Tech Thursday: Säkerhet för WordPress – så stoppar du hackare och spam

Om du bloggar på eget webbhotell med en installation av WordPress så är det du som först och främst ansvarar för din bloggs säkerhet. Tyvärr blir hackare, spam-bottar och liknande bara snabbare och smartare hela tiden.

wordpress-sakerhet-blogg-1024x683

Varför ska du bry dig? Jo!

Många bottar (automatiserade program) försöker hacka WordPress-sidor för att installera spam eller knyta dem till bot-nät att använda vid stora hackerattacker. Det här pågår hela tiden och kan drabba vem som helst, när som helst.

”Each week, Google blacklists around 20,000 websites for malware and around 50,000 for phishing.” – WP for beginners

Om din blogg blir hackad kan det innebära allt från att ditt webbutrymme fylls upp av spamkommentarer till att hela din sida behöver installeras om. Precis som citatet ovan visar så kan det också påverka din SEO väldigt negativt.

Men det finns enkla åtgärder som du kan ta idag för att skydda din blogg!

Använd inte admin som användarnamn

Väldigt vanligt är att en WordPress-sida har inlogg med ”admin” som användarnamn och något väldigt enkelt som lösenord. Det vet de här bottarna och testar för detta först.

Genom att byta användarnamn från admin till något annat har du redan satt upp ett första skydd.

Gör så här:

  1. Gå till Användare > Lägg till ny
  2. Ge användaren ett unikt namn som är svårt att gissa (du kan ändra vad namnet visas som på bloggen senare)
  3. Se till att användaren läggs till som administratör
  4. Ange ett säkert lösenord 
  5. Spara
  6. Ta bort din gamla admin-inloggning

Aktivera tillägget Akismet för att hindra spam

Akismet är en gratisplugin som kommer med när du installerat WordPress på ditt webbhotell. Det du behöver göra är att aktivera tillägget med ett WordPress.com-konto. När du kopplat din blogg till ett befintligt eller nytt wordpress.com-konto så får du en aktiveringskod som du använder för att starta tillägget.

Det Akismet gör är att skydda din blogg från spamkommentarer.

Lägg till tvåstegsverifiering

Tvåstegsverifiering är principen där du måste ange något mer än ditt lösenord för att logga in. T.ex. en kod som skickas via sms till din mobil. För det innebär att även om en hacker-bot i något annat land lyckas få fram ditt inlogg så kan den inte logga in då tillgång till din mobiltelefon också krävs.

Det finns flera sätt att göra detta på för din WordPress-blogg men jag tänkte nämna två enkla.

Välj att logga in med ditt wordpress.com-konto och sätt tvåstegsverifiering på det

  1. Installera och aktivera tillägget Jetpack om du inte redan gjort det (det är ett tillägg skapat av WordPress med massor av bra funktioner som gör din blogg bättre).
  2. Gå till Jetpack > Inställningar i administratörspanelen på din blogg
  3. Tryck på fliken security
  4. Klicka i Enkel inloggning och tryck på pilen och välj kräv tvåstegsautentisering
  5. Ladda ned och installera tillägget Functionality eller, om du använder ett child theme, öppna din functions.php-fil i din favorittextredigerare (ta alltid en kopia först).
  6. Ovanför ?>-taggen klistra in följande kodsnutt för att dölja det vanliga inloggningsformuläret så det enda sättet att logga in blir genom wordpress.com med tvåstegsverifiering.
    add_filter( 'jetpack_remove_login_form', '__return_true' );

Använd tillägget Unloq.io

Jag tipsade tidigare om tillägget Clef för tvåstegsverifiering men detta företag har lagt ned sin tjänst.

Istället vill jag tipsa om unloq.io. Det är också en gratis tjänst liknande Clef där du skaffar en användare, laddar ned appen, installerar Unloq på din blogg och sedan används appen för att verifiera dina inlogg.

Du hittar tillägget Unloq här.

Du kan välja att ha både Unloq och vanligt lösenord för inlogg eller låta Unloq helt ersätta ditt inlogg. Om du blir av med mobilen kan du fortfarande logga in genom ett tillfälligt lösenord som skickas till din mail som du registrerade i appen.

Uppdatera alltid Wordpress, teman och alla dina tillägg

En stor anledning till varför WordPress-installationen, tillägg och teman behöver uppdateras så ofta är att nya säkerhetshål upptäcks och måste täckas igen.

Därför är det viktigt att du alltid ser till att hålla hela din sida uppdaterad – så väl WordPress som teman och tillägg.

Ett bra sätt att se till att du alltid kan uppdatera ditt tema även om du gjort egna förändringar och tillägg är att använda ett child theme som jag skrivit om tidigare.

Installera tillägget All in One WP Security & Firewall

Det här säkerhetstillägget är den jag sett tipsas om allra mest och som fått allra mest rekommendationen för säkerhet på din wordpress-sida.

Där kan du samla poäng genom att göra en rad olika åtgärder för att höja säkerheten på din blogg. Följ anvisningarna och börja samla poäng nu!

Ännu fler säkerhetstips (engelska)

Här har Yoast listat en hel rad säkerhetsåtgärder med instruktioner.

Här har sidan WPforbeginners gjort en Ultimat WordPress Security Guide.

WordPress har en egen lista över åtgärder att göra för att höja säkerheten.

Kom ihåg! Att göra någonting litet för att höja säkerheten är bättre än att inte göra något alls. Vad gör du i dag för att skydda din blogg?

 

Elin Häggberg

Digital designer, medievetare och journalist. Bloggar om teknik och internet ur ett kreativt perspektiv på egna bloggen Teknifik. Brinner för jämställdhet inom tech och älskar att koda!

3 Comments

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>