Wordpress er formentlig et af de mest opdateret og sikre open source CMS (content management system) der findes i dag, som er baseret på PHP. Med det værende sagt, så er der altid en række ting som du selv kan gøre, for at gøre din installation af Wordpress mere sikker, end den er som en standard installation. Der er dog en masse ting du kan gøre, for at din wordpress sikkerhed bliver bedre.
Her er min checkliste
1. Installer altid på en ikke standard navngivet database
Sørg for, at dine tabeller er præfikset. Dette gør du ved, at huske at sætte følgende linje i din wp-config.php
Du kan sætte den til hvad end du har lyst, bare du sætter den til noget andet end “wp_”. Den linje sørger for, at i din database bliver alle tabeller præfikset med det du har skrevet der.
2. Navngiv din admin bruger til noget andet end admin
Det er simpelthen alt for let, at bryde ind vha. bruteforce teknikker hvis det bare er admin brugeren der anvendes. Kald den noget andet, ismand, superadmin, rasmusklump, det er faktisk ikke så vigtigt, bare undgå “admin” da det er den første bruger alle der vil bryde ind, forsøger sig med.
3. Vælg et stærkt password
Undgå standard passwords som WebsiteNavn2013, 123456, qwerty eller lignende. Tag evt. et kig på denne liste og se om dit password er på den. Brug evt. en service som LastPass eller lignende til, at generere et sikkert password (og evt. opbevare det).
4. Installer “Limit Login Attempts” eller lignende
Limit Login Attemps er et fantastisk lille plugin til Wordpress der gør, at man ikke så nemt kan bruteforce din installation, selv hvis brugernavnet på din administrations bruger er kendt. Den logger alle fejlslåede forsøg på login og du kan sætte en grænse for, hvornår du ikke tillader flere logins fra den IP-adresse der forsøger.
5. Hold din installation af Wordpress og Plugins opdateret
Sørg for at holde dine plugins opdateret, sammen med din installation af Wordpress. Wordpress egen funktionalitet til dette er rigtig god, du skal selvfølgelig tage højde for, at hvis du har lavet ændringer i installeret plugins eller temaer, kan du risikere at disse bliver overskrevet hvis du ikke ved, hvad du laver. Sørg derfor altid for, at have en backup af din installation sammen med databasen.
6. Tilføj et kodeord til wp-admin mappen på serveren
Hvis din hosting udbyder tillader det, så sæt en password beskyttelse på /wp-admin/ mappen, således at den ikke kan tilgås uden et password.
7. Installer et plugin der scanner dit site for malware og vira
Anvend et plugin som WordFence, Sucuri, WP Security Scan, Exploit Scanner, VIP scanner eller Website Defender til at scanner dit site for malware og virus med regelmæssige intervaller.
Der er naturligvis meget, meget mere der kan gøres for, at sikre din Wordpress installation endnu bedre. Ovenstående er dog noget der får dig mindst 80% af vejen i forhold til, at undgå uønsket indtrængen på dit website.
