WordPress är världens mest spridda och använda CMS och har idag 25% av världsmarknaden. Men hur säkert är WordPress och vad kan man göra för att säkra upp WordPress? Nedan är tips från webbyrån Triggerfish som specialiserat sig på komplexa WordPress projekt.
Varför hör vi om säkerhetsbrister?
WordPress är ofta omnämnd när säkerhetsbrister har uppdagats och det finns som vi ser det två anledningar till detta. 1) När man hackar något som driver 25% av webben är media intresserad och 2) intresset är stort att bryta WordPress då man får stor spridning på sin elaka kod.
Är WordPress säkert?
I sin grundinstallation är WordPress extremt säkert – däremot så är långt ifrån alla installationer det. En av WordPress styrkor är att den har världens största utvecklarcommunity där ett mycket stort antal granskande ögon säkerställer att man hela tiden gör WordPress säkrare och säkrare.
Däremot kan ägare av WordPress göra en rad saker som påverkar säkerheten. De främsta bristerna är om man använder ett färdigt tema eller nyttjar plugins som inte är säkra. Här ligger 95% av alla säkerhetshål och det är detta vi läser om i media. Det gäller att aktivt arbeta med säkerheten kring sin WordPress installation.
6 punkter att följa:
1) Uppdaterad: Håll din installation av WordPress uppdaterad. Som med all IT måste man uppdatera sin mjukvara löpande. WordPress är inte en färdig produkt utan alla installationer är unika varpå det är viktigt att ställa krav på din webbyrå att utföra uppdateringar kontinuerligt.
2) Plugins: Tänk till innan du installerar ett plugin och se till att radera dem som inte används. På Triggerfish använder vi 4-5 plugins för alla våra projekt. Kodgranska plugins och använd bara sådana med bra reviews/ratings och högt antal nedladdningar. Lös inte enkla uppgifter med plugins, skriv egen kod.
3) Tema: Installera aldrig teman som är gratis. Använd bara professionella teman som har bra support, hög användning och många reviews. Det är ofta så att gratisteman innehåller en hel del säkerhetshål som inte alltid tätas i den takt man önskar av utvecklanden bakom temat.
4) Säkerhet: Använd komplexa/långa/unika lösenord, generera ”secret keys” i wp-config, stäng av möjlighet att redigera filer, använd säkerhetsplugins,
5) Allmänt: Använd inte ”admin” som användarnamn, radera användare med id 1, utför och kontrollera bakcuper regelbundet.
6) Drift: Tillämpa bra cachning, använd strikt behörighetskontroll av samtliga processer, isolera webbplatser till att endast få utföra processer på server som dess funktionalitet kräver isolerat till sin katalogstruktur.
Mer information