WordPress är överlägset det mest populära sättet att bygga en webbplats. Den populariteten har den olyckliga biverkningen att också göra WordPress-webbplatser till ett attraktivt mål för skadliga aktörer från hela världen. Och det kanske gör att du undrar om WordPress är tillräckligt säker för att hantera dessa attacker.

Först några dåliga nyheter: Varje år blir hundratusentals WordPress-webbplatser hackade, såväl som e-handelswebbplatser (det är därför vi har en djupgående guide om e-handelsbedrägerier).

Låter dystert, eller hur? Tja… inte riktigt, för det finns också goda nyheter:

Hackare kommer inte in på grund av sårbarheter i den senaste WordPress-kärnprogramvaran. Snarare blir de flesta webbplatser hackade från helt förebyggbara problem, som att inte hålla saker och ting uppdaterade eller använda osäkra lösenord.

Som ett resultat, kräver svaret på frågan ”är WordPress säkert?” lite nyansering. För att göra det kommer vi att täcka några olika vinklar:

  • Statistik om hur WordPress-webbplatser faktiskt blir hackade, så du förstår var säkerhetsproblemen ligger.
  • Hur WordPress kärnteam behandlar säkerhetsfrågor, så du vet vem som är ansvarig och vad de är ansvariga för att säkerställa.
  • Om WordPress är säkert när du följer bästa praxis, så du vet om din webbplats kommer att vara säker.

Hur WordPress-webbplatser blir hackade (enligt statistik)

Ok, så du vet att massor av WordPress-webbplatser blir hackade varje år. Men… hur går det till? Är det ett globalt WordPress-problem? Eller är det webbplatsens webbmaster som är ansvarig?

Det här är varför de flesta WordPress-webbplatser blir hackade, enligt de uppgifter som vi har.

Föråldrad kärnprogramvara

Här är en otrolig korrelation från Sucuris 2017 Rapport över hackade webbplatser. Av alla hackade WordPress webbplatser Sucuri tittat på, använde 39,3% föråldrade versioner av WordPress kärnprogramvara vid händelsens tidpunkt.

Hacked websites
Hackade webbplatser (Bildkälla: Sucuri)

Så direkt kan du se ett ganska nära förhållande mellan att bli hackad och använda föråldrad programvara. Detta är dock definitivt en förbättring jämfört med 61% från 2016. 👏

Enligt WPScan Vulnerability Database finns ~74% av de kända sårbarheter de loggade i WordPress kärnprogramvara. Men här är poängen – versionerna med de flesta sårbarheterna är från så långt tillbaka som WordPress 3.X:

WPScans lista över kända sårbarheter
WPScans lista över kända sårbarheter

Men – tyvärr – kör bara 62% av WordPress-webbplatser den senaste versionen, vilket är anledningen till att många webbplatser fortfarande är onödigt sårbara för dessa exploateringar:

WordPressanvändning efter version
WordPressanvändning efter version. (Bildkälla: WordPress.org)

Slutligen kan du se den här kopplingen en gång till med den stora WordPress REST API-sårbarheten från februari 2017 där hundratusentals webbplatser blev förstörda.

WordPress 4.7.1 innehöll flera sårbarheter som så småningom användes för att förstöra dessa webbplatser. Men flera veckor innan sårbarheterna exploaterades släpptes WordPress 4.7.2 för att åtgärda alla dessa sårbarheter.

Alla WordPress webbplatsägare som inte hade inaktiverat automatiska säkerhetspatcher eller på annat sätt snabbt hade uppdaterat till WordPress 4.7.2 var säkra. Men de som inte installerade uppdateringen var inte det.

Slutsats: WordPress säkerhetsteam gör ett bra jobb med att snabbt åtgärda problem i WordPress kärnprogramvara. Om du omedelbart tillämpar alla säkerhetsuppdateringar är det högst osannolikt att din webbplats upplever några problem som ett resultat av sårbarheter i kärnan. Men om du inte gör det, tar du en risk när någon börja utnyttja dessa sårbarheter.

2. Föråldrade plugins eller teman

En av de saker folk älskar med WordPress är dess svindlande utbud av tillgängliga plugins och teman. I skrivande stund finns det över 56 000 på WordPress-arkivet, och tusentals ytterligare premiumplugin och teman som är utspridda över webben.

Medan alla dessa alternativ är bra för att specialanpassa din webbplats, är varje förlängning en ny potentiell inkörsport för en skadlig aktör. Och medan de flesta WordPressutvecklare gör ett bra jobb med att följa kodstandarder och patcha eventuella uppdateringar när de blir kända, finns det fortfarande några potentiella problem:

  • Ett plugin eller tema har en sårbarhet och eftersom det inte finns så många som tittar på koden som med WordPress kärnprogramvara, kan sårbarheten förbli oupptäckt.
  • Utvecklaren har slutat jobba med det men folk använder det fortfarande.
  • Utvecklaren patchar snabbt problemet, men folk uppdaterar helt enkelt inte.

Så hur stort är problemet?

Tja, i en undersökning från Wordfence över hackade webbplatser, kunde över 60% av webbplatsägare som visste hur hackaren tog sig in tillskriva det till en sårbarhet från ett plugin eller tema.

Wordfence undersökning över hackade webbplatser
Wordfence undersökning över hackade webbplatser (Bildkälla: Wordfence)

På samma sätt stod bara 3 plugins i Sucuris 2016-rapport för över 15% av de hackade webbplatserna de såg på.

Sucuris lista över hackade plugins
Sucuris lista över hackade plugins

Men grejen är den här:

Sårbarheterna i dessa plugins hade sedan länge varit patchade – webbplatsägarna hade bara inte uppdaterat pluginet för att skydda sin webbplats.

Slutsats: WordPress teman och plugins utgör ett sorts wildcard och kan öppna upp din webbplats för skadliga aktörer. En stor del av denna risk kan dock mildras genom att följa bästa praxis. Håll dina tillägg uppdaterade och installera bara tillägg från välrenommerade källor.

Vi måste också nämna GPL-klubbar som du kan stöta på lite överallt på internet där du kan få ett premiumplugin eller tema till WordPress för bara ett par dollar. Medan WordPress är licensierat enligt GPL, vilket är häftigt och en anledning till att vi älskar det, bör du akta dig. Dessa kallas ibland också ogiltiga plugins.

Att köpa plugins från GPL-klubbar innebär att du förlitar dig på en tredje part för att hämta de senaste uppdateringarna från utvecklaren och många gånger får du inte support. Att få pluginuppdateringar från utvecklaren är den säkraste vägen. Vi tycker också att man bör stödja utvecklare och deras hårda arbete!

3. Komprometterade inloggningsuppgifter för WordPress, FTP, eller Hosting

Ok, det här är inte riktigt WordPress fel. Men en ansenlig mängd hackningar sker från skadliga aktörer som lyckas lägga vantarna på WordPress-inloggningsuppgifter, eller inloggningsuppgifter för webmasterns hosting- eller FTP-konton.

I samma Wordfence-undersökning stod råstyrke-attacker för ~16% av hackade webbplatser, där lösenordsstöld, arbetsstation, phishing och FTP-konton alla stod för en liten men märkbar andel.

När en skadlig aktör får den metaforiska nyckeln till dörren, spelar det ingen roll hur säker din WordPress-webbplats är i övrigt.

WordPress faktiskt gör ett bra jobb på att mildra detta genom att automatiskt generera säkra lösenord, men det är fortfarande upp till användarna att hålla dessa lösenord säkra och även använda starka lösenord för hosting och FTP.

Slutsats: Att vidta grundläggande åtgärder för att hålla kontouppgifter säkra kan förhindra skadliga aktörer från att promenera rakt in. Använd/tvinga starka lösenord för alla WordPress-konton och begränsa inloggningsförsök för att förhindra råstyrke-attacker (Kinsta-hosting gör det som standard 👍).

För hosting-konton, bör du använda tvåfaktorsautentisering om det är tillgängligt och aldrig lagra ditt FTP-lösenord i oformaterad text (som vissa FTP-program gör).

Om du har ett val mellan FTP och SFTP (SSH File Transfer Protocol), använda alltid SFTP, (lär dig skillnaden mellan FTP och SFTP så att du kan förstå varför). Om din host endast använder FTP rekommenderar vi att du frågar om SFTP-stöd eller byter till en host som stöder SFTP. Detta säkerställer att tydliga textlösenord eller fildata aldrig, någonsin, överförs. Här på Kinsta stöder vi enbart SFTP för filöverföringar.

4. Supply Chain-angripare

Nyligen, har det funnits vissa fall där hackare fått tillgång till webbplatser genom ett otäck trick som kallas en supply chain-attack. I grunden innebär det att en skadlig aktör:

  • Köper ett tidigare högkvalitativt plugin som listas på WordPress.org
  • Lägger till en bakdörr i pluginkoden
  • Vänta på att folk ska uppdatera pluginet och för sedan in bakdörren

Wordfence har en mer djupgående förklaring om du är intresserad. Medan dessa typer av attacker ingalunda är utbredda, är de svårare att förhindra eftersom de kommer från att göra något du bör göra (hålla ett plugin uppdaterat).

Med det sagt, brukar WordPress.org-teamet vanligtvis upptäcka dessa problem snabbt och ta bort pluginet från arkivet.

Slutsats: Den här kan vara svår att förhindra eftersom det alltid är bra att uppdatera till den senaste versionen. För att hjälpa till kan säkerhetsplugins som Wordfence varna dig när ett plugin tas bort från WordPress.org så att du snabbt tar itu med det. Och en bra säkerhetskopieringsstrategi kan hjälpa dig att gå tillbaka till en tidigare version utan någon permanent skada.

5. Dålig hostingmiljö och föråldrad teknik

Utöver vad som händer på din WordPresswebbplats, spelar din hostingmiljö och den teknik som du använder också en stor roll. Till exempel, trots att PHP 7 erbjuder många säkerhetsförbättringar över PHP 5, använder endast ~33% av WordPresswebbplatser PHP 7 eller högre.

WordPress-webbplatsers PHP-användning.
WordPress-webbplatsers PHP-användning. (Bildkälla: WordPress.org)

Säkerhetsstöd för PHP 5.6 upphörde officiellt i slutet av 2018. Och tidigare versioner av PHP 5 har inte haft säkerhetsstöd i flera år. Det innebär att använda en hostingmiljö med PHP 5.6 eller lägre snart kommer att göra dig sårbar för eventuella opatchade PHP-säkerhetsproblem.

Trots detta använder enorma ~28% av WordPresswebbplatser fortfarande PHP-versioner under 5.6, vilket är ett stort problem när man också tänker på att vi nyligen har sett rekordår för antalet upptäckta PHP-sårbarheter.

Utöver att ge dig tillgång till den senaste tekniken, kan användning av säker WordPress-hosting också hjälpa dig att automatiskt mildra många av de andra potentiella säkerhetsproblemen med:

Slutsats: Att använda en säker hosting-miljö och senaste versionerna av viktiga tekniker som PHP hjälper dig ytterligare se till att din WordPresswebbplats förblir säker.

Vem är ansvarig för att hålla WordPress säker?

Nu kanske du undrar, vem är ansvarig för att bekämpa alla problem ovan?

Officiellt faller det ansvaret på WordPress-säkerhetsteamet (även om enskilda bidragsgivare och utvecklare från hela världen också spelar en stor roll för att hålla WordPress säkert).

WordPress säkerhetsteam är ”50 experter inklusive ledande utvecklare och säkerhetsforskare”. Ungefär hälften av dessa experter arbetar på Automattic. Andra arbetar inom webbsäkerhet, och teamet samråder också med säkerhetsforskare och webbhotell.

Om du är intresserad av en detaljerad titt på hur WordPress säkerhetsteam fungerar, kan du titta på Aaron Campbells 48-minuters föreläsning från WordCamp Europe 2017. Men i allmänhet gör WordPress säkerhetsteam följande:

  • Upptäcker och patchar buggar och potentiella problem med, delvis, verktyg som HackerOne bug bounties
  • Samråder om alla WordPress-kärnutgåvor

WordPress-säkerhetsteam har en policy för avslöjande vilket innebär att de, när de väl har patchat felet och släppt säkerhetsfixen, offentligt avslöjar problemet (det här är en del av varför så många webbplatser blev förstörda 2017 – de hade fortfarande inte tillämpat uppdateringen även efter att säkerhetsteamet offentligt avslöjade felet).

Vad WordPress säkerhetsteam inte gör är att kontrollera alla teman och plugins på WordPress.org. Teman och plugins på WordPress.org granskas manuellt av volontärer. Men den granskningen är inte ”en garanti för att de är fria från säkerhetsproblem”.

Så – Är WordPress Säkert Om Du Följer Bästa Praxis?

Om du tittar på alla data och fakta ovan ser du en allmän trend:

Medan inget innehållshanteringssystem är 100% säkert, har WordPress en säkerhetsapparat av god kvalitet på plats för kärnprogramvaran och de flesta av hackningarna är ett direkt resultat av att webmasters inte följer grundläggande bästa praxis för säkerhet.

Om du gör saker som…

  • Håller din WordPress kärnprogramvara, plugins och teman uppdaterade.
  • Väljer plugins och teman klokt och bara installera tillägg från välrenommerade utvecklare/källor. Akta dig för GPL-klubbar och ogiltiga plugins/teman.
  • Om du kan välja mellan FTP och SFTP, använd alltid SFTP.
  • Använd starka lösenord för WordPress, samt dina hosting- och SFTP-konton (och tvåfaktorsautentisering om tillgänglig).
  • Använd inte ”admin” som användarnamn.
  • Konfigurera en brandvägg framför webbplatsen. Alla Kinsta-webbplatser är skyddade av vår kostnadsfria Cloudflare-integrering, som inkluderar en brandvägg på företagsnivå med inbyggt DDoS-skydd. Om du inte hostas av Kinsta kan tillägg av Cloudflare´s eller Sucuris WAF göra din webbplats säkrare.
  • Håll din egen dator fri från virus.
  • Ändra din WordPress-inloggningsadress för att minska antalet brute force-attacker.
  • Använd ett TLS-certifikat (HTTPS) så all kommunikation med din WordPress-webbplats (till exempel att logga in på instrumentpanelen) är krypterad. Kinsta erbjuder gratis HTTPS-certifikat!
  • Använd SSH-nycklar. Detta ger ett säkrare sätt att logga in på en server och eliminerar behovet av ett lösenord.
  • Välj en värd med en säker miljö och använd den senaste tekniken som PHP 7+.

… då är WordPress säker och din webbplats bör förbli hackfri både nu och i framtiden. Om du är en Kinsta-klient behöver du inte oroa dig. Om din webbplats hackas, fixar vi det gratis!

Brian Jackson

Brian har stor passion för WordPress och har använt det i över ett årtionde, han har till och med utvecklat ett par premium-plugins. Brian gillar att blogga, kolla filmer och hiking. Ta kontakt med Brian via Twitter.