17 steg: Uppnå bättre WordPress säkerhet med hjälp av WP-toolkit!
WordPress är en av de mest använda CMS systemen på marknaden, vilket också gör att WordPress ofta blir attackerat. Därför är det bland annat viktigt att öka din WordPress säkerhet med hjälp av säkerhetsåtgärder, t.ex. de som finns tillgängliga via WordPress Toolkit i Plesk.
Den här artikeln riktar sig till dig som använder ett av våra webbhotell och har en WordPress-sida.
För att aktivera säkerhetsåtgärderna för din WordPress sida, gå in på kontrollpanelen till din WordPress-sida och tryck på “check security”.
Där kommer du se en lista på säkerhetsåtgärder som kan bli applicerade på din sida för ökad WordPress-säkerhet.
OBS! Även fast de flesta alternativen snabbt går att ångra rekommenderar vi starkt att du gör en backup på din sida och din databas innan du fortsätter.
Först på listan kommer du se:
Restrict access to files and directories
Om processen att få behörighet för åtkomst av dina filer inte är tillräckligt säker kan hackers komma åt dessa filer och använda dem för att komma åt och skada din sida. Detta verktyg sätter behörigheten av wp-config-filen till 600, andra filer till 644 och 755 för kataloger.
Forbid execution or PHP scripts in the wp-includes directory
Wp-includes-katalogen innehåller PHP-filer som inte ska bli utförda direkt eftersom många virus infekterar filer som kan bli utförda för att ta över och skada din hemsida. Denna säkerhetsåtgärd förebygger sådana attacker genom att förebygga utförandet av PHP-filer i wp-includes-katalogen genom att modifiera web server-konfigurationen så att den begränsar PHP-filerna i denna katalog.
Forbid execution of PHP scripts in the wp-content/uploads directory
Denna åtgärd fungerar på samma sätt som den över, då wp-content/upload ofta också kan användas för att placera infekterade PHP-filer.
Disable scripts concatenation for WordPress admin panel
Denna säkerhetsåtgärd stänger av sammanlänkningen av vissa scripts som körs i admin-panelen i WordPress, för att förhindra att din hemsida blir affekterade av DoS-attacker. Att stänga av denna sammanlänkning kan eventuellt påverka prestandan av admin-panelen, men borde inte påverka din WordPress-sida från perspektivet av dina besökare.
Turn off pingbacks
Pingbacks tillåter andra WordPress-sidor att automatiskt lämna kommentarer under dina inlägg när dessa sidor länkas i inläggen. Pingbacks kan även användas för att sätta igång DDos-attacker på din hemsida. Turn off pingbacks gör som namnet föreslår, den stänger av XML-RPC pingbacks för hela din hemsida samt inaktiverar pingbacks för tidigare inlägg.
Disable unused scripting language
Denna årgärd stänger av stödet av skriptspråk som inte används av WordPress, t.ex. Python och Perl. Genom att stänga av dem kan inte din sida bli hackad genom utnyttjandet av svagheter i dessa skriptspråk.
Disable file editing in WordPress Dashboard
Genom att stänga av redigering av filer i WordPress stänger du av funktionen att redigera plugin- och tema-filerna i WordPress-panelen. Denna åtgärd ger ett ytterligare lager av skydd på din hemsida ifall ett eller flera WordPress-admin-konton blir hackat. För att förtydliga då förhindrar det hackade konton att enkelt lägga till fientlig kod i plugins eller teman.
Enable bot protection
Denna åtgärd skyddar din webbplats från värdelösa, skadliga eller på annat sätt skadliga bots. Det blockerar bots som skannar din webbplats efter sårbarheter med intentionen att överbelasta din webbplats med oönskade förfrågningar, vilket i sin tur kan orsaka överanvändning av resurser. Observera att du kanske vill inaktivera denna åtgärd tillfälligt om du planerar att använda en onlinetjänst för att skanna din webbplats efter sårbarheter, eftersom dessa tjänster också kan använda sådana bots.
Block access to potentially sensitive files
Denna säkerhetsåtgärd förhindrar allmänheten att få åtkomst till vissa filer (till exempel loggfiler, shell script och andra körbara filer) som kan finnas på din WordPress-webbplats. Allmän tillgång till dessa filer kan potentiellt äventyra säkerheten på din WordPress-sida.
Block access to .htaccess and .htpasswd
Genom att få tillgång till .htaccess- och .htpasswd-filer kan angripare utsätta din webbplats för en mängd olika exploateringar och säkerhetsintrång. Denna säkerhetsåtgärd säkerställer att .htaccess- och .htpasswd-filer inte kan nås av missbrukare.
Block author scans
Author scans är en form av nätfiske som använder användar-ID. Målet med dessa skanningar är att hitta användarnamn för registrerade användare (särskilt WordPress-admins) och brute-force attackera inloggningssidan på din webbplats för att få åtkomst. Denna säkerhetsåtgärd förhindrar att sådana skanningar lär sig dessa användarnamn. Observera att beroende på permalänks-konfigurationen på din webbplats kan denna åtgärd förhindra besökare från att komma åt sidor som listar alla artiklar skrivna av en viss författare.
Configure security keys
WordPress använder säkerhetsnycklar (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY och NONCE_KEY) för att säkerställa bättre kryptering av informationen som lagras i användarens cookies. En bra säkerhetsnyckel bör vara lång (60 tecken eller längre), slumpmässig och komplex. Säkerhetskontrollen bör också verifiera att säkerhetsnycklarna är inställda och att de innehåller minst alfabetiska och numeriska tecken.
Block unauthorized access to wp-config.php
Filen wp-config.php innehåller känslig information som uppgifter för åtkomst av databasen och så vidare. Om, av någon anledning, bearbetning av PHP-filer av webbservern är avstängd, kan hackare komma åt innehållet i filen wp-config.php. Denna säkerhetsåtgärd förhindrar obehörig åtkomst till filen wp-config.php. Denna åtgärd ändrar också serverkonfigurationsfilen (Apache, nginx för Linux eller web.config för Windows), men observera att anpassade direktiv i .htaccess- eller web.config-filerna kan åsidosätta detta.
Disable PHP execution in cache directories
Om en skadad eller infekterad PHP-fil hamnar i en av cache-katalogerna på din webbplats, kan användandet av den leda till att hela webbplatsen kan skadas eller infekteras. Denna säkerhetsåtgärd inaktiverar användandet av PHP-filer i cachekataloger, vilket förhindrar att infektionen eller skadan inträffar. Observera att vissa plugins eller teman kan ignorera säkerhetsrekommendationerna från WordPress Security Team och lagra giltiga PHP-körbara filer i deras cachekatalog. Du kanske måste inaktivera denna säkerhetsåtgärd om du behöver få sådana plugins eller teman att fungera.
Change default database table prefix
WordPress-databastabeller har samma standardnamn på alla WordPress-installationer. När standardprefixet wp_ används för databastabellnamnen är hela WordPress-databasstrukturen transparent, vilket gör det enkelt för skadliga skript att få data från den. Denna säkerhetsåtgärd ändrar databastabellens namnprefix till något annat än standardprefixet wp_. Observera att det kan vara farligt att ändra databasprefix på en webbplats med produktionsdata, så det rekommenderas starkt att säkerhetskopiera din webbplats innan du tillämpar denna åtgärd.
Block access to sensitive files
Denna säkerhetsåtgärd förhindrar allmänhetens åtkomst till vissa filer som kan innehålla känslig information som anslutningsuppgifter eller annan information som kan användas för att skada din WordPress-webbplats.
Change default administrator’s username
Under installationen skapar WordPress en användare med administrativa rättigheter och användarnamnet “admin”. Eftersom användarnamn i WordPress inte kan ändras är det möjligt att prova att bruteforce denna användares lösenord för att komma åt WordPress som administratör. Denna säkerhetsåtgärd skapar ett WordPress-administratörskonto med ett slumpmässigt användarnamn och säkerställer att det inte finns någon användare med administrativa rättigheter som har “admin” användarnamn. Om “admin”-användare hittas, tilldelas allt innehåll som tillhör denna användare till det nya administratörskontot och “admin”-användarkontot tas bort.
Vi tar WordPress Säkerhet på allvar och vi hoppas att detta hjälpte dig att få en översikt över de säkerhetsåtgärder som wp.toolkit kan erbjuda.Hör gärna av er till oss om ni vill at vi hjälper er med säkerheten kring WordPress. Vi har även gratis flytthjälp där vi flytter hemsidan från eran nuvarnade leverantör till vårt Datacenter utan någon kostnad.