Sikkerhet i WordPress | En guide for å sikre nettsiden din

WordPress er verdens mest brukte CMS. Det er mange gode grunner til at den er populær, inkludert de utallige mulighetene for å tilpasse mulighetene til å tilpasse nettsiden din.

Selv om WordPress er bygd på sikker programvare som kontinuerlig blir vedlikeholdt og forbedret av mange utviklere, har populariteten også gjort WordPress til et attraktivt mål for hackere.

This means that whether you have a simple WordPress blog or a more comprehensive website, WordPress security must be a priority. By prioritising security, you reduce the risk of your site and data becoming targets for malicious attacks. 

Uansett om du har en enkel nettside eller en mer komplisert versjon, bør sikkerhet i WordPress være av høy prioritet. I denne guiden gir vi deg en liste med sikkerhetstiltak som du enkelt kan implementere for å forbedre sikkerheten på nettsiden din.

Hvorfor er sikkerhet i WordPress viktig?

Det korte svaret er at ved å prioritere sikkerhet i WordPress, kan du beskytte siden din mot skadelige cyber-angrep som kan ødelegge viktig data, gjøre at siden krasjer eller føre til identitetstyveri.

Formålet til en hacker er vanligvis å stjele personlig informasjon, spre malware og ta kontroll over en nettside.

Ved å sikre at nettsiden din i WordPress er sikker beskytter du deg selv, brukerne dine og bedriftens rykte.

Sikkerhet i WordPress: En guide 

I denne delen av artikkelen vil du finne en liste med sikkerhetstiltak som vil hjelpe deg å beskytte din WordPress-nettside.  

Sikker hosting for WordPress

Det er kritisk å velge en hostingleverandør som utmerker seg når det gjelder sikkerhet, for at nettsiden din skal være trygg helt fra starten. Du bør velge en leverandør som har innebygd beskyttelse for malware, automatiske sikkerhetskopier og et SSL-sertifikat som en del av hostingpakken.

Med god WordPress Hosting vil du også ha tilgang til kundestøtte når du trenger det. Dette gir det et utmerket utgangspunkt når du starter et nytt projekt.

Hold WordPress oppdatert

En av de viktigste tingene du ka. Gjøre for optimal sikkerhet på din nettside, er å jevnlig oppdatere WordPress. WordPress legger jevnlig ut nye oppdateringer som reparerer sårbarheter, så ved å sørge for at WordPress-kjernen, temaer og plugins kontinuerlig har de nyeste oppdateringene, reduserer du risikoen for cyber-angrep. 

Selv om nettsidene og dine plugins fungerer som de skal, kan det fremdeles være bugs og sårbarheter som du ikke legger merke til før det er for sent. Disse sårbarhetene kan unngås ved å jevnlig oppdatere. 

Å hoppe over viktige oppdateringer er nesten som å la inngangsdøra til huset ditt stå åpen. Noe de fleste ikke hadde vært komfortabel med å gjøre. 

Om du vil unngå arbeidet med å manuelt oppdaterte nettsiden, samt sikre nettsiden din enda bedre, anbefaler vi Managed WordPress hvor vi gjør jobben for deg. Vi sørger for at nettsiden din alltid har de nyeste oppdateringene og fungerer som den skal. Du kan lese mer om Managed WordPress senere i denne artikkelen 

SSL og HTTPS

SSL er forkortelsen for «Secure Sockets Layer». Det er en protokoll som krypterer dataoverføring fra nettsiden din til brukerens nettleser. Ved å aktivere SSL på nettsiden din forhindrer du at uønskede tredjeparter og hackere får tilgang til din eller besøkerens personlige informasjon, som for eksempel kortinformasjon, passord eller annen sensitiv data.   

Når et SSL-sertifikat er aktivert på nettsiden din, vil adressen endres fra HTTP til HTTPS, som er en sikker krypteringsprotokoll. Etter å ha aktivert SSL-sertifikatet, kan du også se ikonet av en hengelås i toppen av nettleserens søkefelt, på venstre side av nettsidens nettadresse. Hengelåsikonet viser besøkere at WordPress-nettsiden din er sikker.

Vanligvis må du betale for et SSL-sertifikat, men om du velger WordPress Hosting hos one.com er et SSL-sertifikat inkludert i hostingpakken din, uansett hvilken pakke du velger.

Sterke passord

Du har hørt det før: Et godt og sikkert passord er viktig i alle kontekster. Likevel er det mange som velger den raskeste ruten når de lager et passord. Dette er alltid en dårlig idé, fordi det ofte er nettopp ditt enkle eller allerede brukte passord som sørger for at hackere får tilgang til din personlige data. Jo flere steder du bruker samme passord, jo større er risikoen. Derfor bør du ha et sterkt og unikt passord for WordPress-nettsiden din.

Et sterkt passord:

• Inneholder minst 12 tegn 
• Blir ikke brukt på flere steder 
• Deles ikke med andre 
• Er ikke en variasjon av et annet passord du allerede bruker 
• Inneholder en kombinasjon av store og små bokstaver, nummer og spesialtegn (! & @ ). 

Om du, som mange andre, synes det er vanskelig å huske alle de forskjellige passordene, kan du bruke en «Password Manager».  

En Password Manager – som kalles både Passord Manager og passordbehandler på norsk – er et program, en app eller en nettside som samler alle passordene dine på ett sted. Med en Passord Manager blir alle passordene dine beskyttet med ett hovedpassord. Dermed trenger du kun huske det ene passordet til passordbehandleren for å få tilgang til alle passordene dine. 

Les mer om passordbeskyttelse i vår artikkel med 5 måter du kan passordbeskytte din WordPress nettside. 

Tofaktorautentisering (2FA)

Tofaktorautentisering er et ekstra lag med sikkerhet som kreves når du logger inn et sted, i tillegg til vanlig passord. Det ekstra lage kan være en unik, tidsbasert kode som sendes via SMS til telefonen din eller en kode som lages av en 2FA-app, som for eksempel Google sin.

I noen tilfeller, for eksempel på flere typer telefoner, kan du også bruker fingeravtrykk eller ansiktsgjenkjenning.

2FA gir et ekstra lag med sikkerhet som beskytter som angrep, fordi hackere ikke vil få muligheten til å komme seg inn på nettsiden din selv når de har fått tak i passordet ditt.

Om du har hosting for WordPress nettsiden din med one.com kan du beskytte WordPress din ved å skru på «Advanced Login Protection» avansert innloggingsbeskyttelse direkte fra kontrollpanelet.

Vurder brukerrettigheter

Er det andre personer som har tilgang til WordPress nettsiden din? Du bør ha en oversikt over hvem som har brukertilgang, og hvilke rettigheter de har. Hver nye bruker lager en åpning for hackere, så du bør kun gi brukere tilgang om de virkelig trenger det.

Om du for eksempel har en venn eller kollega som hjelper deg å korrekturlese tekst, trenger de bare redigeringstilgang, ikke administratorrettigheter. 

Om du har en bruker som vil korrekturlese tekst på nettsidens sider, kan du gi den personen brukerrollen Redaktør. Om du har en bruker som kun trenger å redigere på sine egne artikler, er rollen Forfatter det beste valget.  

Det er også en god idé å gå gjennom brukerne dine jevnlig og slette de som ikke lengre er relevant.

Endre admin brukernavn

Det er ikke bare passordet som trenger å være sterkt og unikt. Ditt admin brukernavn i WordPress bør også være unik for å redusere risikoen for angrep. Når du har laget WordPress nettsiden din, kan du manuelt endre brukernavn i wp_users inne i phpMyAdmin. Dette verktøyet blir installert i hostingpakken din når du hoster WordPress nettsiden din hos one.com.

Du kan få tilgang til innstillinger for PHP & Database i kontrollpanelet under Avanserte innstillinger: 

1. Finn wp_users (det kan også bli kalt 0_users) 
2. Finn admin brukernavnet og trykk på Edit. 
3. Under user_login, skriv et nytt brukernavn i feltet 
4. Klikk Go for å lagre 

Lag sikkerhetskopier 

Uansett hvor god sikkerhet du har på WordPress-nettsiden din, er det alltid en risiko for at noe uforutsett kan skje, som et cyberangrep eller en teknisk feil. Da er sikkerhetskopier gull verdt.

Om du har en sikkerhetskopi kan du enkelt gjenopprette nettsiden og funksjonene på den, som forhindrer lang nedetid som kan skade bedriftens omdømme og inntekt.  

Unngå usikre plugins

Det finnes mange WordPress plugins, både gratisversjoner og betalte. På norsk heter det utvidelser, og kan brukes til nettopp dette: Å utvide funksjonaliteten på nettsiden din.

Dessverre kan noen av disse utvidelsene utgjøre en stor risiko til sikkerheten på nettsikkerheten din, eller føre til tekniske problemet som hinder siden din i å fungere som den skal. 

Listen over plugins som kan skade siden din eller utgjør en sikkerhetsrisiko er ganske lang. Her er vår komplette liste over WordPress plugins som ikke anbefales. 

Her er også noen plugins som vi anbefaler, fordi de tilbyr god sikkerhet og sikrer at nettsidens ytelse alltid er på topp. 

Et utvalg trygge WordPress plugins:

• Contact Form 7
• Contact Form by WP Forms
• Imagify
• Jetpack
• Site Kit by Google
• Social Media Share Buttons
• WooCommerce
• WP Mail SMTP
• YARPP
• Rank Math SEO
• WP Rocket

Fjern plugins du ikke trenger 

Det er også viktig å fjerne alle plugins som du ikke lengre bruker. Å ha en haug med utvidelser kan føre til dårligere sikkerhet. Gå gjennom listen din over plugins jevnlig, og fjern de som bare samler digitalt støv. Dobbeltsjekk også at utvidelsen du skal fjerne ikke blir brukt til en viktig funksjon på nettsiden.

Deaktiver PHP-eksekvering

Hos one.com kan du installere WordPress med et enkelt klikk. Hvis du har brukt eller vil velge dette alternativet, kan du hoppe over dette punktet.

 Hvis du har installert WordPress manuelt, bør du deaktivere PHP-eksekvering i opplastingsmappen. Ved å gjøre dette kan du forhindre cyberangrep der skadelig programvare sprer seg fra en PHP-bakdør til resten av nettstedet ditt.

For å deaktivere PHP-eksekvering kan du legge til følgende kodelinjer i .htaccess-filen som finnes i opplastingsmappen (wp-content/uploads). 

# Block executables
<FilesMatch ".(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
    deny from all
</FilesMatch>

Sårbarhetsovervåking 

Sårbarhetsovervåking involverer å scanne WordPress nettsiden for potensielle sårbarheter som hackere kan utnytte. Når du benytter deg av sårbarhetsovervåking vil alle deler av nettsiden, inkludert temaer og plugins, bli scannet. Du vil i stor grad redusere risikoen for å møte på uforutsette problemer eller hackere.

Ved å velge en WordPress hostingleverandør som tilbyr automatisk, daglig sårbarhetsovervåking, sikrer du at nettsiden din alltid er beskyttet mot angrep.

Velg Managed WordPress for enda bedre beskyttelse

Som vi nevnte tidligere i artikkelen, kan det være tidkrevende og irriterene å måte sjekke oppdateringer, sikkerhetskopier og andre sikkerhetstiltak manuelt. Om du har lyst å slippe å bruke tid på dette og spare tid, kan du velge en av våre Managed WordPress planer, som inkluderer:

• Sårbarhetsovervåking med automatiske sikkerhetstiltak
• Automatiske oppdateringer for plugins og temaer, med visuelle tester
• Innebygd app for oppetidsovervåking  

Med Managed WordPress får du mer tid til de prosjektene som er viktigst for deg, og trenger ikke bekymre deg eller bruke tid på å vedlikeholde WordPress nettsiden din.  

Gjør WordPress nettsiden din sterkere

Ved å følge stegene forklart i denne artikkelen, får du en drastisk forbedring i sikkerheten på WordPress nettsiden din. Jevnlige oppdateringer, sterke, unike passord, sikker WordPress hosting og de andre sikkerhetstiltakene som er nevnt vil holde nettsiden og brukere trygg.