Det kommer inte som en liten överraskning att säkerhet har blivit en viktig angelägenhet för webbutvecklare och webbplatsägare. När internet exploderade i popularitet och blev den nya standardmetoden för kommunikation, forskning och shopping blev säkerhetskontroller av webbplatsen avgörande för att omintetgöra spridningen av skadlig kod och spam.

Oavsett om du driver en liten personlig blogg eller en stor multinationell webbutik är hotet om att bli hackad ständigt närvarande. Vissa personer kommer att vanställa din webbplats och bädda in skadlig kod i den, försöka att stjäla dina eller dina kunders personuppgifter, och ta bort viktigt innehåll på din server. Du måste skydda dig själv och din känsliga information.

Låt oss ta reda på exakt hur säker din webbplats är just nu. Vi kommer också erbjuda några tips om att ta bort den lågt hängande frukt som författare av skadlig kod utnyttjar. WordPress är ett säkert system men det krävs lite arbete för att stänga igen alla luckor.

Kolla in vår videoguide om hur du gör en säkerhetskontroll på webbplatsen

Säkerhetskontroll av webbplatsen: Varför spelar det någon roll?

Du kanske tror att din webbplats är så liten och oviktig att ingen skulle bry sig om att göra den till måltavla. Eller kanske har du bara aldrig tänkt på säkerhet innan och tänker att det inte är tillräckligt viktigt att bry sig om.

Det tankesättet är anledningen till mer än 70% av webbens WordPress-installationer var sårbara för attacker år 2013. Många av dessa attacker berodde på föråldrad programvara – eftersom de flesta antingen inte visste tillräckligt eller inte brydde sig tillräckligt för att säkra sina webbplatser. Det ledde till en massiv våg av hackare som riktade sig mot WordPress-installationer.

Föråldrade vs uppdaterade CMS 2019
Föråldrade vs uppdaterade CMS 2019

Så vad kan hända om din webbplats upplever ett oönskat intrång? Det är inte bara en liten irritation som lätt löses genom att ändra ditt lösenord.

  • Din webbplats kan få kod injicerad i den som infekterar besökare med skadlig kod, vilket kan vara extremt svårt att hitta och ta bort.
  • Dina viktiga sidor kan bli förstörda, raderade, eller fyllda med länkar till olagliga webbplatser.
  • Det kan resultera i radering av innehåll som blogginlägg och sidor.
  • Känslig information som inloggnings- eller kreditkortsuppgifter som tillhör dig, dina användare eller dina kunder kan bli stulna och sålda online.
  • Attacker kan spridas till andra webbplatser på din server.
  • Om Google upptäcker skadlig kod på din webbplats kommer den att blockera åtkomst till den och ta bort den från sökresultaten och förstöra dina SEO-ansträngningar.
  • Administratörskontots användarnamn och lösenord kan ändras, vilket hindrar dig från att alls komma åt din backend.

Hackade webbplatser kan vara ett stort problem om du driver en nätbutik.

Och medan du kan säga att din webbplats inte har tillräcklig betydelse är inte alla attacker riktade mot någon särskild webbplats. Många WordPress-attacker är automatiserade – en bot testar din webbplats efter sårbarheter och initierar en attack utan mänsklig inblandning.

Det är därför du behöver vidta åtgärder för att säkra din webbplats oavsett vad.

Varför blir WordPress hackat?

Hackare är ett utbrett fenomen, men vilka är de vanligaste sårbarheterna som hackare utnyttjar för att bryta sig in på din webbplats?

Du kanske tänker att ta sig in på en webbplats är en utmanande process som kräver dagar eller veckor av arbete och stor kunskap om datorer, kodning och servrar. Det kan vara sant för riktade försök att bryta sig förbi försvaret till en stor, välskyddad webbplats, men det är väldigt annorlunda när det gäller små WordPress-domäner.

De allra flesta attacker på WordPress är framgångsrika på grund av att folk använder svaga lösenord som är svåra att gissa, och inte uppdaterar sina teman och plugins. Hackare bryter sig in på de flesta sådana webbplatser med hjälp av automatiserade program.

Att knäcka lösenordet är den enklaste formen av hackning som finns, men det är så vanligt eftersom det fungerar. Många lämnar sin WordPressinloggning som standardordet ”admin”, vilket gör det enkelt att gissa, och använder sedan ett enkelt lösenord som också går mycket snabbt att gissa.

När det misslyckas kommer hackare utnyttja gemensamma sårbarheter i populära plugins eller föråldrade versioner av WordPress. Det är därför det är så viktigt att hålla allt uppdaterat.

Det finns många mer komplicerade, komplexa sätt att bryta sig in på en webbplats. Ändå använder de flesta WordPress-attacker den lågt hängande frukten som ett osäkert lösenord och föråldrad programvara utgör, som båda gör det extremt enkelt att komma in på en webbplats.

Så utför du en säkerhetskontroll av webbplatsen

Det första steget till att säkra din webbplats: ta reda på hur säker din webbplats redan är. Finns det några uppenbara sårbarheter i din backend som du behöver fixa omedelbart, eller några enkla korrigeringar du kan göra nu?

Använd ett onlineverktyg

Ett snabbt och enkelt sätt att kontrollera din webbplats för skadlig kod och sårbarheter är att använda en onlineskanner. De fjärrskannar din webbplats och identifierar vanliga problem. Det är jättebekvämt eftersom det inte kräver någon programvara eller några plugin och bara tar några sekunder.

Det finns dussintals skannrar att välja mellan online, och vi listar några fler i vårt verktygsavsnitt nedan, men låt oss först välja ut en populär som är lätt att använda: Sucuri SiteCheck.

Sucuri SiteCheck
Sucuri SiteCheck

Detta verktyg är bra eftersom du kan installera Sucuri-pluginet och direkt sätta i gång med att åtgärda eventuella problem som skannern upptäcker.

När du har skannat din webbplats kommer Sucuri att kontrollera den mot blocklistor, leta efter uppenbara problem som injicerad spam eller utdaterad programvara, och kort skanna all kod den kan komma åt efter skadlig kod. Det erbjuder också några förslag för att härda din webbplats mot attacker.

Skanna en webbplats med pluginet Sucuri
Skanna en webbplats med pluginet Sucuri

Verktyg som detta är en bra startpunkt för att upptäcka dold skadlig kod och andra problem.

Skanna din webbplats med ett WordPressplugin

Medan onlineskannrar fungerar tillräckligt bra är det ännu bättre att installera ett plugin som kan gräva djupt in i roten av din kod och dra fram sårbarheter eller skadlig kod som är svåra att upptäcka.

Vi har redan nämnt Sucuri som ett alternativ. Det finns två ännu mer populära säkerhetsplugins: All in One WP Security & Firewall, och det mest nedladdade, Wordfence Security.

När du har installerat ditt plugin kommer det troligtvis be dig att köra en skanning omedelbart. Fördelen med dessa plugins över fjärrskannrar är att de kan ta bort skadlig kod och göra ändringar automatiskt.

Leta efter konstiga förändringar

Om du misstänker eller vet att din webbplats har smittats med skadlig kod kan det ibland vara utmanande att hitta källan. Här är några oförklarliga förändringar som du kanske lagt märke till, samt de filer hackare vanligtvis lockas särskilt av:

  • Plötsliga länkar till konstiga webbplatser du inte lagt till själv
  • Nya artiklar och sidor som du inte skapade, eller innehållet på befintliga sidor som plötsligt förändrats
  • Ändringar i inställningar du inte gjorde
  • En ny användare, särskilt en med privilegier på hög nivå som du inte lagt till
  • Plugin eller teman du inte har installerat
  • Skadlig kod injicerad i dina filer. Kolla plugin- och temafiler, wp-content/uploads-mappen, WordPress kärnfiler i fel katalog, wp-config.php, och .htaccess. Du bör säkerhetskopiera din webbplats och ha en förståelse för koden innan du gör några känsliga förändringar.

Om du ansluter till din webbplats med FTP kan du sortera efter Nyligen ändrade filer för att hitta kod som inte borde vara där.

Om din webbplats regelbundet infekteras med skadlig kod och du inte hittar någon orsak i filerna kan problemet ligga hos din server eller en annan webbplats på din server.

Se till att allt är uppdaterat

Som vi redan har nämnt är utdaterad programvara den överlägset vanligaste smittspridaren i WordPress. Om det bara finns en sak du kan göra för att hålla din webbplats säker är det att hålla WordPress uppdaterat.

Det enklaste sättet att kontrollera statusen för all programvara på din webbplats är att gå till Instrumentpanelen > Uppdateringar, som kommer att varna dig om din kärna, ditt tema eller dina plugin är utdaterade.

WordPress-uppdateringar
WordPress-uppdateringar

Eftersom WordPress nu utför automatiska uppdateringar sedan version 5.5, bör ingenting vara föråldrat om du inte har en föråldrad version av WordPress. Om du inte har det kan du uppdatera allt från den här skärmen.

Om du vet att det finns en ny version av WordPress men den inte syns, klicka på Kolla igen under Aktuell version.

Du kan också kontrollera dina Plugin > Installerade plugin eller Utseende > Tema-sidor efter uppdateringar.

Säkra konton och lösenord

Ett svagt lösenord på ditt huvudkonto gör det enkelt för alla att bryta sig in på din webbplats med brute force-program, vilket ger dem administratörsåtkomst och möjlighet att ändra vad som helst.

Medan ett komplicerat lösenord kan vara svårt att komma ihåg, vilket gör det mindre bekvämt att logga in, är det ännu mer obekvämt att behöva återställa din webbplats från en hackning. Det är definitivt värt att använda ett säkrare lösenord även om du måste skriva ned det någonstans.

Ditt lösenord bör använda en blandning av stora och små bokstäver, siffror och symboler. Det skulle vara bäst om du inte baserade det på vanliga ord, eller personlig, gissningsbar information som din adress eller familjemedlems namn.

I bästa fall skulle ditt lösenord vara en lång, konstig sträng av slumpmässiga tecken. Vi rekommenderar starkt att du använder en lösenordshanterare. Använd en webbplats som 1Password eller LastPass för att generera ett säkert, icke-gissbart lösenord.

Generera ett säkert lösenord med LastPass
Generera ett säkert lösenord med LastPass

Du kan uppdatera ditt lösenord och din mejl i WordPress genom att gå till Användare > Alla användare eller direkt till Användare > Profil. Bläddra ner och hitta Mejl under Kontaktinformation, och Nytt lösenord under Kontohantering.

Ange ett nytt lösenord för WordPress
Ange ett nytt lösenord för WordPress

Medan du är på sidan Användare bör du ta en titt på alla dina användare och se till att det inte finns någon där som du inte känner igen eller som har olämpliga behörigheter. Du bör omedelbart ta bort alla oidentifierade användare med administratörsbehörigheter.

Vi uppmuntrar dig också att titta på denna guide om att begränsa användarbehörigheter så att bara ditt konto kommer att kunna ändra känsliga filer på din webbplats.

Kontrollera ditt SSL-certifikat

Om ditt SSL-certifikat är inaktuellt kommer du ofta få veta det direkt; webbläsare som Google Chrome kommer att blockera åtkomst till din webbplats med en stor varning om det utgångna certifikatet. Om du inte är säker eller redan får det här felet, kontrollera ditt SSL-certifikat för att se om det är aktuellt och om du använder den senaste versionen av SSL/TLS.

När du besöker en webbplats ser du en låsikon i adressfältet på de flesta webbläsare. Om ditt certifikat har löpt ut kan det här låset vara rött eller ha ett snedstreck genom det.

Klicka på låsikonen och klicka sedan igen för att se certifikatinformation, inklusive dess utgångsdatum.

Kontrollera SSL-certifikatet på en webbplats
Kontrollera SSL-certifikatet på en webbplats

Du kan också använda en SSL-certifikatkontrollör för att skanna din webbplats och se till att certifikatet inte har löpt ut, och att inte finns några sårbarheter i ditt SSL-protokoll.

Vanliga sårbarheter

Många WordPress-sajter är fyllda med små vektorer för attacker som kan verka ofarliga men kan lämna ut mer information än du vill dela med dig av.

Att ha en synlig WordPressversion i frontenden berättar för hackare exakt vilka sårbarheter som finns på din webbplats. Speciellt om du använder en föråldrad version av WordPress kanske denna information borde gömmas.

Du kommer att se filredigerare under Utseende > Temaredigeraren och Plugin > Pluginredigerare i din backend.

Lägga till kod i Temaredigeraren
Lägga till kod i Temaredigeraren

Medan dessa verktyg är mycket bekväma gör de det också enkelt för någon som hackar din webbplats att förstöra något, så de borde vara avstängda. Du kan göra det genom att lägga till den här funktionen i wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

SQL-injiceringar är ett vanligt sätt att bryta sig in på en webbplats. Om du har formulär eller annan användarinmatning, se till att begränsa användningen av specialtecken och tillåt endast att säkra, vanliga filtyper laddas upp.

Slutligen, för ett extra lager av skydd, kan du lösenordskydda dina filkataloger.

Så säkrar du din webbplats: Tips och verktyg

Om din webbplats har skadlig kod borde ett bra säkerhetsplugin göra susen för att ta bort den. Och vi har gått igenom några sårbarheter som du borde kolla efter.

Kolla in vår videoguide om hur du säkrar din webbplats

Vi har några andra snabba tips för att säkra din webbplats och förhindra infektionen innan den kan ske. Du kan använda de flesta av dessa tips på några minuter, så de bör vara lätta att ställa in även om du inte är så bekant med WordPress och webbsäkerhet.

Välj ett säkert webbhotell

När hackare söker efter en väg in på din webbplats kommer de ofta vända sig till servern för att leta efter sårbarheter. Det finns gott om billiga webhotell på marknaden, men de investerar inte alltid i de säkraste servrarna.

Delad hosting kan vara en riskfaktor för infektion. Om en webbplats är infekterad med skadlig kod kan det potentiellt sprida sig till varje webbplats på servern. Så du kan få en webbplats full av virus och SEO-spam, och det skulle inte ens vara ditt fel.

Det är därför det är viktigt att göra efterforskningar och välja ett webbhotell som bryr sig om säkerhet och investerar i säkra servrar. Du måste fortfarande göra jobbet för att säkra din webbplats, men på servernivå är dina data säkra.

Aktivera tvåstegsverifiering (2FA)

Tvåstegsverifiering (även känt som tvåfaktorsautentisering eller 2FA) lägger till ytterligare ett inloggningssteg. Förutom användarnamn och lösenord kommer du eller någon som låtsas vara du också att behöva en till bit information: en unik kod.

Det kan vara en numerisk kod som skickas till din telefon, vilket kan göra ditt WordPress-konto nästan icke-knäckbart genom brute force. Alternativt kan det kräva e-postverifiering eller en bit information som bara du känner till.

Även om det inte finns något inbyggt sätt att aktivera tvåfaktorsautentisering lägger många plugin till den funktionaliteten i WordPress.

Kinsta erbjuder tvåfaktorsautentisering till alla kunder. Om du inte är en Kinsta-användare har dock Wordfences säkerhetsplugin som vi nämnde tidigare inbyggt 2FA. Du kan också prova andra säkerhetsverktyg för webbplatsen, som Two-Factor Plugin för e-postkoder eller Duo för att ställa in tvåfaktorsautentisering via en app.

Duo tvåfaktorsautentiseringsplugin
Duo tvåfaktorsautentiseringsplugin

Gör säkerhetskopior varje dag

Att säkerhetskopiera din webbplats kan inte rädda den från personer som försöker bryta sig in, men om något skulle hända skulle det vara ovärderligt att ha en säkerhetskopia. Det kan innebära skillnaden mellan att förlora veckor eller till och med år av arbete och helt enkelt återställa till en säkerhetskopia från före hackningen.

Om du är kund hos Kinsta ger vi dig dagliga automatiska säkerhetskopior som lagras i två veckor (30 dagar för Kinstas byråpartnerprogram). Dessutom kan du skapa fem manuella säkerhetskopior och en nedladdningsbar säkerhetskopia per vecka, och det finns valfria tillägg för att säkerhetskopiera varje timme eller exportera till molnet.

Plugin som UpdraftPlus kan också hjälpa dig. Det är bäst att välja en tjänst som säkerhetskopierar dagligen som minimum för att minimera dataförlust.

Använd en webbapplikationsbrandvägg

En webbapplikationsbrandvägg, eller WAF, använder strikta regler för att filtrera inkommande trafik, och blocklistar IP-adresser som är kända för att vara associerade med hackare eller DDoS-attacker. Det förhindrar många attacker från att någonsin nå din server.

Medan du kan använda WAF:er på servernivå är det lättast att köpa en molnbaserad tjänst som Cloudflare eller Sucuri.

Anslut över SSH eller SFTP

Ibland behöver du ansluta till din webbplats med FTP för att lägga till eller ändra filer där. Det är alltid bättre att använda SFTP i stället för FTP; skillnaden är enkel: SFTP är säker, men inte FTP.

Med FTP är dina data inte krypterade. Om någon lyckas fånga upp anslutningen mellan dig och din server kan de se allt från dina FTP-inloggningsuppgifter till alla filer du laddar upp. Anslut alltid med SFTP.

Du kan också använda SSH-åtkomst, vilket låter dig ansluta till en kommandotolk och hantera din webbplats mer direkt. Det är tryggt, säkert och kan hantera enkla uppgifter på distans. Vår guide till SSH kan hjälpa dig om du har fastnat.

Förhindra DDoS-attacker

DDoS-attacker gör din webbplats så långsam att den börjar krypa fram genom att spamma din server med tusentals falska förfrågningar, vilket förhindrar potentiella läsare eller kunder från att komma åt den. Här är några tips för att stoppa dem innan de händer:

  • Ha en plan på plats för när en DDOS-attack inträffar. Du får inte gripas av panik när du behöver varna ditt webbhotell och stoppa attacken.
  • Använd en webbapplikationsbrandvägg som kan upptäcka falsk trafik.
  • Använd skräddarsydd anti-DDoS-programvara.
  • Inaktivera xmlrpc.php för att förhindra att appar från tredje part använder din server.
  • Inaktivera REST API för vanliga användare.

Förhindra brute force-attacker

Brute force-attacker kan likna DDoS-attacker men målet är att gissa ditt adminlösenord och bryta sig in på webbplatsen i stället för att ta ner din server. Som sagt kan dessa dock sakta ner din webbplats de också.

  • Återigen kan en WAF filtrera bort bot-trafik och tydliga brute force-försök.
  • Använd tvåstegsverifiering på ditt administratörskonto.
  • Ställ in en aktivitetslogg och håll ett öga på obehöriga inloggningsförsök.
  • Ändra webbadress för inloggningssidan och begränsa antalet inloggningsförsök.
  • Lösenordskydda din inloggningssida.
  • Använd ett långt, slumpmässigt genererat lösenord och ändra det en gång om året eller så.

Webbplatssäkerhetsverktyg du behöver känna till

Förutom de vi redan har nämnt listar vi här några fler webbaserade säkerhetsverktyg som hjälper dig att låsa din webbplats:

  • Intruder.io: Söker efter de senaste sårbarheterna.
  • SSL Server Test: Utvecklarverktyg som analyserar ditt SSL-certifikat och identifierar svagheter.
  • HTML Purifier: Filtrerar bort skadlig kod/XSS – bra om du har infekterad kod som du behöver rensa bort.
  • Mozilla Observatory: Handlingsbara råd för att rensa din kod på vanliga sårbarheter.
  • sqlmap: Ett penetreringstestverktyg för att identifiera sårbarheter i din SQL-kod.
  • Detectify: Skannar dina webbappar med hjälp av etiska hackare.
  • WPScan: En CLI-baserad WordPress-skanner.
  • SonarQube: Skriver standardkompatibel kod, fri från säkerhetsproblem.

Checklista över webbplatssäkerhet

Är din webbplats säker från en attack? Se till att du har kryssat av nästan allt på denna checklista:

  • Använder du ett säkert, högkvalitativt webbhotell?
  • Har du skannat din webbplats med ett plugin eller onlineskanner för att söka efter virus?
  • Har du installerat en aktivitetslogg och övervakar du den på jakt efter ovanliga förändringar?
  • Använder du och andra användare med stora privilegier säkra lösenord och tvåfaktorsautentisering? Är alla mejladresser korrekta?
  • Är WordPress, dess teman och plugin och underliggande system som PHP uppdaterade?
  • Är ditt SSL-certifikat säkert och uppdaterat?
  • Har du kollat efter oförklarliga ändringar, radering eller tillägg av innehåll eller länkar som du inte själv har lagt till i dina webbsidor, inställningar eller filer?
  • Är din inloggningssida skyddad av ett lösenord och begränsade inloggningsförsök?
  • Har du kollat efter nya användare som du inte lagt till?
  • Är formulär, kommentarrutor och andra källor till användarinmatning säkrade? (Tillåt inte specialtecken och begränsa filuppladdningar till kända filtyper.)
  • Har du inaktiverat xmlrpc.php och REST API för att förhindra DDoS-attacker?
  • Har du inaktiverat tema- och pluginredigering i instrumentpanelen?
  • Har du en daglig säkerhetskopieringstjänst på plats?
  • Har du en webbapplikationsbrandvägg inställd?

Sammanfattning

Webbplatssäkerhet är ingen småsak, så om du inte har koll på det än är det dags att göra det till en prioritet. Att bli hackad irriterar inte bara – det kan sluta i skadad SEO, förödande dataförlust, förlorat användarförtroende och skadlig kod som kommer tillbaka om och om igen.

Du behöver inte vara en erfaren utvecklare för att ta några extra steg för att säkra din webbplats. Och det börjar med en ordentlig säkerhetskontroll. Även något så enkelt som att välja ett bättre lösenord eller byta till ett säkrare webbhotell kan göra stor skillnad.

Behöver du fler säkerhetstips? Läs mer om 19 fler sätt att säkra din webbplats. Och dela gärna dina förslag i kommentarerna nedan!

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.