Att många WordPress- och WooCommerce-sidor idag blir hackade och förstörda blir tyvärr allt vanligare. Problemet beror ofta på att WordPress och WooCommerce, samt tillhörande tillägg och plugins, inte har uppdaterats på länge. WordPress och WooCommerce måste underhållas och uppdateras med jämna mellanrum. Bortser man från detta arbete innebär det en hög risk för intrång på webbplatsen.
Att hålla sin webbplats uppdaterad kan förhindra hackingattacker men tyvärr finns det faktiskt flera funktioner inbyggda i WordPress och WooCommerces aktiva grundutbud som istället kan underlätta attacker. Nedan specificerar vi fem bra lösningar för att motverka många hackingattacker och göra det generellt svårare för onda aktörer att ta över din webbplats.
1. Säkrade konton och obfuskerad inloggningssida
Ett av de vanligaste säkerhetshålen är egentligen inget hål, utan det beror på oss människor och vår förmåga att komma ihåg lösenord. Vi vill gärna ha ett lösenord som vi enkelt kan komma ihåg så att det går snabbt att skriva in när vi väl behöver det, och det får gärna vara samma överallt så att vi inte behöver komma ihåg flera olika.
Problemet med det är att lösenord som är lätta för en människa att komma ihåg, exempelvis “Sommar2017” och liknande, är väldigt enkla för en dator att lista ut. Det finns flera lösningar som när dom kombineras hjälper markant i arbetet med att säkra din webbplats från främmande intrång.
Första steget är inte unikt för WordPress och det är att börja använda en lösenordshanterare, såsom 1Password eller NordPass. En lösenordshanterare är som ett låst nyckelskåp där du har alla dina lösenord sparade med en etikett som beskriver exakt vart dom leder, och där endast du har tillgång. Fördelen med detta är att du inte behöver komma ihåg lösenorden själv och kan då ha extremt komplexa lösenord som är omöjliga att gissa.
Andra steget gäller själva WordPress-sidan i fråga. Plugin så som Limit Login Attempts Reloaded gör att du kan begränsa antalet försök någon får göra innan dom måste ta en kafferast innan dom får försöka igen. Detta introducerar en lång väntetid i arbetet med att gissa lösenord.
Det tredje steget är plugins så om WPS Hide Login som gör det möjligt att byta ut adressen för WordPress inloggningsformulär. Automatiserade bottar är väldigt duktiga på att testa lösenord, men dom är förvånansvärt dåliga på att gissa alternativa adresser för ert inloggningsformulär. Genom att ändra adressen till exempelvis “/mitt-hemliga-inloggninsformular” så kommer inloggningsförsöken mer eller mindre att sluta för alltid.
2. Stäng av läs- och skrivrättigheter av PHP-filer i Uploads-mappen
Ett enkelt sätt att stänga möjligheten för onda aktörer att få in foten är att göra det omöjligt att köra kod från mappen där era uppladdade filer hamnar. En vanlig väg in på många sidor är att externa aktörer hittar ett sätt att ladda upp filer, och då alla filer i mappen för uppladdningar är publika så kan de på så sätt köra sin egen kod på er server och på så sätt öppna upp en bakdörr.
3. Stäng av XML-RPC
XML-RPC är i sig inte något dåligt. Det är ett sätt att kommunicera med andra system, rätt och slätt. Så varför vill vi stänga av det? Det går nämligen att autentisera sig via XML-RPC, vilket betyder att det är ett väldigt effektivt sätt att utföra så kallade “brute force”-attacker, där ett externt system testar alla möjliga användarnamn och lösenord för att ta sig in. Genom att stänga av den här typen av kommunikation så gör vi det lite svårare för externa aktörer att automatisera sina inloggningsförsök.
4. Stäng av skrivrättigheter i admin
Om en ond aktör väl har lyckats ta sig in i administrationspanelen på din WordPress-sida så kan dom genom privilegiumupptrappning få fulla administrativa rättigheter på vilket konto som helst, vilket leder till att dom har full kontroll över hela sidan. För att motverka detta så kan man deaktivera skrivrättigheter i administrationspanelen för användare vars anrop kommer från en ej vitlistad IP-adress. Detta är ännu ett steg i att göra det så svårt som möjligt för onda aktörer att ta över kontrollen på din webbplats.
5. Dölj vilken version av WordPress som används på din e-handel
Din nuvarande WordPress-version kan hittas mycket enkelt. Det sitter i grund och botten där i källvyn på din webbplats. Du kan också se det längst ner på instrumentpanelen (men det spelar ingen roll när du försöker säkra din WordPress-webbplats).
Om hackare vet vilken version av WordPress du använder är det lättare för dem att skräddarsy den perfekta attacken, då upptäckta svagheter i en specifik version av WordPress är allmänt kända och därför enkelt kan utnyttjas.
Du kan dölja ditt versionsnummer med många olika WordPress-plugins. Men för en mer manuell metod (och för att också ta bort versionsnumret från RSS-feeds), överväg att lägga till följande funktion i din functions.php-fil:
function vistrom_remove_version() {
return '';
}
add_filter('the_generator', 'vistrom_remove_version');Behöver ni hjälp med att förbättra säkerheten på er webbplats?
Varmt välkommen att kontakta oss!
