Er WordPress-siden min sikker?

wordpress-logo-680x400WordPress er i dag en av verdens mest brukte publiseringsløsniger. Spørsmål om sikkerhet er da et naturlig emne å ta opp. Sårbarhet og hacking på internett er et velkjent problem, og selv de største selskapene som bruker mange millioner på å sikre nettsidene sine kan ikke være helt trygge.

Så hvordan er det da med de små firmaene som ikke har mange millioner å bruke på sikkerhet? Og hvordan er sikkerheten i publiseringslønsingen WordPress?

En nettside kan aldri være 100% sikker. Det er ikke mulig fordi du må balansere funksjonalitet og sikkerhet. En helt sikker side kan ikke ligge tilgjengelig for besøkende – dermed faller også hensikten med hjemmesiden bort. Mange av problemstillingene som belyses under gjelder uansett hvilken publiseringsløsning du velger på nett, så selv om du ikke bruker WordPress, er alt dette verdifull informasjon å få med seg.

Status for WordPress 2015

Pr. dags dato er WordPress både den mest sårbare og den mest sikre publiseringsløsningen du kan bruke. Vi skal nå se litt på grunnene til hvordan dette henger sammen.

Helt først: Du har gjort det beste valget ved å velge WordPress som CMS-løsing fordi du har verdens største team av programmerere over hele verden som jobber døgnet rundt med å holde WordPress sikkert.

Hvordan kan man da si at WordPress er den mest sårbare løsningen?

  • 25%+ (øker hele tiden) av alle nettsteder bruker WordPress som publiseringsløsning (over 65% av alle CMS-installasjoner)

Det at så mange bruker WordPress gjør det til et attraktivt mål for hackere, men det blir verre:

  • WordPress har åpen kilde

Det betyr at all programmeringsinformasjon er tilgjengelig, og hackere kan dermed vite hvordan koden ser ut. De kan dermed vite hvordan standard innstillinger er satt opp.

  • WordPress er relativt enkelt å installere

Dette fører til at ikke alle tenker igjennom hvordan innstillinger bør være, tar forhåndsregler eller er bevisst på sikkerheten på sitt eget nettsted. Dersom du ikke setter opp WordPress på den rette måten, har du allerede åpnet døren for hackere. Det er derfor WordPress er et et attraktivt mål for hackere.

Programoppdateringer
Generelt venter folk at for lenge med å oppdatere programmeringen på hjemmesiden sin fordi de er redd for at noe skal gå galt. Derfor er utdaterte WordPress-installasjoner den mest vanlige måten for hackere å få tilgang til ditt nettsted. Når man ikke oppdaterer nettstedet sitt blir dette ekstra ille når hele 80% av alle oppdateringer som sendes ut er relatert til sikkerhet. Normalt er altså 20% av oppdateringer relatert til funksjoner, og sjansen er derfor liten for at noe av funksjonaliteten påvirkes. Disse tallene baserer seg på plugins og temaer som har blitt oppdatert de siste 5 årene.

  • Dersom du ikke oppdaterer jevnlig, er det estimert at 20-30% av topp 50 plugins/tilleggsfunksjoner har en eller annen for for sårbarhet.

Vær obs på gratis plugins:

  • 8 av 10 gratis temeaer og plugins som du finner og som ikke er publisert av WordPress-teamet, har en såkalt base64-koding.

Dette er kode du ikke får fjernet. I mange tilfeller kan dette være ufarlig, og kanskje bare en kodebit i bunnen av siden som forteller hvem som har skrevet koden.

Så hvem skal du du stole på? En generell huskeregel er å benytte seg av tilbydere som over lang tid har opparbeidet seg tillitt og er pålitelige.

Svake passord
Det at WordPress er så populært og brukes på mange nettsteder gir også en stor sikkerhet. Det er fordi et stort team av programmerere sitter døgnet rundt å passer på at mulige sårbarheter rettes opp, og det sendes ut sikkerhetsoppdateringer fortløpende. Du har altså et stort og solid globalt nettverk av høyt kvalifiserte mennesker som setter sikkerheten i høysetet. Dersom du oppdaterer jevnlig kan ikke lenger hackerne bruke utdatert programvare som inngangsport. Men dette betyr ingenting dersom du bruker svake passord. Dersom du ikke har et sikkert passord inkludert store og små bokstaver, tall og spesialtegn, gir du hackerne en ny inngangsbillett.

Like viktig som å ha et sikkert passord, er det å bruke forskjellige passord overalt. WordPress har som standard at brukere ikke sperres ute dersom de skriver inn feil passord. Det vil si at hvis noen får tak i ditt passord på et nettsted som blir hacket, vil kanskje noen prøve dette passordet andre steder helt til man får logget inn. Så bruk aldri samme passord på flere nettsteder – og sett på sperre for antall mulige innloggingsforsøk i WordPress. Du kan også sette ditt eget admin brukernavn og passord. Ikke bruk standard brukernavn «admin». Fordi dette har vært standard, vil hackerne prøve dette først. Dersom du ser på loggen for innlogginsforsøk på ditt nettsted for de siste sju dagene vil du med meget høy sannsylighet finne noen som har forsøkt å logge seg inn med «admin».

Malware
Dette er skadelig programvare lokalt på datamaskinen eller enheten du bruker. Når du logger inn i WordPress bruker du nettleseren din. Dersom du har virus på den egen pc eller mottar en epost med virus, kan du også gi hackere tilgang hvis du ikke tar forhåndsregler. Dette gjelder alle som logger seg inn på nettstedet – så tenk over hvem som har tilgang til å oppdatere siden din, og hvordan de bruker sin personlige pc.

Sårbare servere og webhotell
Dersom du hoster siden din hos en leverandør som ikke oppdaterer webhotellene sine kan du ha et problem. Dersom du vil være sikker på din leverandør bør du se på pris og referanser. Men for å være klar – det er ikke nødvendighvis at den dyreste løsningen er den mest sikre. Forsikre deg om at din leverandør oppdaterer programvaren på webhotellet og kontinuerlig sørger for at sikkerheten er på topp.

Filtillatelse
Ikke fall for fristelsen å endre på filtillatelser via ftp som en hurtigløsning. Tillatelse 777 gir alle tilgang til å se, endre og lagre filene på ftp-serveren, selv uten passord. Det sier seg selv at dette er en sikkerhetstrussel – så ikke gjør det.

Konklusjon: Dersom du ikke setter opp WordPressiden din rett, vil det være det samme som å bygge huset sitt på sand. Du får kanskje et nydelig hus, men hvem som helst kan grave vekk sanden på et øyeblikk.

Er det håp?

Helt klart. Hold deg rolig og vær bevisst og våken. Legg et godt grunnlag, og sørg for å oppdatere jevnlig, aktivere de rette innstillingene og ha et sikkert passord. Ved å bruke WordPress blir du del av den største gruppen av utviklere som jobber konstant med å utvikle funksjonalitet og ivareta høyest mulig sikkerhet for ditt nettsted. Les mer her om hvordan du kan sikre WordPress her: codex.WordPress.org/Hardening_WordPress

Og som alltid: Hvis et tilbud ser ut til å være for godt til å være sant – er det sansynligvis det. Det er ingen som kan love deg et helt sikkert nettsted.

Balanser funksjonalitet
En del av nettsikkerhet går ut på å balanserer funksjonalitet med sikkerhet. For eksempel hvis du ikke trenger kommentarfunksjonalitet – fjern det. Ved å fjerne funksjoner du ikke trenger, øker du sikkerheten på siden din. Dersom du ønsker at brukerne skal kunne laste opp filer til din hjemmeside via et kontaktskjema – vil også dette påvirke sikkerheten. Tenk derfor nøye gjennom hva du har bruk for. På hvilket område er du villig til å senke sikkerheten til fordel for funksjonalitet? 100% sikkerhet er ikke mulig – med mindre nettstedet ligger på din egen datamaskin hvor ingen kan se det.

Du har allerede tatt et stort steg ved å lese denne artikkelen. Nå gjenstår det bare for deg å bruke informasjonen du har tilgjengelig. Ta gjerne kontakt med oss for å vite mer. Vi har ikke nevnt backup i denne artikkelen – men dette kan være veldig verdifullt å ha dersom uhellet først er ute.

Ønsker du hjelp til å beskytte hjemmesiden din? Ta kontakt med oss!