10 tips til sikker nettside

Omtrent 60% av nettsidene i verda er laga i WordPress, det er 10 gonger så mange som den neste på lista (Joomla). Det er eit svært brukarvennleg system som eg driftar flere nettsider i, mellom andre baroniet.no, cyclingnorway.no og denne sida. Difor tek eg her først og fremst for meg WP her, men tipsa er også overførbare til andre system.

Uansett om du skal setja den opp sjølv eller få nokon andre til å gjera det, er det ein del ting du bør vita om for å sikra deg best mogeleg. Det er ikkje deg/bedrifta di hackarar er ute etter, men ei webside dei kan bruka som eit verktøy.

 

Slik får du ei sikker WordPresside

Ein hackar vil leita etter sårbare sider, og ser typisk først etter følgjande tre faktorar:

  • – server med utdatert programvare (gammal wordpressversjon)
  • – nettsider med svakheiter som utdaterte tema/design, plugins og anna
  • – enkle brukarnavn og passord (t.d. brukarnavn admin og passord 123456, sjekk verdens mest brukte passord her som du i allefall må unngå!)

Mest vanleg er automatiserte angrep, så den største risikofaktoren kan du altså lett gjera noko med sjølv!

 

Oppdater til siste versjon av wordpress

  • – start alltid med å ta sikkerheitskopi av sida di! Det kan du enten gjera inne på serveren eller med ei enkel utviding som heiter Duplicator. Den gjev deg mogelegheit til å ta kopi av heile sida og lasta ned heile sida til di eiga maskin, då har du alltid tilgong på ein frisk versjon av sida di.
  • – klikk på oppdatera WordPress: du får varsel i kontrollpanelet om at oppdatert programvare er tilgjengeleg
  • – husk å oppdatera alle utvidelsar/plugins også
  • – slett alle utvidelsar og tema som ikkje er i bruk

 

Sikra innloggingsinformasjon

Gjer det vanskeleg å gjetta brukarnavn og passord:

  • – Unngå admin som brukarnavn! Dette er halvparten av informasjonen som trengst for å logga inn. Unngå også ditt eige navn eller anna som er lett å finna på sida di.
  • – Unngå for lett passord som f.eks. bursdagsdato, navnet ditt, 12345, qwerty osv. Lag deg heller ei regle som er lett å huska med både store og små bokstavar, og gjerne spesialtegn. Eksempel: 8pr4ms,skK (Gjetta du den? 8 potter rømme, 4 merker smør, såleis kinna Kari). Oppdater passordet med jevne mellomrom, så unngår du dei vanlegaste angrepa!
  • – Ikkje vis brukarnavn på sida di, f.eks. kva brukar som har publisert eit blogginnlegg
  • – Lag ein brukar med berre forfattar- eller redaktørrettigheiter som du brukar til å skriva innhald, slik at dersom nokon greier å gjetta pålogging ut frå forfattar har dei ikkje administratorrettigheiter til heile nettsida di
  • – Test kor bra passordet ditt er her: https://howsecureismypassword.net
  • – Treng du nytt brukarnavn? Lag ein ny brukar med administratorrettigheiter, logg ut, logg inn med den nye brukaren, og slett den gamle brukaren.

Treng alle brukarar administratorrettigheiter? Gje folk så låg tilgong som mogeleg.

Det er også ein del grep som kan gjerast på serveren, men her bør ein vita kva ein gjer, og ALLTID ta sikkerheitskopi av alle filer ein endrar på før ein gjer noko.

 

Unngå spam i kommentarfeltet

Disqus: stengjer spam ute frå sida di, fungerer som ein proxy (“mellomserver”) som reduserer risikoen! Du kan også fjerna kommentarfeltet dersom du ikkje vil bruka det med ei enkel utviding som f.eks. Disable Comments av Shah.

 

Bruk eit theme frå ein anerkjent leverandør

Eksempel på gode leverandørar av ferdige themes er Woo Themes, Hedway Themes, Elegant Themes, Theme Forest, eller få ein flink webdesignar til å laga design spesielt for deg. Det kan ikkje eg hjelpa med dessverre, men eg kjenner mange flinke her.

 

Backup av sida

Her er det mange måtar å gjera det på (enten automatisk inne på serveren eller manuelt ved hjelp av utvidingar i WP). Det lettaste og sikraste er å ha supportavtale med ein webleverandør. Då betalar du typisk for ein times arbeid eller to i månaden, så går litt av pengane inn i ein “forsikringspool” der dei som blir hacka får hjelp til å få sida opp og gå igjen. Eksempel på gode utvidingar for håndtering av sikkerhetskopiering av sida dersom du vil gjera det sjølv:

  • – WP_DB_Backup
  • – BackupBuddy

 

Google Webmaster Tools

Google Webmaster Tools er uansett ein god idé, men i denne samanhengen vil eg peika på Content Keywords under Google Index: Sjekk etter dei vanlegaste nøkkeorda. Leit etter noko som ser rart ut og sjå kvar det står (f.eks. legemidlar, gambling osv.).

 

Korleis veit du om sida har blitt hacka eller ikkje?

  • Sida har blitt svartelista av Google eller andre
  • Sida er ikkje lenger indeksert
  • Andre får beskjed om at sida ikkje er trygg
  • Melding i Google søkeresultat om “This site may be hacked”
  • Description frå ei anna side?
  • Omdirigering til ei anna side?
  • Anna? Uvanleg aktivitet, pop-ups el.l.

Test sida di for sikkerheitsbrot her: Google innsynsrapport

 

Kva kan ein gjera når du har blitt hacka og svartelista?

  • Skift ut alle brukarpassord, og sjekk at ingen nye brukarar har blitt lagt til
  • Endra alle sikkerhetsnøklane (auth_key, få evt. hjelp til dette)
  • Sjekk om pc’en har blitt infisert. Skann heile maskina inkl bilde – har dei tilgong til maskina di har dei fort tilgong til sida di igjen
  • Sjekk security issues i Google Webmaster: fetch as Google
  • Oppdatert passord på alle andre sider du driftar.
  • Sjekk serverloggen om når den vart hacka (desse filene kan endrast av hackarane)
  • Fjern spamkommentarar, ubrukte sider etc.
  • BackUp frå før angrepet lastast inn att.
  • Gå tilbake til fetch as Google og sjekk på nytt.
  • Search console home page, velg siten, security issues, alt blir normalt igjen i løpet av 24 timar. Manual actions.
  • Endra alle passord ein gong til for sikkerhets skyld no!

 

Korleis få sida opp og gå igjen sjølv

Sjekk hostingselskapet om fleire har blitt angrepe. Er du heldig vil nokon fiksa det for deg. Du kan også lasta opp siste versjon av sikkerheitskopien og gå igjennom lista over.

 

WP plug-ins og verktøy

Førebyggjande

  • Cloud flare

 

Oppdaga angrep

  • WordFence
  • Anti Malware

 

Verktøy

  • iThemes Security Pro
  • BackupBuddy/UpdraftPlus

 

To-faktor autentisering

Clef Two-Factor Authentication med mobilen, f.eks.