Tips til lidt sikkerhed af ens wordpress – del 1

admin Info

Ofte går bots efter sites de kender de bagudlæggende på som feks CMS systemer. Er der først fundet en svaghed/sikkerhedsbrist i et CMS system går der ofte ikke længe før der kører en bølge af sider der bliver hacked. Dette sker fordi dem som sidder og koder bots ofte er ret hurtige til at bruge den nye brist og så sætter de ellers bare deres bots igang med at finde sites der køre med CMS systemet.

Her er et par hurtige plugins/tips som kan afhjælpe med ens wordpress site bliver hacked ved hjælp af disse bots.

1. Det er vigtigt altid har have sin wordpress, plugins og templates up to date.
Til det kan man bruge et plugin der hedder “Automatic Updater“. Med dette plugin kan man sætte den til både at holde wordpress kernen opdateret til nyeste version, men samtidig også både plugins og templates. Hver gang den updater noget kan den endda udsende en mail til en om at den har gjort det så man selv kan holde øje med om der er sket ændringer på ens site.

2. Lad være med at have en konto ved navn “admin” da dette er standard, (hos mig ser det ud som om min konto hedder admin men det er ikke det jeg logger ind med), eller gør så det kun er din ip der kan logge ind.
Hvis man kører wordpress fra en unix/linux server kan man under wp-admin diret lave en .htaccess fil. Man kan finde mange eksempler på og forklaringer på hvad en htaccess fil er ved at google det.

#google hvad du putter i en .htpasswd fil
AuthUserFile /var/www/hemmelig/.htpasswd
AuthGroupFile /dev/null
AuthName “Private Area”
AuthType Basic
order deny,allow
deny from all
Require valid-user
#min arbejds ip (1.2.3.4 skal du udskifte)
allow from 1.2.3.4
#min hjemme ip (4.3.2.1 skal du udskifte – bruge eventuelt myip.dk)
allow from 4.3.2.1
Satisfy Any

Order allow,deny
Allow from all
Satisfy any

Hvis det virker for besværligt at lave sådan en .htaccess fil kan du også installere pluginnet “Better WP Security“. Der har man en bunke muligheder for at ænder en masse standarder i sin wordpress til noget mere personligt og derved noget bots normalt ikke vil finde frem til.

3. Hvis din side har været injected eller du bare gerne vil være sikker på at der ikke ligger snavs i dine templates, så kan “Antivirus” pluginnet helt klart anbefales, dette plugin kan også sende mails ud, og det kan checke din sider på flere forskellige måder.

Der findes helt sikker også mange andre muligheder for at sikre ens side, men dette er da en lille start for ikke at blive lagt ned. Ting som faktisk næsten burde være standard efterhånden i wordpress.

Link – http://wordpress.org/plugins/automatic-updater/
Link – http://wordpress.org/plugins/better-wp-security/
Link – http://wordpress.org/plugins/antivirus/