WordPress är idag världens vanligaste CMS, dvs publiceringsverktyg för webbplatser. Möjligheterna är stora för användarna utifrån att de kan skapa en webbplats helt efter de behovs som finns. Men möjligheten att en installation blir hackad är även stor – i alla fall om man inte ser över sin säkerhet.

Antalet attacker på webbplatser med WordPress ökar stadigt och i slutet av 2016 såg It-företag en enorm ökning av så kallade ”Brute Force-attacker”. Ökningen var på över 100% (från ca 300 000 attacker per dag till ca 700 000). Just denna attack handlar om att bootar gissar sig till användarnamn och lösenord till en sajt. I och med att miljoner av webbsidor kan attackeras och datorerna kan testa ett stort antal lösenord hittas svagheter som gör att just dessa attacker kan genomföras.

För att undvika dessa attacker är det viktigt att användarnamn och lösenord både är unika och inte allt för uppenbara. Exempelvis bör användarnamn aldrig vara Admin då detta är default på WordPress. Det går även att installera tillägg som gör det svårare för botar att testa sig fram till rätt lösenord. Ett exempel är ett plugin som maximalt tillåter tre inloggningsförsök till webbplatsen.

En annan väg in på webbplatsen är via säkerhetshål som finns i installationen, teman eller plugin. Nya versioner av dessa publiceras regelbundet och det är därmed viktigt att uppdatera i det fall som en uppdatering finns att tillgå. Man bör även inaktivera och ta bort plugin som inte går att uppdatera längre.

Varför attacker just mot WordPress?

Hackare kan attackera vilken webbplats som helst så länge som de anser sig ha någon vinning av det. Man kan alltså aldrig vara säker på att inte bli attackerad oavsett vilket system som används. Att däremot attackerna på WordPress är så många, och ökar, handlar framförallt om att det är ett så vanligt CMS. När det finns miljoner av WP-installationer att attackera ges också större möjlighet att hitta de installationer där svagheterna finns. Det räcker ju med att en procent av installationerna har ett säkerhetshål för att tusentals webbplatser ska kunna hackas.

Varför sker attackerna?

Det finns flera orsaker till att hackare försöker komma åt och ändra i koden på en WordPress sida. I vissa fall sker ändringar på ett som gör att man snabbt kan upptäcka det medan det i andra fall kan ta mycket lång tid.