Undgå disse fejl i WordPress
I dag faldt jeg over et spændende blogindlæg hos WordFence, som har udviklet et godt plugin til WordPress. WordFence er nemlig med til at øge sikkerheden på din hjemmeside, så det kan være en rigtig god ide at overveje en installation af WordFence på dit site. Jeg hjælper gerne.
Men tilbage til blogindlægget, som fokuserer på en række fejl, som du bør undgå at begå når det handler om din hjemmeside. Lige som i den virkelige verden er der også skrøner i den virtuelle del af samfundet, og det er jo her, at dit website er placeret. Lad os se på nogle af de fejl, som mange begår.
En anden login-adresse
De fleste WordPress-ejere bruger følgende adresse, når de skal logge ind på hjemmesiden:
www.dereslogin.dk/wp-admin (bemærk at dette er et eksempel)
Man placerer altså wp-admin efter skråstregen. Det ved hackerne naturligvis også, så ofte er det supernemt at gå direkte til login-siden. Derfor har nogen udtænkt en plan, der går på at man kan ændre login-adressen til for eksempel /allanslogin (efter domænet). Og det giver jo god mening, for den adresse kender hackerne jo ikke.
Desværre er de ofte meget skarpe, og via snedige værktøjer kan de hurtigt finde frem til min login-side. Derfor behøver du ikke at ændre på din login-adresse. Det er lidt spild af tid, og du risikerer at få en falsk tryghedsfornemmelse.
SSL er endnu ikke installeret
Hvis du ikke har fået koblet et SSL certifikat på hjemmesiden endnu, bør du få det gjort. SSL står for Secure Sockets Layer og du kender det oppe i adresselinjen for de hjemmesider, du besøger. Hvis du besøger en hjemmeside, der har installeret SSL, ser du en lille hængelås deroppe. Hvis du aflægger en hjemmeside et besøg uden SSL, vil Google Chrome melde, at siden ikke er sikker.
SSL krypterer de informationer, der falder mellem brugeren og hjemmesiden. Med andre ord vil SSL sørge for at dit login krypteres, når du logger ind med brugernavn og password på hjemmesiden. Forestil dig at hackeren ligger på lur og aflæser dit login. Hvis du har koblet SSL til, betyder det i overført betydning, at vi klapper et filter for hans øjne. Jeg hjælper dig gerne med at få koblet SSL til din WordPress hjemmeside.
Brugernavnet er admin
Når en hacker starter med at hacke sig ind på din hjemmeside, ved han at du måske anvender brugernavnet admin. Det er der nemlig mange WordPress ejere som gør. Det er ganske enkelt en klassisk fejl, som du lige så godt kan undgå. Der er jo ingen grund til at gøre det enednu nemmere for hackeren.
Hvis dit brugernavn er admin, synes jeg du skal oprette endnu en brugerkonto i WordPress. Opret denne bruger som administrator og tildel vedkommende et godt og stærkt password. Når dette er gjort, logger du ud af din admin-konto. Herefter logger du ind på den nyoprettede administratorkonto og sletter admin-brugeren. Husk at tildele al indhold til den nye administrator. Jeg hjælper gerne med affæren.
De svage passwords
Og så til den helt store taber i hackerspillet: de svage passwords. Hackere elsker simpelthen, når passwords er så ubehjælpsomme enkle at gætte. Password1234. Kodeord123. Qwerty. Hackere sidder ikke og indtaster i hundredevis af forskellige passwords, når de forsøger at hacke sig ind på din hjemmeside. I stedet anvender de snedige programmer.
Disse snedige programmer indeholder for eksempel ordbøger, og hvis dit password for eksempel er Sofabord, bipper hackerens program, når det er kommet til den side i ordbogen, der begynder med S.
Jeg opfordrer til stærke passwords, der indeholder små og store bogstaver, tal og tegn, og at kodeordet er på minimum 8 tegn og gerne over 12: 2l@1baOB-2763? Personligt er jeg glad for stavefejl i passwords kombineret med tegn og tal.
Der er endnu 6 gode tips i blogindlægget hos WordFence. Her kan du blandt andet læse om begreber som firewall, brugerkontrol, opdateringer af plugins og temaer samt webhoteller.
Hvis du har brug for at jeg kigger lidt nærmere på din WordPress installation, er du altid velkommen til at skrive eller ringe.