WordPress-sikkerhed | Guide til beskyttelse af din hjemmeside

WordPress er verdens mest brugte CMS. Det er der mange gode grunde til, herunder de utallige tilpasningsmuligheder, du får, når du laver din hjemmeside med WordPress.

Selvom WordPress er bygget på sikker software, der løbende vedligeholdes og forbedres af et stort antal udviklere, har systemets popularitet gjort det til et attraktivt mål for cyberangreb.

Det betyder, at det er altafgørende, at du prioriterer WordPress-sikkerhed højt, uanset om du har en enkel WordPress-blog eller en mere omfattende hjemmeside. Gør du det, mindskes risikoen for, at din side og dine data bliver mål for skadelige angreb.

Heldigvis er der mange ting, du kan gøre, for at beskytte din WordPress-hjemmeside, også selvom du ikke har en masse teknisk viden. I denne guide, giver vi dig en liste over sikkerhedsforanstaltninger, du nemt kan implementere, for at forbedre cybersikkerheden på din hjemmeside.

Hvorfor er det så vigtigt at beskytte WordPress?

Svaret er kort og godt, at du, ved at prioritere WordPress-sikkerhed, kan beskytte din WordPress-hjemmeside imod skadelige cyberangreb, der kan ødelægge dine vigtige data, få din hjemmeside til at bryde sammen eller lede til identitetstyveri.

Formålet med et hackerangreb er typisk at stjæle personlige oplysninger, sprede malware eller tage kontrol over en hjemmeside,

Ved at sørge for, at din WordPress-side er sikker, kan du derfor både beskytte dig selv og dine brugere, og samtidig sørge for, at din virksomheds omdømme forbliver intakt.

WordPress-beskyttelse: Sådan gør du

I dette afsnit får du en liste over sikkerhedsforanstaltninger, der vil hjælpe dig med at beskytte din WordPress-hjemmeside.

Sikker WordPress-hosting

For at sørge for, at din hjemmeside starter med det sikreste fundament, er det afgørende, at du vælger en hostingudbyder, der har helt styr på sikkerheden. Det bedste er at vælge en host, der inkluderer malware-beskyttelse, automatiske backups og et SSL-certifikat. Hos en god WordPress-host, vil du desuden have adgang til support, når du har brug for det. Det giver dig det bedste udgangspunkt, når du lancerer dit onlineprojekt.

Hold WordPress opdateret

En af de vigtigste ting, du kan gøre, for at sikre optimal sikkerhed på din hjemmeside er at opdatere WordPress regelmæssigt. WordPress lancerer løbende nye opdateringer, der reparerer sårbarheder. Sørger du for, at din WordPress-kerne, dine temaer og plugins altid er opdaterede, mindskes risikoen for cyberangreb.

Selvom din hjemmeside og dine plugins fungerer som de skal, kan de alligevel have fejl og sårbarheder, som du ikke selv vil lægge mærke til, før uheldet er ude. Det er disse sårbarheder, du kan undgå ved at opdatere.

At springe vigtige opdateringer over, er næsten det samme som at lade hoveddøren stå åben, noget langt de fleste ikke ville føle sig trygge ved.

Vil du slippe for besværet med at opdatere manuelt og samtidig øge sikkerheden på din hjemmeside yderligere, anbefaler vi Managed WordPress, hvor vi sørger for, at din hjemmeside altid er opdateret og fungerer som den skal. Managed WordPress kan du læse mere om længere nede i artiklen.

SSL og HTTPS

SSL står for Secure Sockets Layer. Det er en protokol, der krypterer dataoverførslen fra din hjemmeside til brugerens browser.  Ved at aktiverer SSL på din hjemmeside, forhindrer du, at uvelkomne tredjeparter og hackere kan få adgang til dine eller dine brugeres personlige oplysninger, såsom kreditkortnummer, adgangskoder eller andre følsomme data.

Når et SSL-certifikat aktiveres på din hjemmeside vil dens adresse skifte fra HTTP til HTTPS, som er en sikker krypteringsprotokol. Efter aktiveringen af SSL-certifikatet, vil der desuden blive vist et hængelåsikon øverst i browserens adressefelt, til venstre for din hjemmesides URL. Hængelåssymbolet viser dine besøgende, at din WordPress-side er sikker.

Et SSL-certifikat skal du almindeligvis betale for, men vælger du WordPress-hosting hos one.com, er der et SSL-certifikat inkluderet i din hostingpakke, uanset, hvilken pakke du vælger.

Stærke adgangskoder

Alle ved at sikre adgangskoder er vigtige i alle sammenhænge, men alligevel springer vi tit over, hvor gærdet er lavest, når vi skal finde på en adgangskode. Det er altid en dårlig idé, fordi det kan være netop din dårlige eller genbrugte adgangskode, der forårsager et cyberangreb eller medfører, at dine personlige data kommer i de forkerte hænder. Jo flere steder, du genbruger den samme adgangskode, desto større er risikoen.

Derfor bør du altid sørge for, at du har stærke adgangskoder alle steder på din WordPress-hjemmeside.

En stærk adgangskode

• Indeholder mindst 12 tegn
• Genbruges ikke flere steder
• Deles ikke med andre
• Er ikke en variation af en af dine andre adgangskoder
• Indeholder en kombination af store og små bogstaver, tal og specialtegn (! & @)

Hvis du, som mange andre, synes det er svært at huske alle dine forskellige adgangskoder, kan du bruge en password-manager. En password-manager er et program, en app eller en hjemmeside, der samler alle dine adgangskoder ét sted. Her beskyttes alle koderne med én overordnet adgangskode. Det betyder, at du kun skal huske koden til din password-manager, for at få adgang til alle dine koder.

Læs mere om adgangskodebeskyttelse i vores artikel Beskyt din WordPress-hjemmeside med en adgangskode.

To-faktor-godkendelse (2FA)

Ved at aktivere to-faktor-godkendelse, kan du gøre din hjemmeside endnu mere sikker. Når du gør det, skal der, udover adgangskoden, bruges en anden form for godkendelse, ved indlogning. Den sekundære godkendelse kan ske ved hjælp af en unik engangskode, der sendes som SMS til dit telefonnummer eller en kode, der skabes i en autentificeringsapp, så som denne fra Google.  I visse tilfælde, vil det også være muligt at bruge sit fingeraftryk eller ansigtsgenkendelse som trin to, hvis din telefon eller tablet har denne mulighed.

To-faktor-godkendelse yder ekstra beskyttelse mod hackerangreb, fordi hackeren ikke vil kunne få adgang til din hjemmeside selvom de har fået fingre i din adgangskode. Hoster du din WordPress-hjemmeside hos one.com, kan du yderligere beskytte din side ved at aktivere Advanced Login Protection direkte dit kontrolpanel.

Tildel kun nødvendige brugerrettigheder

Er der andre end dig, der har adgang til din WordPress-side? Så bør du sørge for at administrere brugerrettighederne på en sikker måde. For hver ny bruger, du opretter, åbner du nemlig et potentielt smuthul for hackere. Giv kun dine brugere, de rettigheder, de faktisk har brug for. Har du fx en ven eller en ansat, der hjælper dig med at læse korrektur eller skrive hjemmesidetekster, har de kun brug for redigeringsrettigheder og ikke administratorrettigheder.

Er der tale om en bruger, der skal læse korrektur på indholdet, flere steder på din hjemmeside, kan du give vedkommende rollen Redaktør. Hvis brugeren i stedet er en tekstforfatter, der udelukkende skal kunne skrive og redigere sine egne artikler, er rollen Forfatter det bedste valg.

Det er desuden en god idé, at du regelmæssigt gennemgår dine brugere, og sletter dem, der ikke længere er aktuelle.

Sørg for at ændre dit admin-brugernavn

Det er ikke kun din adgangskode, der skal være stærk og unik. Dit WordPress admin-brugernavn bør også være unikt, for at mindske risikoen for et brute force-angreb. Når du har oprettet din WordPress-hjemmeside, kan du manuelt ændre brugernavnet i tabellen wp_users i phpMyAdmin, et værktøj, der er foudinstalleret i din hostingpakke, når du hoster din WordPress-side hos one.com.

Du kan tilgå PHP & Database indstillinger i kontrolpanelet under Avancerede indstillinger.

1. Find tabellen wp_users (den kan også hedde 0_users).
2. Find admin-brugernavnet og klik Edit.
3. Under user_login skal du indtaste et nyt brugernavn i feltet Value.
4. Klik Go for at gemme.

Lav backups

Uanset, hvor god sikkerheden er på din WordPress-hjemmeside, vil der altid være en risiko for, at der sker noget uforudset, såsom et cyberangreb eller en teknisk fejl. Backups er dit sikkerhedsnet i sådan en situation. Har du lavet en backup, vil du nemt kunne gendanne din hjemmeside og funktionerne på den, og dermed forhindre en længere nedetid, der kan skade din virksomheds omdømme og omsætning.

Undgå usikre plugins

Der findes et stort antal betalte og gratis WordPress-plugins, du kan bruge for at udvide funktionaliteten på din hjemmeside. Desværre er der dog en del af disse, der kan udgøre en sikkerhedsrisiko for din hjemmeside eller lede til tekniske fejl, der forhindrer din side i af fungere.

Listen over plugins, der kan beskadige din side eller udgøre en sikkerhedsrisiko, er ganske lang. Her er hele vores liste over frarådede WordPress-plugins.

Vi kan anbefale disse plugins, som både har god sikkerhed og sikrer, at din hjemmesides ydeevne altid er i top.

Sikre plugins:

• Contact Form 7
• Contact Form by WP Forms
• Imagify
• Jetpack
• Site Kit by Google
• Social Media Share Buttons
• WooCommerce
• WP Mail SMTP
• YARPP
• Rank Math SEO
• WP Rocket

Fjern plugins, du ikke længere har brug for

Og nu vi snakker om plugins, så bør du også altid sørge for at fjerne de plugins, du ikke bruger længere. At have et stort antal plugins kan medvirke til dårligere sikkerhed. Derfor bør du regelmæssigt gennemgå dine plugins, og fjerne dem, der bare ligger og samler digitalt støv. Her er det dog naturligvis vigtigt, at du først sikrer dig, at det pågældende plugin ikke bruges til vigtige funktioner på din hjemmeside.

Deaktiver PHP-eksekvering

Hos one.com kan du installere WordPress med ét enkelt klik. Hvis du gør det, kan du let og elegant springe dette punkt over.

Har du installeret WordPress manuelt, bør du deaktivere PHP-eksekvering i upload-mappen. Ved at gøre det, kan du afværge cyberangreb, hvor malware spredes fra en PHP-bagdør til resten af din hjemmeside.

For at deaktivere PHP-eksekvering, kan du tilføje nedenstående kodelinjer til filen .htaccess. Den finder du i upload-mappen (wp-content/uploads).

# Block executables
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
    deny from all
</FilesMatch>

Sikkerhedsovervågning

Sikkerhedsovervågning indebærer, at din WordPress-side scannes for eventuelle sårbarheder, der kan misbruges af hackere. Når sikkerhedsovervågningen gennemføres, scannes alle dele af din hjemmeside, inklusive temaer og plugins, hvilket markant minimerer risikoen for, at du oplever uforudsete fejl eller bliver udsat for cyberangreb.

Vælger du en WordPress-host, der tilbyder automatisk, daglig sikkerhedsovervågning, sikrer du, at din hjemmeside altid er godt beskyttet mod angreb.

Managed WordPress for endnu bedre beskyttelse

Som vi var inde på tidligere, kan det være tidskrævende og besværligt at sørge for opdateringer, backups og ekstra sikkerhedsforanstaltninger manuelt. Hvis du helst vil slippe for det og spare tid, kan du vælge tjenesten Managed WordPress som inkluderer:

• Sårbarhedsovervågning med automatiske sikkerhedspatches
• Automatisk opdatering af plugins og temaer med visuelle tests
• Oppetidsovervågning i app

Med Managed WordPress får du mere tid til dine vigtigste projekter, og så slipper du for at bekymre dig om vedligeholdelsen af din WordPress-side.

Gør din WordPress-side mere modstandsdygtig

Ved at følge de trin, vi har gennemgået her i artiklen, kan du forbedre sikkerheden på din WordPress-side markant. Regelmæssige opdateringer, stærke, unikke adgangskoder, sikker WordPress-hosting og de andre sikkerhedsforanstaltninger, vi har nævnt, vil beskytte både dig, dine brugere og din virksomheds omdømme.