WordPress Backup er udgangspunktet forden anden artikel i serien med WordPress Pro Tips. Jeg håber du er godt i gang med din WP-installation? Godt, for nu skal jeg så lige fortælle dig, hvad du har gjort forkert!
Nej, så slemt er det ikke. Og meget af det kan du godt rette efterfølgende uden at rende ind i store problemer.
Pro Tip: Husk at gemme indstillinger, WordPress gør det som regel ikke
Livrem og seler
Jeg er måske nok paranoid, men er jeg paranoid nok?
Efter at have arbejdet med IT det meste af mit arbejdsliv har jeg udviklet en sund skepsis over for teknikken: den holder op med at virke. Det hedder ikke ”om”, men ”hvornår”. Så derfor skal vi kunne genskabe det der var, gerne på meget kort tid.
Det gælder også dit website. Men lige som med webhost, så skal sikkerheden stå i forhold til behov og indhold.
Hvis du har en blog, som kun læses af venner og familie, så haster det nok ikke. Men er det dit website, der skaber din indtægt, så har du ikke råd til at den er nede – så handler det om at have forsikringen i orden i form af en WordPress backup.
Dit webhotel tager højst sandsynligt en backup med mellemrum og vil kunne genskabe i tilfælde af et nedbrud. Men de har sikkert kun en version, som regel cirka et døgn gammel. Så hvad nu hvis skaden er i din database og er sket for tre dage siden?
Her kommer din egen WordPress backup ind i billedet.
Filer og data
Din WordPress installation består af to ting: et filsystem og en database. Og du skal have backup af begge dele.
Dit filsystem ændres kun, når der sker opgraderinger af WP eller plugins – og det vil trods alt stadig være rimeligt let at starte fra en lidt gammel backup og så bare opdatere nødvendige dele til seneste version. Så her er en gang om måneden typisk nok.
Men din database ændres hver gang du skriver et indlæg eller nogen kommer med en kommentar. Derfor kan du ikke nøjes med at køre backuppen manuelt – det er for øvrigt også alt for nemt at ’glemme’.
Pro Tip: Husk din backup, det er aldrig sjovt at lave alt arbejdet igen
WordPress Backup
Så du har brug for et plugin, der tager automatisk backup af din database og allerhelst placerer den et andet sted end på webhotellet. Du kan jo have behov for at flytte!
Her er et par backupplugins, der ofte bliver rosende omtalt:
– men der er mange andre: Søgning i WordPress.org
Alternativt kan du tegne abonnement på WordPress Service, så behøver du ikke bekymre dig om det mere.
Opdateringer
WordPress er et sikkert system, ellers ville du ikke finde det på 33% af alle websites på internettet. Den store mængde websteder gør det til et oplagt mål for hackere, derfor skal din WordPress sikkerhed være i orden
De mange opdatering af WordPress er med til holde sikkerheden i top. Men hver gang du installere et plugin, bliver risikoen en lille smule større. Derfor er det vigtigt, at du selv ved lidt om, hvordan du sikrer dit WordPress websted lidt bedre – og undgår de usikre elementer.
Her er de største svagheder i WordPress sikkerhed
- Manglende opdateringer
- Usikre brugere
- Dårlig programmering
Selve den grundlæggende del af WordPress (vi kalder det ‘kernen’) er sikker. Den bliver testet og vurderet af mange eksperter hver eneste dag – og finder de noget bliver det indrapporteret og udviklere går i gang med at lukke hullet og finde en bedre løsning.
Så hvis ellers du sørger for at holde WordPress opdateret, så er den del faktisk ret sikker. Det kan forbedres ved at indsætte nogle begrænsninger i forhold til standarden, men sikkerheden er grundlæggende i orden.
Problemet er de plugins og temaer, som du installerer for at udvide funktionalitet og forbedre design.
Et plugin udnytter forskellige grænseflader mellem kernen og brugeren til at udvide funktioner. Derfor bliver der også for hvert plugin lavet en lille revne i sikkerhedssystemet. Så hvis ikke WordPress kan hackes, så kan det måske lade sig gøre at hacke et plugin og derigennem få adgang.
Plugins og temaer
Manglende opdateringer er så langt det største problem i en WordPress installation. Og det gælder både for kerne, men i særdeleshed for plugins og temaer.
Heldigvis er det nemt at se, om et plugin eller tema skal opdateres, for det bliver man gjort opmærksom på direkte i kontrolpanelet. Så hvis ellers du med mellemrum logger ind på webstedet, så vil du kunne se det.
Det er et større problem med temaer eller plugins, der slet ikke bliver vedligeholdt. For hvor du får besked om at der er kommet en opdatering – så får du ikke besked om, at der ikke har været nogen opdateringer i flere år!
Kigger du på biblioteket over WordPress plugins eller temaer, så er der nu en advarsel på de elementer, der ikke er blevet vedligeholdt i mere end 2 år. Og hvis de ikke er testet med de seneste versioner af WordPress.
Men de advarsler ser du kun, hvis du tjekker WordPress plugin-biblioteket.
Derfor vil jeg anbefale at installere en ekstra form for sikkerhed. Fx WordFence, der vil komme med en advarsel, hvis du har forældede plugins eller plugins, der ikke er blevet udviklet på i lang tid.
Brugeradgange
Hvorfor bruge tid på at lede efter huller i kode, hvis man kan gætte en adgangskode?
Et af de allerstørste problemer med WordPress – det er dig. Eller i hvert fald brugerne.
Adgangen til en WP installation består af to dele: brugernavn og adgangskode.
Hvis man nu kan gætte brugernavnet, så er man allerede halvvejs!
Derfor er det et stort problem, hvis nu den første bruger (som har administratorrettigheder) hedder “admin” – og det er faktisk tilfældet rigtig mange steder.
Andre steder kan man enten se brugernavnet som angivet forfatter på indlæg – eller gætte at brugeren “Gitte” måske er administrator på domænet gittenielsen.dk
Næste trin er så din adgangskode, for den er svær, ikke? For nogle versioner side fik WP en indikator for sværhedsgraden af en adgangskode, samt en mulighed for at tvinge administratorer til at lave svære adgangskoder. Det skal du gøre brug af!
Hvis du har svært ved at huske de svære adgangskoder, så brug en form for ‘kodeordshusker’ som fx Proton Pass eller tilsvarende.
Amatørprogrammører
Hvis nu man synes det er sjovt at lave sin egen kode og laver en simpel kontaktformular direkte i PHP/HTML uden at vide en masse om det – så risikerer man at lukke adgangen til databasen op på vid gab!
Hackere udnytter nogle gange noget, hedder SQL-injects. Det betyder, at man i et formularfelt eller i en adressefunktion indsætter kode, der kan læses som kommandoer til databasen.
Som et meget forsimplet eksempel, så skriver man ikke
Morten Larsen
i navnefeltet, men i stedet
Morten <udfør den kommando, der laver en ny bruger og send mig adgangskoden> Larsen
Det kan normalt ikke lade sig gøre, da WP indeholder blokeringer mod den slags. Men hvis man nu kun har lært en lille smule programmering, så kan godt lave funktionen – men ikke gøre den sikker.
Og det med amatører skal tages meget bredt. For det sker altså også at kendte plugins pludselig viser sig at have en uheldig kombination funktioner, der giver adgang til at gøre ting, der burde være blokeret for.
Men disse fejl bliver i langt de fleste tilfælde fanget inden det går galt, da så mange holder øje med de plugins, der er registreret i WP plugin-biblioteket. I modsætning til fejl i hjemmeprogrammering, der først opdages, når det er for sent!
WordPress og FAIR: Et skift i retning
Sidst i februar kom nyheden om, at Joost de Valk o...
Foreningshjemmeside - dine data, din ejendom
I dag bruger mange foreninger udelukkende Facebook...
WordPress fordele og ulemper: Passer det til dig?
Der er fordele og ulemper ved alt. Her er gode grund til at vælge WordPress - og til ikke at gøre det. Så kan du træffe dit eget valg.
Om forfatteren:
ellegaard
Uddannet underviser, IT-administrator og WordPress-guru. Har arbejdet med design og udvikling af digitale løsninger siden 2005.