6 tips til en sikrere WordPress installasjon

20.03.2016

1. Hold deg oppdatert

Som en tommelfingerregel så anbefales det at hver gang WordPress eller en plugin/innstikk du bruker har en oppdatering så bør den oppdateres.
Det kommer ofte nye sikkerhetsoppdateringer. Jeg har valgt å bruke automatisk oppdateringer av min WordPress. Plugins derimot og temaer må oppdateres manuelt, så følg med.

2. Bruk sikre passord

Bruk siden https://howsecureismypassword.net/ for å teste ditt passord, er det sikkert?
Prøv å få lyseoransje/gult eller grønt. Husk at det skal klares å huskes også!
Et sikkert passord har:

  • minst 10 tegn
  • små bokstaver
  • store bokstaver
  • tall
  • symboler som ` ! » ? $ ? % ^ & * ( ) _ – + = { [ } ] :

Et sikkert passord er ikke

  • brukernavn
  • ditt navn, din venns navn, et familiemedlem, eller et felles navn
  • et ord fra ordboken
  • lignende et av dine tidligere passord
  • din fødselsdato
  • et tastatur mønster, for eksempel qwerty, asdfghjkl, eller 12345678

3. Fjern unødvendige feilmeldinger

Logginn feilmeldinger er nyttige, men dessverre, de kan også gi informasjon til angripere.
Å kvitte seg med at påloggingsfeil vises på din wp-login.php side, åpne functions.php filen din og legge koden under for det:

 

add_filter('login_errors',create_function('$a', "return null;"));

 

4. .htaccess

Denne filen er en viktig fil å gjøre mest mulig ut av da den kan enkelt stoppe angrep på siden din. Koden under gjør at crawlere ikke kan lese wp-config.php, readme.html og licence.txt. Den gjør og at ingen kan lese wp-includes mappen. Som kun skal leses og sees av webserveren.
I tillegg har jeg lagt til sperring på en god del filer og slikt. Dette fordi disse generelt ikke skal leses direkte, men webserveren har tilgang. I tillegg fjernes indeksering av mapper. Den siste kodebiten har med kommentarer å gjøre, her må du endre adressen til din nettside selv. Ellers er det bare å copy/paste.

<FilesMatch "^(wp-config.php|readme.html|license.txt)">
    Order allow,deny
    Deny from all
    Satisfy All
</FilesMatch>


# Block the include-only files.

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

# Block access to the following file types, i.e. filename.type
<filesmatch "(^#.*#|.(bak|config|dist|txt|html|htm|eot|otf|ttc|ttf|woff|inc|ini|log|psd|sh|sql)|~)$">
Order allow,deny
Deny from all
Satisfy All

# Disallow directory listing

Options -Indexes

# Block outside domain names from using the POST method

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php*
RewriteCond %{HTTP_REFERER} !.*leisegang.no.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L]

5. Skru av filredigering

Som standard kan administratorer redigere PHP-filer, for eksempel plugin og tema filer. Dette er ofte det første verktøyet en angriper vil bruke hvis de er i stand til å logge inn. WordPress har en konstant/kode for å deaktivere redigering fra dashbordet. Ved å legge linjen i wp-config.php fjerner man valgene ‘redigere temaer «,» rediger plugins «og» redigere filer evner til alle brukere.

Lim dette inn i wp-config.php

define('DISALLOW_FILE_EDIT', true);

6. Installer Sucuri plugin

Denne pluginen er en av de beste og jeg bruker den. https://nn.wordpress.org/plugins/sucuri-scanner/ Den kan stoppe det meste og sjekker filene dine for nye filer og endringer. Alt loggføres så du kan enkelt se hva som har skjedd. Du kan og få epost når noen prøver å logge seg inn. Sucuri scanner er noe av det beste som er der ute.

Stikkord

 

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.