WordPress är, mycket vare att det är världens mest populära CMS, väldigt utsatt för angrepp. Det finns flera sätt att minimera risken (och detta gäller även för alla andra CMS).
Topp-4 Säkerhetstips för WordPress och andra CMS:
- Använd säkra lösenord, som inte används någonstans annars (och gärna multifaktor-autenciering)
- Håll din plattform uppdaterad
- Ha bra backuper tillgängliga om allt går fel
- Se till att din webbsida skyddas av en effektiv brandvägg, byggt för att skydda just webbsidor.
Uppdateringar av WordPress
Denna artikel handlar om punkt 2 – uppdateringar. WordPress består av flera delar, vanligast är själva systemet – WordPress, dess plugins och teman. Samtliga dessa uppdateras regelbundet. Hur ofta det sker beror bland annat på hur många olika plugins du har aktiva.
Inaktivera och radera alltid oanvända plugins och teman. Det minskar risken för angrepp.
Uppdateringar släpps av flera skäl, det kan vara felrättningar, ny funktionalitet och säkerhetsuppdateringar. De allvarliga är säkerhetsuppdateingarna – så snart en sådan släpps så kan man vara säker på att det finns folk som försöker utnyttja säkerhetshålet. Ofta är det värre än så – säkerhetsuppdateringen släpps eftersom säkerhetshålet redan hittats och börjat utnyttjas.
Kontrollera plugins som inte uppdateras på länge – är de övergivna så kan de ha säkerhetshål som aldrig rättas. Byt ut mot plugins som underhålls.
Hur ska man uppdatera ?
Det här finns det naturligtvis olika uppfattningar om. Många vill testa uppdateringar ordentligt innan man kör ut dom skarpt, men det betyder också att man utsätter sig för en risk under tiden man testar.
Eftersom det kommer uppdateringar så gott som varje dag, och eftersom dessa ofta rör säkerhetshål, som inte sällan varit kända en tid innan säkerhetshålet är det för de flesta oacceptabelt att låta dessa var öppna längre.
Gör så här:
- Backuper – Se till att du har en rutin för automatiska backuper, varje dag, som sparas tillräckligt länge för att du skall hinna hem från semestern, upptäcka problemen och förstå att du behöver backuperna. 1 vecka räcker inte.
- Uppdatera din webbplats automatiskt, varje dygn. Automatiskt är bättre än manuellt, då få företag har resurser att se till att det sker 365 dagar om året. Någon gång kommer det här ge problem som man får hantera (och man har ju backup), men problemen man drabbas av vid en hackning är oftast större
- Se till att webbplatsen skyddas av en effektiv WAF – Web Application Firewall, en brandvägg för webbapplikationer. Om någon går fel så är detta ett extra lager av skydd som dessutom ibland kan skydda redan innan säkerhetshålet är känt.