Jeg ser ofte problemer med hackede WordPress sider – og hører efterfølgende historier om, at man skal holde sig langt væk fra ‘den slags usikre systemer’. Men det er ikke systemet, der er usikkert, men den systemansvarlige!

I takt med at WordPress er blevet et mere og mere udbredt system på interweb’et, er det også blevet et mere oplagt mål for crackere. Altså uautoriseret adgang til installationen. Det er helt naturligt, at de lægger deres arbejdsindsats der, hvor der er størst mulighed for at finde huller. Og der er flest huller der, hvor der er flest installationer.

Det samme mønster har vi set på computermarkedet, hvor den større udbredelse af Mac har gjort dem til et mere oplagt mål.

Mail om cracking forsøgJeg har netop fået besked om et forsøg på at få adgang til et af mine websteder med en af mine emailadresser. Det er slet ikke noget dumt forsøg – bortset fra at den adresse ikke duer på lige det websted. Men man kan godt logge ind med en kendt mailadresse, det behøver ikke være brugernavnet.

Din mailadresser er typisk ret nem at få fat på, så det stiller så meget større krav til din adgangskode!

Brug sikre adgangskoder

Sørg nu for at bruge sikre adgangskoder. Ja, det er lidt sværere at huske sin adgangskode, men ikke så besværligt (og dyrt) som at skulle rense et inficeret websted eller forsøge at genskabe indholdet efter et nedbrud. En backup hjælper, men der kan nogen gange gå lang tid få et sikkerhedsbrud bliver opdaget – og har du en backup, der er tre måneder gammel?

Er din sikkerhed god nok? 1Og nej, 1234 er IKKE en sikker adgangskode. Heller ikke selvom du begrunder det med, at det er året for pave Gregory IX udgivelse af  Nova Compilatio Decretalium.

Du kan med WordPress nemt kontrollere, at der bruges sikre adgangskoder. Der udsendes automatisk sikre koder, og du skal selv godkende, at der bruges en lavere grad af sikkerhed.

Forstærk sikkerheden

Du kan ret nemt gøre din WordPress mere sikker. Det første skridt er at installere et eller flere sikkerhedsplugins (jeg anbefaler en kombination af WordFence og Sucuri), selv i standardopsætning forstærker du sikkerheden væsentligt.

Men jeg vil stadig anbefale dig, at finde nogen med forstand på den tekniske del, så det hele bliver sat korrekt op. Der er en vis risiko ved at installere to plugins, der laver næsten det samme, men lige de her to har i lang tid kunnet fungere sammen fuldstændigt uproblematisk. Hvis du investerer i en betalingsversion, kan du sikkert klare dig med den ene af de to.

Og så har du selvfølgelig fuldstændig styr på din automatiske og personuafhængige backup placeret offsite, ikke?

Hold øje med dit websted

Sørg for at få etableret en form for overvågning. Ikke bare et simpelt ping, men den scanning udefra sammen med tjeneste, der tjekker for noget bestemt indhold.

Hvor det tidligere handlede om defacing (udskiftet indhold), når en side blev cracket, så sker det i dag oftere med henblik på enten at sprede malware eller booste SEO for andre websteder. Og den type inficeringer påvirker ikke nødvendigvis det sete indhold.

Derfor skal der en form for scanning af sidens kode til for at spotte dem.

Morten Ellegaard - selvportræt med vest og hat
ellegaard

Uddannet underviser, IT-administrator og WordPress-guru. Har arbejdet med design og udvikling af digitale løsninger siden 2005.