WordPress er klart den mest populære måde at opbygge en hjemmeside på. Denne popularitet har dog den uheldige bivirkning, der gør WordPress-websteder til et saftigt mål for ondsindede hackere over hele verden. Og det kan få dig til at undre sig over, om WordPress er sikker nok til at håndtere disse angreb.

– nogle dårlige nyheder: Hvert år bliver hundredtusindvis af WordPress-websites hacket såvel som e-handelswebsteder (det er derfor, vi har en dybdegående guide om forebyggelse af svindel med e-handel).

Lyder grumt, ikke? Nå … ikke rigtig, for der er også gode nyheder:

Hackere kommer ikke ind på grund af sårbarheder i den nyeste WordPress-kernesoftware. I stedet bliver de fleste steder hacket fra helt forebyggelige problemer, som f.eks. Ikke at holde tingene opdaterede eller ved at bruge usikre adgangskoder.

Som følge heraf, er svaret på spørgsmålet om “WordPress er sikker?”, noget nuanceret. For at gøre det skal vi dække et par forskellige vinkler:

  • Statistikker over, hvordan WordPress-websteder rent faktisk bliver hacket, så du forstår, hvor sikkerhedssvaghederne er.
  • Hvordan WordPress-kerneteamet behandler sikkerhedsspørgsmål, så du ved, hvem der er ansvarlig, og hvad de er ansvarlige for at sikre.
  • Hvis WordPress er sikker, når du følger bedste praksis, så ved du, om dit websted vil være sikkert.

Sådan bliver WordPress Sites Hacked (By The Data)

Ok, du ved, at masser af WordPress-websites bliver hakkede hvert år. Men … hvordan sker det? Er det et globalt WordPress problem? Eller kommer det fra disse webmasters handlinger?

Her er årsagen til, at de fleste WordPress-websites bliver hacket, ifølge de data, vi har …

Out-of-Date Core Software

Her er en overraskende sammenhæng fra Sucuris 2017 Hacked Website Report. Af alle de hackede WordPress-websteder, som Sucuri så på, kørte 39,3% ude af drift i WordPress-kernens software på tidspunktet for hændelsen.

Hacked websites
Hacked websites (Billedkilde: Sucuri)

Så med det samme kan du se et temmelig tæt forhold mellem at få hacket og bruge out-of-date software. Det er imidlertid en forbedring på over 61% fra 2016. 👏

Ifølge databasen WPScan Vulnerability er ~ 74% af de kendte sårbarheder, de logger på, i WordPress-kernens software. Men her er kickeren – versioner med de mest sårbarheder er helt tilbage i WordPress 3.X:

WPScan liste over kendte sårbarheder
WPScan liste over kendte sårbarheder

Men – desværre kører kun 62% af WordPress-websteder den nyeste version, hvorfor mange websteder stadig er unødvendigt sårbare over for disse udbytter:

WordPress Anvendelse Af Version.
WordPress Anvendelse Af Version. (Billedkilde: WordPress.org)

Endelig kan du se denne forbindelse igen med den store WordPress REST API-sårbarhed fra februar 2017, hvor hundredtusinder af websteder blev beskadiget.

WordPress 4.7.1 indeholdt flere sårbarheder, der til sidst blev brugt til at ødelægge disse websteder. Men … uger før sårbarhederne blev udnyttet, blev WordPress 4.7.2 frigivet for at løse alle disse sårbarheder.

Alle WordPress-webstedsejere, der ikke havde deaktiveret automatiske sikkerhedsrettelser eller på anden måde, havde øjeblikkeligt opdateret til WordPress 4.7.2, var sikre. Men dem, der ikke anvendte opdateringen, var ikke.

Takeaway: WordPress Security Team gør et godt stykke arbejde med hurtigt at løse problemer i WordPress-kernens software. Hvis du straks anvender alle sikkerhedsopdateringer, er det meget usandsynligt, at dit websted oplever problemer som følge af kernesårbarheder. Men hvis du ikke gør det, tager du en risiko, når en udnyttelse kommer ud i det åbne.

2. Uddaterede plugins eller temaer

En af de ting, som folk elsker om WordPress, er det svimlende udvalg af tilgængelige plugins og temaer. Efter at have skrevet dette er der over 56.000 på WordPress-depotet, og tusindvis af ekstra præmier spredt over nettet.

Mens alle disse muligheder er gode til at udvide dit websted, er hver udvidelse en ny potentiel gateway for en ondsindet aktør. Og mens de fleste WordPress-udviklere gør et godt stykke arbejde med at følge kodestandarder og lapper opdateringer, som de bliver kendt, er der stadig et par potentielle problemer:

  • Et plugin eller tema har en sårbarhed, og fordi der ikke er så mange øjne på det som WordPress-kernens software, går denne sårbarhed ikke op.
  • Udvikleren er ophørt med at arbejde på udvidelsen, mens folk stadig bruger det.
  • Udvikleren løser problemet hurtigt, men folk opdaterer ikke.

Så hvor stor er problemet?

Nå, i en undersøgelse fra Wordfence af hackede webstedsejere, var over 60% af websiderne, der vidste, hvordan hackeren fik indskrivet det til et plugin eller tema sårbarhed.

Wordfence hacked hjemmeside undersøgelse
Wordfence hacked hjemmeside undersøgelse (Billedkilde: Wordfence)

På samme måde udgjorde kun 3 plugins i Sucuri’s 2016-rapport mere end 15% af de hackede websteder, de så på.

Sucuri hacked plugin liste
Sucuri hacked plugin liste

Her er kickeren, selvom:

Sårbarhederne i disse plugins blev længe siden blevet lappet – webstedsejere havde netop ikke opdateret pluginet for at beskytte deres websted.

Takeaway: WordPress-temaer og plugins introducerer et wildcard og kan åbne dit websted for ondsindede aktører. Meget af denne risiko kan mildnes ved at følge bedste praksis. Gem dine udvidelser opdateret og installer kun udvidelser fra velrenommerede kilder.

Vi skal også nævne disse GPL klubber, du kan se flyde rundt på internettet, hvor du kan få enhver premium WordPress plugin eller tema for blot et par dollars. Mens WordPress er licenseret under GPL, hvilket er fantastisk og en grund til, at vi elsker det, skal køberen pas på. Disse kaldes også nogle gange som nulled plugins.

At købe plugins fra GPL-klubber betyder, at du stoler på en tredjepart for at hente de seneste opdateringer fra udvikleren og mange gange får du ikke support. At få plugin opdateringer fra udvikleren er den sikreste rute. Vi handler også om at støtte udviklere og deres hårde arbejde!

3. Kompromitterede loginoplysninger til WordPress, FTP eller Hosting

Ok, dette er ikke rigtig WordPress’ fejl. Men en ikke-trivial procentdel af hack er fra ondsindede aktører, der får deres hænder på WordPress’ login-legitimationsoplysninger eller loginoplysninger til webmasters hosting eller FTP-konti.

I samme Wordfence-undersøgelse udgjorde brute force-angreb sig for ~ 16% af hackede websteder, med adgangskodetyveri, arbejdsstation, phishing og FTP-konti, der alle gør et lille, men mærkbart udseende.

Når en ondsindet aktør får den metaforiske nøgle til hoveddøren, ellers er det ligegyldigt, hvor sikker din WordPress-side er.

WordPress gør faktisk et godt stykke arbejde, der mildner dette ved automatisk at generere sikre adgangskoder, men det er stadig op til brugerne at holde disse adgangskoder sikkert og også bruge stærke adgangskoder til hosting og FTP.

Takeaway: Ved at tage grundlæggende skridt for at bevare kontooplysninger, kan sikker forhindre ondsindede aktører i at gå lige ind. Brug/håndhæv stærke adgangskoder til alle WordPress-konti og begrænse login-forsøg for at forhindre brute force-angreb (Kinsta hosting gør dette som standard 👍).

For hosting-konti skal du bruge tofaktorautentificering, hvis den er tilgængelig, og gem aldrig din FTP-adgangskode i plaintext (som nogle FTP-programmer gør).

Hvis du har et valg mellem FTP og SFTP (SSH File Transfer Protocol), skal du altid bruge SFTP (lær forskellen mellem FTP og SFTP, så du kan forstå hvorfor). Hvis din host kun bruger FTP, anbefaler vi at spørge om SFTP-support eller skifte til en host, der understøtter SFTP. Dette sikrer, at der aldrig overføres nogen klare  tekstadgangskoder eller fildata. Her hos Kinsta understøtter vi kun SFTP til filoverførsler.

4. Supply Chain Attacks

For nylig har der været nogle tilfælde, hvor hackere får adgang til websteder gennem et ubehageligt trick kaldet et forsyningskædeangreb. I det væsentlige ville den ondsindede aktør:

  • Køb en tidligere høj kvalitet plugin opført på WordPress.org
  • Tilføj en bagdør i pluginets kode
  • Vent på, at folk opdaterer plugin’et og derefter injicerer bagdøren

Wordfence har en dybere forklaring, hvis du er interesseret. Mens disse typer angreb på ingen måde er udbredt, er de sværere at forhindre, fordi de skyldes noget, du skal gøre (ved at holde et plugin opdateret).

Med det sagt siger WordPress.org-teamet ofte disse problemer og fjerner pluginet fra biblioteket.

Takeaway: Dette kan være svært at forhindre, fordi det er en god ting at altid opdatere til den nyeste version. For at hjælpe, kan sikkerhedsprogrammer som Wordfence advare dig, når et plugin er fjernet fra WordPress.org, så du hurtigt kan adressere det. Og en god backup-strategi kan hjælpe dig med at rulle tilbage uden nogen permanent skade.

5. Dårlig Hosting Environment og Out-of-Date Technology

Ud over hvad der sker på dit WordPress-websted gør din hosting-miljø og de teknologier, du bruger, også en forskel. For eksempel, til trods for PHP 7, der tilbyder mange sikkerhedsforbedringer over PHP 5, bruger kun ~ 33% af WordPress-websteder PHP 7 eller højere.

WordPress hjemmeside PHP brug
WordPress hjemmeside PHP brug. (Billedkilde: WordPress.org)

PHP 5.6’s sikkerhedsstøtte udløber officielt i slutningen af 2018. Og tidligere versioner af PHP 5 har ikke haft sikkerhedsstøtte i årevis.

Det betyder at bruge et hosting-miljø ved hjælp af PHP 5.6 eller derunder, vil snart åbne dig op for potentialet for upatchede PHP-sikkerhedsproblemer.

På trods af dette bruger en kæmpe ~ 28% af WordPress-websites stadig PHP-versioner under 5,6, hvilket er et stort problem, når du overvejer det for nylig, vi har set et rekordår for antallet af opdagede PHP-sårbarheder.

Ud over at give dig adgang til de nyeste teknologier kan brug af sikker WordPress hosting også hjælpe dig med automatisk at afbøde mange af de andre potentielle sikkerhedsproblemer med:

Takeaway: Brug af et sikkert hosting-miljø og nyere versioner af vigtige teknologier som PHP hjælper yderligere med at sikre, at dit WordPress-websted forbliver sikkert.

Hvem er Ansvarlig For at Holde WordPress Sikker?

Nu kan du måske undre sig, hvem er ansvarlig for at bekæmpe alle de ovennævnte problemer?

Officielt falder ansvaret for WordPress Security Team (selvom de enkelte bidragydere og udviklere fra hele verden også spiller en stor rolle for at holde WordPress sikkert).

WordPress Security Team er “50 eksperter, herunder ledende udviklere og sikkerhedsforskere”. Omkring halvdelen af ​​disse eksperter arbejder på Automattic. Andre arbejder med websikkerhed, og teamet konsulterer også sikkerhedsforskere og hostingfirmaer.

Hvis du er interesseret i et detaljeret kig på, hvordan WordPress Security Team fungerer, kan du se Aaron Campbells 48-minutters tale fra WordCamp Europe 2017. Men generelt er WordPress Security Team:

  • Registrerer og patcherer bugs og potentielle problemer ved hjælp af delvist værktøjer som HackerOne’s bug bounties
  • Konsulterer på alle WordPress kerneudgivelser

WordPress Security Team har en offentliggørelsespolitik, som betyder, at når de succesfuldt har patchet fejlen og frigivet sikkerhedsrettelsen, offentliggør de offentligt problemet (dette er en del af, hvorfor så mange steder blev besejret i 2017 – de havde stadig ikke har brugt opdateringen, selv efter at sikkerhedsholdet offentliggjorde fejlen).

Hvad WordPress Security Team ikke gør, er at kontrollere alle temaer og plugins på WordPress.org. Temaerne og plugins på WordPress.org bliver manuelt gennemgået af frivillige. Men denne anmeldelse er ikke “en garanti for, at de er fri for sikkerhedsproblemer”.

Så – Er WordPress Sikker, Hvis Du Følger Bedste Praksis?

Hvis du ser på alle data og fakta ovenfor, ser du denne generelle tendens:

Selvom intet Content Management System er 100% sikkert, har WordPress et kvalitetssikringsapparat på plads til kernens software, og de fleste af hackene er et direkte resultat af webmastere, der ikke følger grundlæggende bedste praksis.

Hvis du gør ting som …

  • Holde din kerne WordPress software, plugins og temaer opdateret.
  • Vælg plugins og temaer klogt og kun installer udvidelser fra velrenommerede udviklere/kilde. Pas på GPL klubber og nulstillede plugins/temaer.
  • Hvis du har valg mellem FTP og SFTP, skal du altid bruge SFTP.
  • Brug stærke adgangskoder til WordPress, samt dine hosting- og SFTP-konti (og tofaktorautentificering hvis tilgængelig).
  • Brug ikke “admin” til dit brugernavn.
  • Hold din egen computer fri for virus.
  • Brug et TLS-certifikat (HTTPS), så al kommunikation med dit WordPress-websted (som f.eks. Logge ind på dit dashboard) er krypteret. Kinsta tilbyder gratis HTTPS certifikater!
  • Udnyt SSH nøgler. Dette giver en mere sikker måde at logge på en server og eliminere behovet for en adgangskode.
  • Vælg en vært med et sikkert miljø og brug de nyeste teknologier som PHP 7+.

… så er WordPress sikkert, og dit websted skal forblive hackfrit både nu og i fremtiden. Hvis du er en Kinsta-klient, behøver du heller ikke at bekymre dig. Hvis du ved et tilfældig tilfælde er blevet hacket, reparerer vi det gratis!

Brian Jackson

Brian har en stor lidenskab for WordPress, har brugt det i over et årti og udvikler endda et par premium plugins. Brian kan lide blogging, film og vandreture. Opret forbindelse med Brian på Twitter.