Tips for WordPress sikkerhet

Med forholdsvis enkle grep kan du øke sikkerheten på ditt WordPress nettsted. Vi gir deg noen tips på hva du enkelt kan gjøre selv.

Angrep på populære webapplikasjoner/publiseringsløsninger som WordPress er dessverre normalt. Spesielt er angrep mot sikkerhetshull i WordPress veldig vanlig.

Men, med enkle grep grep kan du øke din sikkerhet betraktelig. Her er det vi anbefaler alle våre kunder å gjøre:

  1. Hold publiseringsløsningen (WordPress) oppdatert.

    WordPress har i seg selv en automatisk oppdateringsrutine på “mindre versjoner”. Om nettstedet ditt sier det er nye oppdateringer for WordPress ta sikkerhetskopi, oppdater utvidelser, temaer og WordPress i seg selv.

  2. Hold utvidelsene og temaer du benytter oppdatert.

    Benytter du utvidelser eller temaer fra tredjepart, og de ikke kan oppdateres enkelt, se om det finnes alternativer – du skal ikke måtte betale dyrt for nettsteds-sikkerheten din.

  3. Bruk kun temaer og utvidelser du absolutt har behov for.

    Slett temaer og utvidelser du ikke bruker (temaet/utvidelsen er fortsatt tilgjengelig selv om man bare deaktiverer). Desto færre utvidelser, desto bedre.

  4. Beskytt administrasjonsområdet med 2-faktor-autentisering.

    Du kan benytte  hardware-løsninger (noe lignende nøkkelkode-generatoren for nettbanker), eller programvare-baserte autentiseringsløsninger (f.eks. Google Authenticator).
    Dette vil vanskeliggjøre innloggingsangrep mot nettsiden betraktelig.

  5. Bruk et passord som ikke vil være lett å gjette.

    Et av de mest brukte passordene i verden er “1234” – lag noe som er en god del vanskeligere (bruk gjerne en setning om mulig).
    Vi anbefaler å lage passord som inneholder både små og store bokstaver, spesialtegn og tall, eller deler av en setning kun du klarer forbinde med nettstedet ditt.

 

Slik beskytter vi i WP-Hosting ditt nettsted

Vi følger nøye med på nye sikkerhetsvarsler som dukker opp vedr. feil/mangler/angrep mot WordPress. Vi sjekker daglig diverse eksterne foraer, epostlister og nettsteder som omhandler WordPress-løsninger og WordPress-sikkerhet. Internt sjekker vi også konstant våre egne systemer, slik at vi raskt kan identifisere og blokkere angrep.

Om vi ser et sikkerhetshull eller at en feil oppstår pga. mulig angrep har vi muligheten til å lage egne regelsett for våre servere for å beskytte deg som kunde.

modsecurity logo

For eksempel beskytter vi nettstedet ditt fra de følgende angrepene med server-reglene vi benytter (dette er bare noen av angrepsvektorene vi beskytter deg mot):

  • SQL Injection (injisering av SQL-data som normalt sett ikke er gyldig for nettstedet).
  • Fjerninkludering av filer (ressurs-lasting fra annen site).
  • Lokal filinkludering (ofte brukt ved videre angrep mot sikkerhetshull – dette er som regel forsøk på å lese filer og omgå innlogging/aksesslister).
  • XSS (cross-site scripting).
  • og mer generelt: de fleste kjente sikkerhetshullene i WordPress og populære utvidelser.

Vårt mål er å sørge for at du er beskyttet best mulig og fortsatt opplever tjenesten vår som responsiv og fungerende.

Viktig: Selv om vi alltid reagerer så hurtig som mulig kan vi ikke garantere for at nettstedet ditt er 100% beskyttet til enhver tid mot de aller nyeste hacks/exploits.
Det er derfor viktig å følge anbefalingene med å holde “angrepsflaten” så liten som mulig (se punkt 3 ovenfor).

Kan ModSec-regler medføre problemer med utvidelser?

I noen tilfeller kan det skje at ModSec blokkerer kall og funksjoner som installerte utvidelser benytter seg av – vi ser dog på sikkerheten for våre kunder som langt viktigere enn evt. problemer med en utvidelse.

Feil med 403- eller 503- meldinger kan indikere et problem med ModSecurity-implementasjonen vi benytter, og vi ber da om at dere tar kontakt med oss via vår support.
Vi vil da sjekke hendelsen for å se om det er konflikt mellom en av våre regler og utvidelsene dine, og justerer deretter ut fra hva vi finner.