad de tilbyder.

Gode webhoteller har bedre styr på sikkerheden.

De bruger opdateret software, fx de nyeste versioner af PHP (Programmeringssproget som WordPress og alle plugins og udvidelser er programmeret i) og MySQL (Databasen, hvor alle data gemmes)

Til trods for at PHP 7+ er et langt bedre valgt ift. WordPress sikkerhed end ældre PHP-versioner, så er det pt. kun ca. 33% af WP-sider, der bruger PHP 7 eller højere.

Ca. 28% af alle WordPress sider bruger stadig PHP 5.6 eller tidligere versioner!

Med udgangen af 2018 ophører sikkerhedssupporten på PHP 5.6 (tidligere versioner har længe været uden sikkerhedssupport).

Webmaster Best Practice #5

• Skift til PHP 7+. Ikke alene er PHP 7+ ca. dobbelt så hurtigt som 5.6, men det er også mere sikkert.
• Kører du PHP 5.6 eller en ældre version, så skift nu!
• Tilbyder dit webhotel ikke PHP 7+, så har du det forkerte webhotel.

#6 – Brug et anerkendt sikkerhedsplugin og firewall

Jeg bruger og anbefaler Wordfence. Det øger din WordPress sikkerhed og skanner for dårlige filer.

Supplér gerne med Sucuri, der skanner for malware og virus (gratis versionen er fin, tilbyder også en betalt version).

Limit Login Attempts er også et godt gratis sikkerhedsplugin. Det begrænser antallet af login-forsøg, før brugeren blokeres, og kan derfor være med til at forebygge brute force angreb.

Opsæt desuden en firewall, som stopper skadelig trafik, før det når din hjemmeside. Det kan gøres via fx Sucuri eller Wordfence.

#7 – Backup, backup, backup

Sidst, men ikke mindst husk BACKUP!

Vær opmærksom på at backuppen skal være eksternt fra din hjemmeside. Du kan fx bruge Dropbox, eller et andet sted, som du har adgang til, selvom du ikke kan komme ind på din hjemmeside.

Husk at opsætte automatisk backup.

Uden automatisk backup sker der desværre ofte det, at man glemmer at få lavet den manuelle backup, og pludselig er der gået 6 måneder eller 1 år siden sidste backup – og det er selvsagt ikke optimalt.

Jeg bliver jævnlig kontaktet af virksomheder, der har fået hacket deres WordPress side, og som desværre står uden en fuldt opdateret backup.

Hvis du har en supportløsning hos wpcare.dk, så bliver der automatisk lavet daglig backup af din hjemmeside på en ekstern server. Det betyder, at vi altid har en helt opdateret kopi af din hjemmeside, hvis uheldet er ude.

Sådan holder du WordPress sikkerheden i top

En hacket WordPress side kan være en meget bekostelig affære for din virksomhed.

Udover besværet og omkostningen ved at få renset og reetableret websitet, så klikker kunderne ikke ind på et site, der er markeret med en advarsel. Derudover kan du miste placeringer på Google, som senere skal genvindes.

Helt galt går det, hvis du ikke har en backup af din hjemmeside, og den derfor ikke kan reetableres hurtigt.

Vil du slippe for bekymringer om WordPress sikkerhed og hacking, så lad vores WordPress eksperter varetage opdatering, vedligeholdelse og backup af din WordPress-løsning.

Vi tilbyder:

• Supportløsninger til virksomheder med WordPress og WooCommerce sider
• Supportaftaler med bureauer og WP-konsulenter, som ønsker at tilbyde deres kunder professionel support

Med en supportløsning hos wpcare.dk, sørger vi for at opdatering, sikkerhed og backup altid er på plads.

Er uheldet ude – og et website, som vi yder WordPress support på, bliver hacket, så renser og geninstallerer vi sitet uden beregning.

Vi behandler altid hacking som hastesager, så din hjemmeside hurtigst muligt er oppe at køre igen.