11 punkter för att säkra din Wordpress-installation

25 januari, 2010
Ämnen: ,
1

Efter att ha stött på och läst om personer som fått sin Wordpress-blogg hackad så tänkte jag det var dags att se över min egen bloggs säkerhet. Det arbetet resulterade i en checklista som jag nu har omvandlat till en bloggpost. Varsågoda!

1. Ta bort versions-informationen

Ett sätt att försvåra för ovälkomna gäster är att ta bort all information om vilken version av wordpress du kör. Då den informationen syns bland både meta-taggar och rss-flöden är det enda sättet (som jag känner till) att helt och hållet ta bort den funktion som spottar ut versionsinformationen. Lägg till följande kod i din functions.php så ser den till att det försvinner.

<?php remove_action('wp_head', 'wp_generator'); ?>

2. Lägg på ett extra lager lösenordsskydd

En del hackers använder sig av ”brute-force”-metoden som helt enkelt gissar admin-lösenord tills den gissar rätt. För att försvåra detta så kan du lägga på ett ytterligare lager med lösenord.

AskApache Password Protect gör detta genom att sätta lösenord på precis allting i mappen wp-admin.

3. Låt inte Google indexera allt

Du kan blockera sökmotorer från att indexera de mappar som inte är väsentliga. Detta inkluderar alla mappar som börjar på ”wp-”. Enklaste sättet att göra detta är att lägga till dem i din robots.txt.

Disallow: /wp-*

4. Ingen ska få se innehållet i dina mappar

För att förhindra folk från att se vad du har liggandes i dina mappar kan du antingen lägga en tom index.html i varje mapp eller lägga till följande i din .htaccess. Det hindrar webbservern från att automatiskt lista innehållet.

Options All -Indexes

5. Håll din blogg uppdaterad

Det absolut enklaste och bland det viktigaste är att hålla din blogg uppdaterad. Se till att du alltid använder den senaste versionen av Wordpress och se till att dina plugins är uppdaterade. Kör du på en gammal version av Wordpress så löper du ofta mycket högre risk att bli utsatt för attacker då de bakdörrar som finns är välkända och dokumenterade.

6. Skydda åtkomsten av wp-config.php

En risk som finns är att om PHP-motorn slås ut eller stängs av så kan det resultera i att alla dina php-filer blir läsbara för vem som helst. De kan då lätt knycka uppgifter från din wp-config.php. För att skydda sig mot detta så kan du spärra alla från att läsa den filen genom att lägga till följande i din .htaccess.

<files wp-config.php>
order allow,deny
deny from all
</files>

7. Använd SSH/SFTP/SCP i stället för FTP

Kommunikationen som sker via FTP-protokollet är helt okrypterad så undvik detta om det är möjligt. Kommer någon över dina FTP-uppgifter så får de total kontroll över din blogg. Använd istället krypterade alternativ som SSH, SFTP eller SCP för att ladda upp till din server.

Kör du på ett billigt webbhotell så är det inte alltid alternativet finns men alla proffsiga lösningar har detta. Ännu bättre skydd är att helt blockera trafik från externa IP-adresser och endast tillåta att man ansluter lokalt. Då kräver det att det finns möjlighet att ansluta via VPN om man vill komma åt servern från annan plats.

8. Begränsa åtkomsten av filer i ”wp-content”

I mappen wp-content så ligger alla teman, plugins och uppladdade filer. Då Wordpress inte anropar de php-filer i denna mapp via HTTP så kan vi begränsa åtkomsten till endast vissa filer genom att lägga följande i vår .htaccess i mappen wp-content.

Order Allow,Deny
Deny from all
<FilesMatch "\.(jpg|gif|png|js|css|pdf|zip)$">
	Allow from all
</FilesMatch>

9. Använd långa och komplicerade lösenord

Att hålla sig till enkla lösenord som namn på familjemedlemmar eller dvärgarna i Snövit är kanske lätt att komma ihåg men inte så bra då de kan vara lätta att lista ut. Använd i stället långa och komplicerade lösenord som t.ex. ”@g0r4f0b1!eku|”. De är bra men dock väldigt svåra att komma ihåg.

Själv använder jag applikationen 1Password som även har en plugin till Firefox som håller reda på alla långa komplicerade lösenord åt mig. Finns nu även som app för din Iphone.

10. Glöm inte bort att ange en hemlig nyckel

Det finns 4 rader i din wp-config.php som du inte bör ignorera innan du installerar. Det är bara att göra vad Wordpress ber dig att göra och ange 4 unika fraser. De visar även en länk till en sida som automatiskt genererar dessa nycklar åt dig.

11. Ta backup regelbundet

Oavsett hur bra säkerhet du har så bör du alltid ta backup. Det finns inget värre än att förlora 2 års bloggposter bara för att man inte brytt sig om eller glömt av att ta backup.

WP-DB-Backup är en bra plugin till Wordpress som låter dig ta backup på din databas på ett enkelt och smidigt sätt.

Fler säkerhetstips

Då det finns väldigt mycket man kan göra både i Wordpress och under dess installation samt hur man konfigurerar sin server och databas så är denna lista självklart inte komplett. Men jag tycker det duger bra som en checklista och är definitivt bättre än inget.

Ska man driva en Wordpress blogg professionellt där bloggen är affärskritisk så bör man lämna säkerhetsbiten till experterna och låta dem göra det de tycker är viktigt.

För att få fler tips om Wordpress-säkerhet så använd min Google-sökning. Det var genom den jag hittade allt.

Dela med dig & bokmärk

Visa din uppskattning genom att tipsa vänner och bekanta om denna artikeln.

Facebook Twitter LinkedIn Digg Delicious Friendfeed Stumbler
Eventuellt relaterade artiklar

Om du gillade denna artikeln så kanske någon av dessa artiklarna inom samma ämne också intressera dig.

Telia Företag börjar blogga
Telia Företag börjar blogga
Överblick över det mest intressanta i Wordpress 2.9
Överblick över det mest intressanta i Wordpress 2.9
  • Jag har uppdaterat och korrigerat småfel i inlägget.
blog comments powered by Disqus

Denna blogg av Andreas Norman är licensierat under Creative Commons Erkännande-Dela Lika 2.5 Sverige License.

Tillstånd utöver denna licens kan vara tillgängligt från Andreas Norman.