WordPress Security – 24 tips för att säkra din webbplats från hackare

04.06.2020
WordPress 'WordPress Security – 24 tips för att säkra din webbplats från hackare
0 38 мин.

WordPress-säkerhet bör vara den första prioriteringen när du hanterar en webbplats. Du utformar din webbplats, publicerar innehåll, säljer produkter online, men om du inte tar WordPress-säkerhet på allvar kan din webbplats hackas när som helst. 


Varje dag hackas 30 000 webbplatser och mer än 2 000 webbplatser svartlistas av Google. Du är inte ett undantag. Om en regeringens webbplats kan bli hackad, varför inte din?

En morgon vaknade du upp och se att din WordPress-webbplats är otillgänglig och se slumpmässiga meddelanden som,

“Din webbplats är hackad av xyz” – webbplatsen är hackad

“Webbplatsen framöver innehåller skadlig programvara” – svartlistad av Google

Det här är det värsta du någonsin kan möta med din webbplats.

Men varför WordPress?

WordPress driver mer än 31% (80 miljoner) av de totala webbplatserna på webben. Enligt W3Techs, WordPress har 60% av CMS-marknadsandelen mer än andra plattformar, vilket är en ganska solid anledning för att locka hackare.

Men få inte panik. Att härda WordPress-säkerheten är mycket enkelt och du kan göra det också.

I den här artikeln kommer jag att dela 24 bästa säkerhetstips för WordPress för att skydda din webbplats från hackare och skadlig programvara.

“Varför inte låta porten till ditt palats försvinna innan de upptäcker det?” – WPMyWeb

Contents

Vanliga WordPress-säkerhetsproblem

Innan vi djupt går in i bästa praxis för WordPress-säkerhet, ska vi först förstå några vanliga WordPress-säkerhetsproblem.

Många användare tror att WordPress inte är en säker plattform att använda för ett företag, vilket inte alls är sant. Detta beror på bristen på kunskap om WordPress-säkerhet, dålig systemadministration, användning av föråldrad WordPress-programvara och plugins osv.

Många nybörjare av WordPress antar att skapa en webbplats är slutet och det kräver inget säkerhetsunderhåll. Så här lämnar du din webbplats sårbar.

När hackare är sårbara på din webbplats kan de enkelt utnyttja din webbplats.

Låt oss kolla in några vanliga WordPress-säkerhetsproblem.

1. Brute Force Attacks: 

I attacken för brute force används ett automatiskt skript för att generera olika kombinationer av användarnamn och lösenord. Hacker använder WordPress inloggningssida för att köra brute force attack. 

Om du använder ett enkelt användarnamn och lösenord kan du bli nästa offer för denna attack.

2. Cross Site Scripting (XSS):

Cross Site Scripting är en typ av attack där angripare injicerar skadlig kod / skript på en betrodd webbplats. Denna hackningsmetod är helt osynlig för de användare som surfar på webbplatsen.

Dessa skadliga skript laddas anonymt och stjäl information från användarens webbläsare. Även om en användare matar in data i någon form, kan data stulas.

3. SQL-injektioner:

WordPress använder en MySQL-databas för att lagra blogginformation.

SQL-injektion sker när hackare får tillgång till WordPress-databasen. Genom att hacka WordPress-databasen kan hackare skapa ett nytt administratörskonto med full åtkomst till din webbplats.

De kan också infoga data i din MySQL-databas och lägga till länkar till skadliga webbplatser eller spam.

4. Bakdörrar:

Med namnet “Bakdörr” kan du förstå vad det betyder. 

Backdoor är en hackningsmetod som gör det möjligt för hackare att komma in på en webbplats genom att kringgå normal verifieringsprocess och till och med hålla sig oupptäckt från webbplatsägaren.

Efter hackning på en webbplats lämnar hackare vanligtvis sitt fotavtryck, så att de kan få åtkomst till webbplatsen till och med hacken tas bort.

5. Pharma Hacks:

WordPress Pharma hacks är en typ av skräppost på webbplatsen som fyller sökmotorns resultat med spammy apotekinnehåll som är förbjudna på webben som Viagra, Nexium, Cialis etc..

Till skillnad från andra WordPress-hack, är pharma-hackresultat endast synliga för sökmotorer. Så du kan inte se hacket genom att bara titta på din webbplats eller källkoden.

Gå till Google och skriv site: domain.com. Om sökresultaten visar webbplatsens innehåll (inte apotekinnehåll), påverkas inte din webbplats av apotekhacks.

Målet med detta hack är att utnyttja dina mest värdefulla sidor genom att åsidosätta titel taggen med skadliga länkar. För att inte tala om, om du inte inspekterar ärendet tidigt, kan sökmotorer som Google, Bing svartlista din webbplats för att tillhandahålla skadligt innehåll.

6. Skadliga omdirigeringar:

Skadlig omdirigering av WordPress är en typ av hack där dina besökare automatiskt omdirigeras till skräppostsidor som hasardspel, porr, dejtingsidor. Den här hackan inträffar när en skadlig kod injiceras i din webbplats fil eller databas.

Om din webbplats omdirigerar besökare till olagliga eller skadliga webbplatser blir din webbplats eventuellt svartlistad av Google.

Varför WordPress Security är viktigt?

Din webbplats representerar ditt varumärke, ditt företag och framför allt den första kontakten med dina kunder.

Det tog dig antagligen flera år med massor av ansträngningar för att få din verksamhet och växa din trafik. Din publik älskar dina artiklar och litar på dina produkter, det är därför de håller kontakten med dig.

Om din WordPress-webbplats inte är säker, det finns många sätt både din webbplats och dina kunder kommer att påverkas. Hackare kan stjäla användarens personliga information, lösenord, kreditkortsuppgifter, transaktionsinformation och kan distribuera skadlig programvara till dina användare.

Om din webbplats är hackad, kommer du att märka att din trafik drastiskt sjunker. Dessutom kommer Google att svartlista din webbplats.

Enligt Google-blogg, antalet hackade webbplatser ökar med cirka 20% 2016 jämfört med 2015.

I en studie, Securi rapporter att Google svartlistar över 10 000 webbplatser varje dag.

Om du ser allvar med ditt företag måste du vara extra uppmärksam på din WordPress-säkerhet.

WordPress Security

Bästa WordPress säkerhetsguide

  1. Få ett bra WordPress-värd
  2. Håll WordPress-versionen uppdaterad
  3. Använd inte något nollat ​​/ knäckt tema eller plugin
  4. Använd starka lösenord
  5. Lägg till (2FA) tvåfaktorautentisering
  6. Ändra inloggningsadress för WordPress
  7. Begränsa inloggningsförsök
  8. Säkerhetskopiera din webbplats regelbundet
  9. Använd ett WordPress-säkerhetsplugin
  10. Logga ut automatiska användare automatiskt
  11. Lägg till säkerhetsfrågor till WordPress inloggningssida
  12. Ändra användarnamnet “admin” som standard
  13. Tilldela användare till lägsta möjliga roll
  14. Övervaka filändringar och användaraktiviteter
  15. Installera SSL-certifikat
  16. Ta bort oanvända teman och plugins
  17. Inaktivera filredigering i WordPress-instrumentpanelen
  18. Lösenordsskydda inloggningssidan för WordPress
  19. Inaktivera katalogsökning
  20. Ta bort ditt WordPress-versionnummer
  21. Ändra prefix för WordPress-databasstabellen
  22. Använd bara pålitliga WordPress-teman och plugins
  23. Inaktivera PHP-felrapportering
  24. Lägg till HTTP Secure Headers till WordPress

Redo? Låt oss börja.

1. Få en bra WordPress-värd

WordPress-värd spelar en viktig roll när det gäller att förbättra WordPress-säkerheten.

Du betalar för värdtjänsten och din webbplats förblir under deras kontroll. Så du bör vara försiktig innan du väljer en bra WordPress-värd för din webbplats.

Delad hosting som A2Hosting, Bluehost etc. är det bästa värdalternativet för att driva en blogg med låg trafik. Men i delad värd kommer det alltid att finnas en chans för kontaminering på olika platser.

Kontaminering på olika platser inträffar när en hacker kan komma åt webbservern via en sårbar webbplats och sedan utnyttja alla andra webbplatser på samma webbserver.

Vi rekommenderar att du använder en hanterad leverantör av WordPress-webbhotell. Hanterade WordPress-värdföretag erbjuder flera lager säkerhetsalternativ för webbplatser. Deras värdplattformar är mycket säkrade och de erbjuder daglig skanning av skadlig programvara och förhindrar externa attacker. Om de i något fall hittar skadlig programvara på sin server tar de ansvaret och tar bort det direkt.

De erbjuder också dagliga säkerhetskopior, gratis SSL-certifikat, 24 × 7 expertstöd.

Vi rekommenderar WPEngine managed WordPress hosting company. De erbjuder flera säkerhetslager för att skydda din WordPress-webbplats. Med deras plan får du dagliga säkerhetskopior, gratis SSL, global CDN och 24×7 expertstöd.

Besök WPEngine. [Rabattkod tillagd i denna länk]

Tillbaka till toppen

2. Håll WordPress-versionen uppdaterad

Att hålla din WordPress-webbplats uppdaterad är en bra säkerhetspraxis för att härda din WordPress-säkerhet. Den här uppdateringen innehåller WordPress-versionen, plugins och teman.

I en ny studie, Securi analyseras att 56% av de totala WordPress-infekterade webbplatserna fortfarande var uppdaterade. Om du är en av dem är du i fara.

Varje dag upptäcks nya sårbarheter och det finns inget sätt att stoppa dem. Föråldrad programvara och plugins kan innehålla sårbarheter som hacker kan använda för att utnyttja en webbplats.

Med varje uppdatering inkluderar utvecklare nya funktioner, korrigerar säkerhetshål, fixar buggar etc. Liksom WordPress-programvara måste du också uppdatera dina WordPress-teman och plugins.

Det goda är att WordPress automatiskt rullar ut sina uppdateringar och meddelar sina användare.

Det är mycket enkelt att uppdatera WordPress-versionen, plugins och teman och du kan göra det via din WordPress admin-instrumentpanel.

Hur du uppdaterar WordPress, plugins och teman?

Logga in först på din WordPress-instrumentpanel och gå till instrumentbräda> uppdateringar. Där kan du se om det finns en ny uppdatering tillgänglig.

Notera: Innan du uppdaterar din WordPress-version, ta en fullständig säkerhetskopia av dina filer och databas. Om ett fel inträffar kan du enkelt återställa din webbplats till den tidigare versionen. Du kan enkelt säkerhetskopiera och återställa din webbplats med BlogVault med bara ett klick.

Från sidan kan du se “En uppdaterad version av WordPress är tillgänglig”. Klicka på Uppdatera nu för att uppdatera din WordPress-version, kan den här processen ta några sekunder.

När uppdateringen är klar bläddrar du nedan nedan för att uppdatera dina WordPress-plugins. Vi rekommenderar att du uppdaterar plugins en och en. Välj först ett plugin och klicka på Uppdatera plugins.

Uppdatera dina teman nedan på liknande sätt.

Uppdatera WordPress från Dashboard

Uppdateringsprocessen är dock lite knepig för vissa användare, särskilt de som inte är tekniska.

Vissa hanterade WordPress-värdleverantörer som SiteGround, Kinsta, FlyWheel tillhandahåller automatisk uppdatering funktion. Så om du har ett upptaget schema eller är lat för att uppdatera, kan detta vara användbart.

Läs också, Hur man uppdaterar manuellt WordPress-version, plugins och teman

Tillbaka till toppen

3. Använd aldrig någonting eller spruckna teman och plugins

Det är inte konstigt att premium-plugins och teman innehåller mer funktionalitet och ser professionella ut. Men inga av premiumprodukterna är gratis. Det kommer med ett pris och efter att ha köpt premiumprodukter måste användare ange produktnyckeln för att aktivera produkten.

Men det finns många skadliga webbplatser tillgängliga som erbjuder premiumtema och plugins gratis. Dessa knäckta teman och plugins behöver inte en seriell nyckel för att aktivera och uppdateras aldrig.

Så här menar jag:

Nulled WordPress Plugin Exempel

Dessa nollade teman och plugins är mycket farliga för din webbplats. Hackare injicerar särskilt skadliga koder i den och gör en bakdörr till din webbplats. Så de kan enkelt komma åt din webbplats och hacka din webbplats inklusive databasen.

Så använd aldrig några nollade eller knäckta WordPress-teman och plugins.

Vi rekommenderade starkt att du bara laddar ner gratis teman eller plugins bara från WordPress.org.

Vi förstår att gratis tema eller plugin har mycket begränsade funktioner. Men de gratis teman eller plugins är säkra att använda och uppdateras regelbundet.

Läs också, 7 bästa premiumbloggteman för WordPress

Tillbaka till toppen

4. Använd starka lösenord

Ett lösenord är en primär nyckel för att komma åt din WordPress-webbplats. Om det är enkelt och kort kan hackare enkelt knäcka ditt lösenord. Över 80% av hackingrelaterade överträdelser inträffar på grund av svagt lösenord eller stulet lösenord.

I en ny studie, SplashData avslöjade 100 värsta lösenord 2017.

Här är några av dem:

  1. 123456
  2. Lösenord
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. släpp in mig
  8. 1234567
  9. fotboll
  10. jag älskar dig
  11. administration
  12. Välkommen
  13. apa (lol)

Om ditt lösenord är enkelt som ovan, ändra det omedelbart. Ett lösenord med god styrka bör vara minst 10 siffror och innehålla stora bokstäver, gemener, siffror och specialtecken.

Du kan använda en online-lösenordsgeneratorverktyg för att omedelbart skapa tusentals säkrade lösenord.

Det är också nödvändigt att du sparar lösenordet på din dator.

För att göra det enklare kan du använda lösenordshanteringsprogram för att hantera alla dina lösenord som LastPass, Dashlane osv.

Tvinga fram ett starkt lösenord för användare

Som standard kommer WordPress inte med en funktion som förhindrar användare från att ange svaga lösenord. Oftast ställer användarna ett svagt lösenord för sitt konto och ändrar knappt det.

Om du driver en WordPress-blogg med flera användare, bör du tvinga användare att använda ett starkt lösenord.

För att underlätta denna process kan du använda ett plugin. Installera och aktivera Tvinga starka lösenord plugin och du är klar. Detta kommer att förhindra användare och till och med admin från att ange ett svagt lösenord.

Tillbaka till toppen

5. Lägg till tvåfaktorautentisering (2FA) 

En annan enkel metod för att härda din WordPress-säkerhet är att lägga till tvåfaktorautentisering (2FA) till din WordPress-inloggningssida. I grund och botten är tvåfaktorautentisering eller tvåstegsverifiering en säkerhetsprocess som kräver två metoder för att verifiera din identitet.

Som standard anger vi vanligtvis användarnamn och lösenord för att logga in på en webbplats. Genom att lägga till tvåfaktorautentisering krävs en extra verifieringsprocess som en smartphone-app för att godkänna autentiseringsprocessen.

Så om någon känner ditt användarnamn och lösenord, behöver de din smartphone för att få verifieringskoden för att logga in på din webbplats.

Genom att lägga till tvåfaktorsautentisering säkerställer du inte bara din WordPress-inloggningssida utan också förhindrar brute-force attacker.

Du kan aktivera tvåfaktorautentisering enkelt med hjälp av Googles tvåfaktorautentifierings WordPress-plugin.

När aktiverad, gå till användare> Användarprofil och aktivera plugin.

Google Authenticator-inställningar

Ladda sedan ner Google authenticator-appen från din telefon och skanna Streckkod eller ange Hemlig kod (se skärmdumpen ovan) från din webbplats för att lägga till din webbplats.

När du har lagt till, logga ut från din webbplats. På inloggningssidan ser du ett extra fält där du behöver ange verifieringskoden från Google Authenticator mobilapp.

Google Autentiseringsfält

För detaljerade instruktioner, se guiden för hur du lägger till Googles tvåfaktorautentisering på inloggningssidan för WordPress.

Tillbaka till toppen

6. Ändra URL för inloggningssida för WordPress

Som standard kan vem som helst komma åt din inloggningssida genom att helt enkelt lägga till “wp-admin” eller “wp-login.php” i slutet av ditt domännamn, till exempel: “domain.com/wp-admin” eller “domain.com/ wp-login.php”.

Gissa vad! Hackare kan köra brute-force attack med din inloggningssida. Om du använder ett mycket enkelt lösenord kan hackare enkelt knäcka ditt lösenord och ange din webbplats.

Men tänk om de inte vet var de ska attackera? Ja, du gissade det rätt.

Om du döljer eller byter namn på din webbadress för inloggningssida, skulle hackare inte kunna utföra en brute force-attack.

I WordPress kan du enkelt dölja eller byta namn på din inloggningssida med hjälp av ett plugin. Installera och aktivera från WordPress-plugingalleriet WPS Dölj inloggning plugin.

När aktiverad, gå till inställningar> Allmän och längst ner kan du hitta WP Dölj inloggningsalternativ.

WPS Dölj inloggningsinställningar

Ändra helt enkelt inloggningsadressen “logga in” till något annat som är svårt att gissa och klicka på Spara ändringar.

När du är klar bokmärker du den nya inloggningssidan så är du klar.

Tillbaka till toppen

7. Begränsa inloggningsförsök

Som standard begränsar inte WordPress antalet inloggningsförsök genom inloggningsformuläret. Det betyder att alla vet att din inloggningsadress kan prova inloggningsfunktionen så många gånger de vill. På så sätt kör hackare en brute force-attack för att knäcka ditt “användarnamn” och “lösenord” för att komma åt din webbplats.

Genom att begränsa inloggningsförsök kan du härda WordPress-säkerhet och skydda din inloggningssida från brute force-attacker.

Du kan ställa in ett maximalt antal felaktiga inloggningsförsök som en användare kan göra från samma IP-adress. Om användaren överskrider gränserna kommer användarens IP att blockeras under en viss tid.

Installera om du vill begränsa inloggningsförsök i WordPress Logga in LockDown plugin. När aktiverad, gå till inställningar> Logga in LockDown för att konfigurera plugin.

Logga in LockDown-inställningar

För detaljerade instruktioner, se vår guide om hur du begränsar inloggningsförsök i WordPress

Tillbaka till toppen

8. Säkerhetskopiera din webbplats regelbundet

Säkerhetskopior är som Time Machine. Om du har det är din webbplats säker.

Säkerhetskopieringar skyddar dock inte din webbplats från hackare men det hjälper dig att återställa din webbplats.

Till exempel, om något går fel med din webbplats under uppdateringen eller din webbplats är hackad, hur fixar du din webbplats igen? Du tappar förmodligen din webbplats.

Men om du har säkerhetskopior av din webbplats kan du enkelt återställa din webbplats innan den hackades eller kraschade.

Det är därför vi starkt rekommenderar att du använder ett tillförlitligt WordPress-backup-plugin. Många värdföretag erbjuder dock gratis säkerhetskopiering av webbplatser, men de kan garantera din webbplats tillgänglighet om det är ett katastrofalt fel. Så du måste spara säkerhetskopiorna på en avlägsen plats som Google Drive, Amazon S3, Dropbox osv.

Tack och lov kan detta göras med hjälp av BlogVault eller BackUpBuddy WordPress Backup Plugin. De erbjuder båda dagliga säkerhetskopior och återställning med ett klick. Du kan också skapa en scenplats utan extra kostnad.

Tillbaka till toppen

9. Använd WordPress Security Plugin

Nästa sak du behöver för att härda din WordPress-säkerhet är ett säkerhetsplugin. Det finns många WordPress-säkerhetsplugins tillgängliga som låser din webbplats från hackare och skadlig programvara.

WordPress-säkerhetsplugins kommer att upptäcka och eliminera skadlig programvara om det finns på din webbplats. Dessutom övervakar de användaraktivitet i realtid, meddelar dig om något har förändrats, om ett plugin innehåller skadlig programvara, blockerar skräpposttrafik och många fler.

Vi rekommenderar Securi WordPress Security Plugin. Securi Security erbjuder en annan typ av säkerhetsfunktioner som säkerhetsaktivitetsrevision, webbplatsövervakning, webbplats brandvägg,  och många fler.

SECURI

Det bästa med Securi är att om din webbplats hackas eller svartlistas av Google när du använder deras tjänst, garanterar de att de fixar din webbplats.

De flesta av WordPress-säkerhetsexperter tar ut mer än $ 300 för att fixa en hackad webbplats, medan du bara får alla säkerhetstjänster på bara $ 199 per år. Det är en bra investering för att härda din WordPress-säkerhet.

Tillbaka till toppen

10. Automatisk utloggning Idle-användare

Om en användare förblir inaktiv eller inaktiv på din webbplats för länge kan det orsaka attacker för brute force.

När en användare förblir inaktiv för länge, kan hackare använda cookie eller session kapning metod för att få obehörig åtkomst till din webbplats. Det är därför de flesta av utbildnings- och ekonomirelaterade webbplatser som bank- och betalningsgateway-webbplatser använder timeout-funktion för användare. Så när en användare navigerar bort från sidan och inte interagerar efter en tidsperiod loggar webbplatsen automatiskt ut den inaktiva användaren.

Samma funktion som du kan lägga till på din WordPress-webbplats för att förbättra din WordPress-säkerhet. Det är extremt enkelt att lägga till automatiskt logga ut lediga användare på WordPress. Allt du behöver för att installera ett plugin.

Ladda ner och installera först Inaktiv utloggning WordPress-plugin. Aktivera det sedan och gå till inställningar> Inaktiv utloggning för att konfigurera plugin.

Inställningar för inaktiv utloggningsplugin

Från inställningarna kan du ändra vilotiden. Så efter tiden kommer alla användare på din webbplats att loggas ut automatiskt.

Du kan också ändra inaktivt timeout-meddelande och ändra andra inställningar om det behövs.

När du är klar klickar du på Spara ändringar för att lagra inställningarna.

För detaljerade instruktioner, se vår guide om hur du automatiskt loggar ut inaktiva användare i WordPress

Tillbaka till toppen

11. Lägg till säkerhetsfrågor på inloggningssidan för WordPress

Genom att lägga till säkerhetsfrågor till din WordPress-inloggningssida skyddar du inte bara din WordPress-inloggningssida utan också hårdnar WordPress-säkerhet.

Säkerhetsfrågan lägger till ett extra lager av säkerhet för att ytterligare verifiera din identitet under inloggningen. Det är mycket användbart om du driver en WordPress-blogg med flera författare..

Om någon av din användares eller ditt lösenord har stulits kan säkerhetsfrågan rädda livet.

Eftersom användarnamn och lösenord kan hackas enkelt, men att välja rätt säkerhetsfråga och svar är nästan omöjligt. På det här sättet kan du spara din WordPress-inloggningssida från hackare och brute force-attacker.

För att lägga till säkerhetsfråga på inloggningssidan för WordPress, installera WP-säkerhetsfråga plugin.

Inställningar för WP-säkerhetsfrågor

När aktiverad, gå till WP-säkerhetsfrågor > Plugin-inställningar för att konfigurera plugin.

Som standard har plugin många vanliga frågor tillagda. Men du kan lägga till eller ta bort alla säkerhetsfrågor från listan.

Längst ner kan du aktivera säkerhetsfrågan på inloggningssidan, registrering och lösenordssidan. Efter att plugin-programmet har konfigurerats, glöm inte att klicka på Spara inställning.

Notera: Endast nya användare kan ställa in sin säkerhetsfråga och svar under registreringen. Så registrerade användare måste ställa in sina egna säkerhetsfrågor och svar manuellt. Du kan också ställa en säkerhetsfråga och svara för dem. Detta kan göras från Användarprofil sida.

Lägg ofta till WP-säkerhetsfrågor

För detaljerade instruktioner, se vår guide om hur du lägger till säkerhetsfrågor till inloggningssidan för WordPress

Tillbaka till toppen

12. Ändra användarnamnet “Admin” som standard

När du har installerat WordPress kan du ändra ditt lösenord så många gånger du vill. Men kan du ändra ditt användarnamn när det har ställts in? Ingen rätt?

Som standard tillåter inte WordPress användare att ändra användarnamn. Men varför ska du ändra det??

Om du använder ett mycket vanligt användarnamn som “admin”, kan hackare köra brute force attach med hjälp av ditt användarnamn.

Men få inte panik. Det finns flera sätt att enkelt ändra din WordPress.

För att underlätta processen kommer vi dock att använda ett plugin. Ladda ner och installera först användarnamn växlare plugin. Gå sedan till användare> Din profil och hitta alternativet för användarnamn. Där hittar du alternativet ”Ändra användarnamn”.

Ändra användarnamn för WordPress

Klicka på Ändra användarnamn -knappen och ange ditt nya användarnamn. När du är klar klickar du på Uppdatera profil.

Om du vill ändra ditt användarnamn manuellt (utan plugin), kolla in artikeln 3 olika sätt att ändra WordPress användarnamn.

Tillbaka till toppen

13. Tilldela användare till lägsta möjliga roll

Om du driver en WordPress-webbplats med flera författare måste du vara försiktig innan du tilldelar en roll till en användare.

Många gånger tilldelar WordPress webbplatsägare en högre användarroll till nya användare, på det här sättet ger du alla privilegier till användare, och som ett resultat kan alla användare kunna utföra alla uppgifter vad de vill.

Om du till exempel inte vet vad en Editor-användarroll kan utföra och du tilldelar rollen till en vanlig användare kan användaren radera alla dina inlägg, redigera länkar, skapa spammy-inlägg, lägga till skadliga länkar i din blogg inlägg. Så här kan en användare enkelt förstöra din webbplats.

Som standard kommer WordPress med fem olika användarroller.

  • Administratör
  • Redaktör
  • Författare
  • bidragande
  • Abonnent
  1. Administratör: Administratörer är den mest kraftfulla användarrollen på en WordPress-webbplats. De kan skapa, redigera och ta bort ett användarkonto, kan utföra valfri uppgift i hela WordPress adminpanelen, ha kontroll över hela innehållsområdet och även måttliga kommentarer. 
  2. Redaktör: Användare med Editor-rollen har full kontroll över hela innehållet. De kan skapa, redigera och ta bort alla inlägg inklusive de inlägg som skapats av andra användare. De kan också moderera kommentarer och ändra länkar.
  3. Författare: Författare kan bara publicera, redigera eller ta bort sina egna inlägg. De kan ladda upp mediefiler att använda i sina inlägg. De kan se kommentarerna men kan inte godkänna eller ta bort några kommentarer.
  4. Deltagare: Användare med rollen som bidragsgivare kan bara skriva, redigera eller ta bort sitt eget opublicerade inlägg, men de kan inte publicera sitt eget inlägg.
  5. Abonnent: Prenumeranter kan bara redigera sin kontoinformation inklusive lösenord, men de har inte tillgång till innehållet eller webbplatsinställningarna. De har de lägsta funktionerna på en WordPress-webbplats.

Genom att förstå användarrollerna i WordPress kan du enkelt hantera dem utan risk.

Vi rekommenderar också att du bör ställa in New User Standard Roll som prenumerant. Gå till Inställningar> Allmänna inställningar och från deras uppsättning Ny användars standardrolle Abonnent och klicka på Spara ändringar.

WordPress New User Standardroll

För mer information, läs nybörjarhandboken för WordPress-användarroller och -funktioner

Tillbaka till toppen

14. Övervaka filändringar och användaraktiviteter

Ett annat smart sätt att härda WordPress-säkerhet är genom att övervaka användaraktiviteter och filändringar. 

Om du driver en WordPress-webbplats med flera användare bör du spåra användarnas beteende för att bättre förstå vad som är deras aktiviteter genom din WordPress-webbplats.

Vem vet, om en användare gör misstänkt arbete eller försöker hacka din webbplats? Hur kan du veta det?

Det enda sättet att spåra användaraktiviteter och filändringar är att använda en WordPress-plugin för en användaraktivitet. Genom att använda ett användaraktivitetsplugin i WordPress kan du:

  • se vem som är inloggad och vad gör de i realtid
  • när en användare loggar in och loggar ut
  • hur många gånger en användare försökte logga in men misslyckades

Dessutom, om en redaktör gjorde några ändringar i ett inlägg eller en sida utan din tillåtelse, kan du enkelt ta reda på det och återgå till det. Det bra med ett plugin för användaraktivitet är att det direkt skickar ett e-postmeddelande om något går fel.

WP Security Audit Log är den bästa plugin för att övervaka användaraktiviteter och filändringar i realtid. Här är en skärmdump nedan hur plugin fungerar.

WordPress Audit Log Viewer

Läs också, 5 bästa plugins för att övervaka användaraktivitet i WordPress (alternativa plugins)

Tillbaka till toppen

15. Implementera SSL och HTTPS

WordPress-säkerhet kan inte förbättras utan ett SSL-certifikat. En SSL (Secure Socket Layer) är ryggraden i webbplatsens säkerhet.

SSL är en standard säkerhetsteknik som skapar krypterade länkar mellan en server och en webbläsare i en online-kommunikation, t.ex. en online-transaktion. Så all känslig information som lösenord, kreditkortsuppgifter osv passerar krypterade länkar.

Om du driver ett onlineföretag eller en blogg där du accepterar betalning är ett SSL-certifikat ett måste. Det kommer att hålla din kunds data säkra från hackare. För onlinebutiker eller WooCommerce-webbplatser kostar SSL-certifikat cirka $ 20 – $ 170.

Om du driver en WordPress-blogg behöver du inte betala SSL-certifikat. Om du använder cPanel-värd som SiteGround, WPEngine kan du installera SSL-certifikat gratis med bara ett klick.

Logga in på ditt värd cPanel-konto och navigera till säkerhet.  (Här är en skärmdump nedan från SiteGround-värd cPanel.)

SG SSL

Gå till SSL / TLS Manager och klicka på Installera SSL-certifikat. Välj din domän från sidan och klicka på Autofyllning efter domän. Processen är automatisk så att du inte behöver redigera eller ändra någonting.

Site Ground Install SSL-certifikat

Klicka nu på Installera certifikat för att avsluta installationsprocessen.

När du är klar loggar du in på din WordPress admin-instrumentpanel för att ändra din webbadress. Gå till inställningar> Allmän och lägg till ersätt HTTP med HTTPS före din webbadress. Här är en skärmdump nedan.

WP HTTPS

När du har uppdaterat klickar du på Spara ändringar.

Hur man omdirigerar HTTP till HTTPS i WordPress

Om du har installerat SSL-certifikat ordentligt, är din webbplats tillgänglig med HTTPS.

Men om någon bara skriver ditt webbplatsnamn (dvs. domain.com) i webbläsarens adressfält, kan webbplatsen visa meddelandet “Anslutning är inte säkert”. Det betyder att din webbplats är tillgänglig med HTTP.

För att lösa problemet måste du tvinga HTTPS i WordPress, så din webbplats laddas bara med HTTPS. Du kan enkelt tvinga HTTPS i WordPress.

Logga in först på din cPanel-värd och gå till rotmappen på din webbplats och hitta .htaccess fil. Redigera .htaccess-filen och lägg till följande kod i slutet.

RewriteEngine On
RewriteCond% {HTTPS} av
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Spara filen så är du klar. Nu är din webbplats endast tillgänglig med HTTPS.

Om din webbhotell inte tillhandahåller ett gratis SSL-certifikat kan du installera ett SSL-certifikat manuellt. Här är guiden för hur du installerar gratis SSL-certifikat.

Tillbaka till toppen

16. Ta bort oanvända teman och plugins

När det gäller härdning av WordPress-säkerhet bör vi inte ignorera något litet steg som kan göra din webbplats sårbar. 

För det mesta installerar WordPress webbplatsägare olika teman och plugins för att testa vilket tema som ser bättre ut på deras webbplats eller vilket plugin som har mer funktionalitet. Det är ok. Men att hålla de oanvända teman och plugins gör din webbplats sårbar.

För att behålla många WordPress-teman och plugins måste regelbundet uppdateras som det du använder. Om du inte uppdaterar dem, blev de sårbara och hackare kan enkelt utnyttja din webbplats genom de sårbara teman och plugins. Förutom att hålla så många teman och plugin gör WordPress-webbplatsen långsammare.

Så du bör alltid ta bort oanvända teman och plugin för att förbättra webbplatsens prestanda och WordPress-säkerhet.

För att ta bort ett oanvänt plugin, gå till plugins> Installerade plugins. Hitta sedan plugin som du inte behöver längre. Avaktivera först plugin-programmet och klicka på Radera.

WordPress-plugin-radering

På samma sätt går du till om du vill ta bort ett tema Utseende> teman och klicka på Temadetaljer. Klicka sedan längst ner på höger sida Radera.

Radera tema

Tillbaka till toppen

17. Inaktivera filredigering i WordPress Dashboard

Som standard tillåter WordPress användare att redigera tema- och plugin-filer direkt från WordPress-instrumentpanelen. Detta är ett användbart alternativ för användare som ofta behöver redigera temat och plugin-filen.

WordPress Theme Editor

Att hålla denna funktion aktiverad kan dock vara en allvarlig säkerhetsproblem. Om hackare går in på din webbplats lämnar de vanligtvis sitt fotavtryck genom att injicera skadlig kod i webbplatsfiler. Om din WordPress-filredigeringsfunktion är aktiverad kan hackare enkelt injicera skadlig kod i ditt tema eller plugin-fil som kommer att vara okänd för dig.

För att förbättra WordPress-säkerheten måste du inaktivera filredigeringsfunktionen från din WordPress-instrumentbräda. Att inaktivera WordPress-tema och plugin-redigerare i WordPress är mycket enkel process.

Först måste du logga in på ditt värd cPanel-konto och gå till rotmappen på din WordPress-webbplats. Därifrån, hitta wp-config.php. Klicka på redigera och lägg till följande kod i slutet.

definiera (‘DISALLOW_FILE_EDIT’, sant);

Spara nu filen och uppdatera din WordPress-instrumentpanel. Du ser att alternativet för tema- och pluginredigerare har gått. Med det här lilla tricket kan du enkelt förbättra WordPress-säkerheten.

Läs den detaljerade guiden om hur du inaktiverar temat och pluginredigerare i WordPress

Tillbaka till toppen

18. Lösenordsskydd inloggningssida för WordPress

Ett annat bra sätt att förbättra WordPress-säkerheten är att lösenordsskydda inloggningssidan för WordPress.

Genom att lösenord skydda din WordPress-inloggning (/wp-login.php) eller admin (https://cdn.wpmyweb.com/wp-admin) -sidan kan du förhindra hackare att komma åt din inloggningssida eftersom det kräver ett lösenord för att komma åt login sida. Verifiering krävs popup-rutaNär den här funktionen har aktiverats uppmanar din webbplats alla användare att komma in på inloggningssidan med ett användarnamn och ett lösenordsfönster. Kort sagt, alla användare måste logga in två gånger med olika användarnamn och lösenord innan de kommer till din WordPress admin-instrumentpanel.

Genom att göra det kan du stärka din WordPress-säkerhet och lägga till ett extra lager av säkerhet på din inloggningssida.

Läs vår djupgående guide om hur du lösenordsskyddar inloggningssidan för WordPress.

Tillbaka till toppen

19. Inaktivera katalogsökning i WordPress

Som standard tillåter de flesta webbservrar som Apache, NGINX och LiteSpeed ​​alla användare att bläddra i katalogerna som innehåller WordPress-filer och -mappar. De kan också se vilket tema och plugins du använder och veta mer om din webbplatsstruktur.

Indexsida för en WordPress-webbplats

Denna information kan leda till att din WordPress-webbplats är sårbar och hjälpa en hacker när du försöker kompromissa med din webbplats.

För att förbättra WordPress-säkerheten rekommenderar vi att du inaktiverar det här alternativet. För att inaktivera katalogsökning i WordPress, lägg bara till följande rad till din .htacces fil.

Alternativ Alla -index

För detaljerade instruktioner, läs vår guide om hur du inaktiverar katalogsökning i WordPress

Tillbaka till toppen

20. Ta bort din WordPress-version

Som standard lägger WordPress automatiskt till metataggar på olika platser som visar WordPress-versionen du använder.

Här är saken: om hackare vet att du kör en föråldrad WordPress-version kan de utnyttja din webbplats genom de kända sårbarheterna som finns i den äldre WordPress-versionen.

Så det är bättre att du tar bort din WordPress-version för att förbättra WordPress-säkerheten. Det finns flera platser där WordPress lägger till metataggar som i WordPress-instrumentpanelen, i rubriken, i stil och javascript och i RSS-flödet.

Ta bort WordPress-versionen från rubriken och RSS

För att ta bort versionen från rubriken och RSS, lägg till följande rad i slutet av din functions.php fil.

funktion remove_wordpress_version () {
lämna tillbaka ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Ta bort WordPress-versionens nummer från skript och CSS

För att ta bort WordPress-versionen från CSS och skript, lägg till följande rad i slutet av din functions.php fil.

// Välj ut versionsnumret från skript och stilar
funktion remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
returnera $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

När du är klar sparar du filen function.php.

Det är allt. Med detta enkla trick kan du säkert förbättra din WordPress-säkerhet. Vi rekommenderar dock alltid att du regelbundet uppdaterar din WordPress-version samt tema och plugins.

För detaljerade instruktioner, läs vår guide om hur du döljer eller tar bort WordPress-versionen

Tillbaka till toppen

21. Ändra prefix för WordPress-databasstabellen

Under WordPress-installationen frågar det om du vill använda ett annat databasprefix. Vi hoppar vanligtvis över detta steg, så WordPress använder automatiskt (WP_) som standarddatabasets prefix. Vi rekommenderar att du ändrar det till något starkt och unikt.

Om du använder standardprefixet (WP_) gör din WordPress-databas känslig för SQL-injektionsattacker. Sådana attacker kan förhindras genom att ändra databasprefixet (WP_) till något unikt.

När du har installerat WordPress kan du enkelt ändra standarddatabasets prefix med hjälp av plugins eller manuellt. Plugins som BackupBuddy, Brozzme DB Prefix låter dig ändra tabellprefixet med bara ett klick.

För tutorials skull visar jag hur man ändrar den med Brozzme DB Prefix plugin.

Notera: Innan du gör något med din databas, se till att du tar en säkerhetskopia av din webbplats och databas. Om något går fel kan du återställa din webbplats.

Installera och aktivera först Brozzme DB Prefix plugin. Gå till din WordPress-instrumentbräda Verktyg> DB-prefix och ange ett nytt unikt namn för databasprefixet.

Brozzme DB Prefix

När du har angett ditt nya prefix klickar du på Ändra DB-prefix.

För den manuella processen, läs hur du ändrar prefix för databastabellen med phpMyAdmin

Tillbaka till toppen

22. Använd endast betrodda WordPress-plugins

WordPress levereras med mer än 48 000 plugins. Det betyder inte att alla plugins är användbara och säkra att använda.

Eftersom det finns många plugins tillgängliga i WordPress-plugingalleriet som inte uppdateras på länge och vanligtvis blev de sårbara. Dessutom skulle du inte få något stöd om plugin-programmet bryter din webbplats.

Innan du använder något gratis plugin, två viktiga saker du behöver kontrollera,

  • Kontrollera när plugin senast uppdaterades: Om plugin-programmet inte uppdateras ofta eller inte längre underhålls av plugin-utvecklaren, bör du undvika plugin-programmet.

Föråldrad WordPress Plugin-version

  • Kontrollera om plugin-programmet har högsta positiva betyg: Nästa sak du behöver för att kontrollera om plugin har högsta positiva eller negativa betyg. Om plugin-programmet har högsta negativa betyg bör du inte använda det.

WordPress Low Rated Plugin

Du kan också kontrollera pluginens recensioner och support-sida för att se vad andra användare säger om plugin-programmet.

Men oroa dig inte. Det finns många liknande plugins tillgängliga från WordPress-plugingalleriet.

Om du vill använda ett premium-plugin behöver du inte oroa dig för det. Premium-plugins uppdateras regelbundet och du får 24x support från plugin-utvecklaren.

Tillbaka till toppen

23. Inaktivera PHP-felrapportering

Ett annat bra sätt att härda WordPress-säkerhet är genom att inaktivera PHP-felrapport i WordPress. Många gånger, när du installerar en föråldrad plugin eller ett tema, kan du se PHP-felvarningen.

WordPress PHP-felvarningDet kan emellertid leda din webbplats sårbar om hackare får den eftersom den visar koden och filplatsen. För att minimera risken kan du inaktivera PHP-felrapportering i WordPress.

Att inaktivera PHP-felvarning i WordPress är mycket enkelt. Redigera först din wp-config.php arkivera och hitta den rad som har den här koden:

definiera (‘WP_DEBUG’, falsk);

Du kanske ser “sant” istället för “falskt”. Byt ut raden mot följande kod.

ini_set ( ’display_errors’,’Av’);
ini_set (‘error_reporting’, E_ALL);
definiera (“WP_DEBUG”, falsk);
definiera (‘WP_DEBUG_DISPLAY’, falsk);

Spara filen så är du klar.

Vi rekommenderar också att du använder uppdaterade och väl rankade plugins för att undvika denna typ av problem.

Tillbaka till toppen

24. Lägg till HTTP Secure Headers till WordPress

Ett annat bra sätt att härda WordPress-säkerhet är att lägga till HTTP-säkra rubriker till din WordPress-webbplats.

När någon går in på din webbplats gör webbläsaren en begäran till din webbserver. Sedan svarar webbservern med förfrågningarna tillsammans med HTTP-rubriker. Dessa HTTP-rubriker skickar information som innehållskodning, cache-kontroll, innehållstyp, anslutning etc..

Genom att lägga till säkra HTTP-svarrubriker kan du förbättra din WordPress-säkerhet och förhindra också attacker och säkerhetsproblem.

Här är HTTP-rubrikerna nedan:

  • HTTP strikt transportsäkerhet (HSTS): HTTP Strict Transport Security (HSTS) tvingar webbläsaren att endast använda säkra anslutningar (HTTPS) när man kommunicerar med en webbplats. Detta förhindrar SSL-protokollhack, cookie kapning, SSL strippning osv.
  • X-Frame-alternativ: X-Frame-Options är en typ av HTTP-rubrik som anger huruvida en webbläsare får göra en webbplats i en ram eller inte. Detta förhindrar clickjacking-attacker och ser till att din webbplats inte är inbäddad i andra webbplatser som använder .
  • X-XSS-skydd: X-XSS-Protection är en inbyggd funktion i webbläsare för Internet Explorer, Google Chrome, Firefox och Safari som blockerar sidorna från att laddas om ett skadligt skript har infogats från en användarinmatning.
  • X-Content-Type-alternativ: Alternativ för X-Content-Type är en typ av HTTP-svarhuvud med värdet nosniff som förhindrar webbläsare från att MIME-sniffa ett svar från den deklarerade innehållstypen.
  • Hänvisningsadress-Regler: Referreringspolicy är en HTTP-svarhuvud som förhindrar läckage mellan domänreferenser.

För att lägga till säkra HTTP-rubriker i WordPress, lägg bara till följande kodrader i din .htaccess fil.

Header set Strict-Transport-Security "max-ålder = 31536000" env = HTTPS
Rubriken ska alltid bifoga X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection "1; mode = blocket"
Header set X-Content-Type-Options nosniff
Policy för rubrikreferenser: ingen referens-när-nedgradering

Kontroll av säkerhetsrubriker

Gå nu till securityheaders.com för att kontrollera om koderna fungerar eller inte. Vi har inte lagt till “Content Security Policy” eftersom det kan bryta din webbplats. Det räcker dock att göra din WordPress-webbplats säker.

Tillbaka till toppen

Slutsats

Det finns många sätt du kan härda WordPress-säkerhet som: använda en hanterad WordPress-värd, använda starka lösenord för konton, övervaka användaraktiviteter, använda en WordPress-säkerhetsplugin, implementera SSL och HTTPS och många fler.

Harding WordPress-säkerhet är inte raketvetenskap. Du kan enkelt säkra din WordPress-webbplats genom att implementera bästa praxis för WordPress-säkerhet som vi delade i den här artikeln. Genom att implementera dem kommer du inte bara att säkra din WordPress-webbplats utan också förhindra hackare att komma åt din webbplats.

När du är klar behöver du inte oroa dig för din WordPress-säkerhet. Dessutom kan du vara mer produktiv och fri från belastning.

Nu är det din tur. Läs artikeln noggrant och implementera dem på din webbplats. Du kommer att vara glad att du gjorde det. ��

Har vi missat några viktiga WordPress-säkerhetstips att nämna här? känn dig fri att meddela oss i kommentaravsnittet.

WordPress Security Infographic

Wordpress-Security-Infographic-Small-storlek

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector