WordPress sikring og drift

WordPress sikkerhet, oppdatering og vedlikehold

Å ha en WordPress hjemmeside eller WordPress blogg krever at du nesten til enhver tid må følge med og sørge for at alle komponenter er oppdatert. I tillegg er det nesten et must å ta jevnlig backup – bort fra hosting leverandøren!

Noen hosting leverandører kan tilby bedre sikkerhet og supplerende tilleggstjenester, men da må du som regel betale en god del mer for dette. Det jeg skriver om her gjelder derfor for de aller fleste som benytter rimeligere (men ok) hosting tjenester.

I korte trekk så må du minimum passe på følgende

• Brukernavn – velg et brukernavn som er vanskelig å gjette
• Passord – velg et sterkt passord (store/små bokstaver, tall og tegn)
• Tema – Velg tema som er godt kjent og som blir videreutviklet – oppdater når det kommer en oppdatering
• Utvidelser – Velg utvidelser som er godt kjent og som blir videreutviklet – oppdater når det kommer oppdateringer
• Backup – Sørg for å ta egen backup som oppbevares bort fra hostingleverandøren
• Sikkerhets utvidelse – vurder sterkt å installere en sikkerhets utvidelse

Les mer om dette nedenfor:

WordPress brukernavn

Ikke bruk standard «admin/administrator» eller et annet enkelt navn/ord (firmanavn, eget navn, nettstednavn) som brukernavn. Det er som regel altfor lett å gjette seg til dette. Dermed har den/de som forsøker å bryte seg inn allerede en del av innloggingsinformasjonen din. I brukerinnstillingen er det en opsjon som heter «Vis navn offentlig som»; her velger du noe annet en brukernavnet.

WordPress passord

Passord for administrator skal være meget sterkt, mange tegn (10-15) med kombinasjon av store/små bokstaver, tall og tegn. Bruk helst administratorkontoen kun til design/layout og utviklingsoppgaver på hjemmesiden. Til daglig når du skriver artikler og innhold så bør du opprette en egen bruker med mindre rettigheter (f.eks. «forfatter» eller «redaktør»). Denne brukeren skal selvfølgelig også ha et sterkt brukernavn og passord. Driver du hjemmesiden din alene samt at du alltid logger inn fra din egen datamaskin kan det være greit nok å bare bruke administratorkontoen. Men logger du inn fra andre steder og fra andre datamaskiner, så bruk en egen konto med mindre rettigheter!

I tillegg finnes det Utvidelser en kan installere som gjør det enda vanskeligere for noen å hacke seg inn på hjemmesiden. F.eks. kan du få satt en reCAPTCHA boks på loginsiden slik at du manuelt må krysse av at du er et «menneske». Dette gjør det vanskelig for roboter å logge inn. Det finnes også utvidelser som bytter URL (lenken) til login sidene. Standard lenke er «www.dittdomene.no/wp-admin», dette kan en endre til noe helt annet som f.eks. «www.dittdomene.no/’egenvalgt URL’. Til slutt nevner jeg også at det er mulig å få satt opp 2-faktor autentisering – altså at du i tillegg til brukernavn og passord også må oppgi en ekstra kode som du får tilsendt på e-post eller SMS, alternativt fra en kodegenerator på mobiltelefonen din.

Mange sikkerhets utvidelser tilbyr ovennevnte ekstra sikring.

WordPress tema

Bruk et tema fra en kjent leverandør med gode referanser. Last kun ned tema fra godt kjente områder, f.eks. fra wordpress.org. Her er tema og utvidelser sikkerhetsjekket før de legges ut. Sjekk gjerne litt rundt dette selv (Google), se hvor mange som bruker dette og sjekk hvilke kommentarer andre brukere har. Sjekk når tema sist ble oppdatert. Hvis det er lenge siden siste oppdatering kan det tyde på at temaet ikke videreutvikles lenger. Du kan også sjekke opp supportsidene eller forumet til leverandøren for å se om de svarer på henvendelser innen rimelig tid og om det er lenge siden noen har stilt spørsmål eller fått svar her. Er det lenge siden det har skjedd noe her så skygg unna, finn et annet tema fra en annen leverandør.

Du kan også kjøpe tema og utvidelser, disse kalles ofte for Premium versjoner. Hvis du skal ha dette så anbefales det å kjøpe fra respekterte kilder som f.eks. themeforest.net/ thethemefoundry.com, alternativt også fra en leverandør/produsent som er velkjent – sjekk referanser på Google.

Fjern/slett alle tema fra din WordPress installasjon som du ikke bruker! Selv om et tema ikke er i bruk eller deaktivert, så kan det fremdeles inneholde en feil eller mangler som hackere kan benytte for å få tilgang til hjemmesidene dine!

WordPress utvidelser (plugins)

For utvidelser så gjelder akkurat det samme som for tema. Vær nøye med å sjekke ut hvilke utvidelser du bruker og for all del – slett alle utvidelser som du ikke bruker!

Oppdatering av tema og utvidelser.

Pass på å til enhver tid, i det minste jevnlig – å oppdatere tema og alle utvidelser! En oppdatering kommer ofte fordi en leverandør har funnet en feil og oppdateringen tetter dette sikkerhetshullet. Sikkerhetsfeil i tema og utvidelser er den aller største årsaken til at en hjemmeside blir hacket. Jeg kan nesten med sikkerhet si at om du ikke holder disse komponentene oppdatert er det kun et spørsmål om tid før du blir hacket. Her snakker jeg av egen erfaring.

Oppdatering av WordPress.

Det kommer også oppdateringer av selve WordPress koden. Dette må også oppdateres. Har du satt på automatisk oppdatering, så vil dette skje automatisk for nye versjoner av WordPress. Alle mellomversjoner må du som regel oppdatere selv.

Det finnes utvidelser som automatisk oppdaterer alle dine tema og utvidelser. Jeg anbefaler i utgangspunktet ikke bruk av dette, mest fordi du da ikke har kontroll om noe skulle feile. Men om en setter opp en backuprutine som tar backup like før en tema / utvidelse oppdatering så kan dette fungere. Det viktig at du sjekke at hjemmesiden fungerer etter en hvilken som helst oppdatering.

Backup – bort fra leverandør

De fleste leverandører tilbyr backup som en del av tjenesten og ofte er dette inkludert. Mange oppbevarer også sikkerhetskopien adskilt fra dine produksjonsdata. Så er ikke dette godt nok da? Nei, jeg mener at det ikke er bra nok i de fleste tilfeller. Så, hvorfor bør du selv ta hånd om sikkerhetskopiering? Jo, ganske enkelt for å ha bedre kontroll hvis du skulle være så uheldig at hjemmesiden din blir hacket eller ødelagt på ett eller annet vis. Menneskelig feil er en mulighet for at noe kan gå galt på hjemmesiden din, f.eks. at du av vanvare sletter innhold som du ikke skulle, at du installerer en utvidelse som fører til at hjemmesiden din feiler. Da kan det være veldig greit å ha en lett tilgjengelig sikkerhetskopi som du enkelt kan legge tilbake selv.

Hvor ofte må du ta backup av WordPress sidene dine? Det varierer, men er du ofte inne og oppdaterer sidene dine så bør du kanskje ta backup hver dag, eller oftere. Oppdaterer du innhold og annet relativt sjeldent, så holder det kanskje å ta backup en dag i uka. Ditt arbeidsmønster styrer dette.

Hvor lenge bør jeg oppbevare en kopi av WordPress backupen min? Dette vil også variere, men som et utgangspunkt ville jeg sagt minimum 14 dager, lenger hvis du sjeldent oppdaterer hjemmesiden din. Tar du backup en gang i uka så skal du minst oppbevare 2 backup versjoner. Tar du backup hver dag, så må du ha minst 14 backup versjoner tilgjengelig.

Hvorfor skal jeg oppbevare WordPress backup i minst 14 dager eller lenger? Om siden din skulle bli hacket eller om du gjør en feil (som du ikke oppdager med en gang) så er det viktig at du har en backup fra tiden før siden ble hacka eller før noe feilet. Sjekker du sidene dine sjeldnere enn 14 dager, bør du vurdere å oppbevare backupen lengre.

Det kan også være en god vane å ta en backup like før du oppdaterer tema, utvidelser og evt. WordPress. Da har du en sikkerhetskopi som du vet virker før noe ble oppdatert.

Noen anbefalte tillegg (plugins)

Jeg har selv brukt/bruker «UpdraftPlus Backup/Restore» og «All in One WP Migration» fra servermask.com.

Gratisversjonen for UpdraftPlus lar deg ta backup bl.a. ut til Google Drive eller Dropbox. Du kan også spesifiser hvor ofte du skal ta backup, men du får dessverre ikke satt noe tidspunkt på døgnet backupen skal kjøre. Kjøper du premium versjonen tilbys mulighet for å klone eller migrere hjemmesiden din, samt bedre tidsstyring av backup (bestemme klokkeslett for når backup skal kjøres). En annen kjekk funksjon i betalingsversjonen er at backup kan kjøres automatisk FØR du oppdaterer WordPress/tema eller utvidelser. Dette er bra😊

«All in One WP Migration» fra Servermask gir deg i gratisversjonen mulighet til å ta en skikkerhetskopi/klone som du kan laste ned til egen datamaskin. Denne klonen kan du selv restore på et annet domene eller på hjemmeserveren din. Det er altså en superenkel og genial måte til å ta en komplett fullstendig kopi av nettstedet ditt for så å klone den til en annen server. Du kan også klone til et annet domene, noe som er veldig greit hvis du f.eks. ønsker å sette opp en kopi av hjemmesiden din på din egen hjemmeserver eller hos en annen leverandør.

Imidlertid så er det kun mulig å ta manuell backup med gratisversjonen. Men du kan kjøpe et tilleggsprodukt fra Servermask der du kan sette opp backup til faste tider samt at backupen eksporteres til f.eks. Google Drive (de tilbyr eksport til mange plattformer – Ondrive, Dropbox, Amazon…). Denne utvidelsen har jeg brukt ved flere anledninger for å kopiere/migrere hjemmesider. Hvis du vurderer å kjøpe denne så har de i skrivende stund en stor fordel med sin betalingsplan. Du kjøper 1-en opsjon (f.eks. eksport til Google Drive) 1-en gang – og får en livsvarig lisens med oppdateringer som du kan bruke på så mange nettsteder du vil. Hos de fleste andre leverandører må du betale årlig vedlikehold og du må kjøpe lisens for hvert nettsted du skal bruke programvaren på.

Du har også Duplicator fra Snapcreek.com. Denne gjør også jobben, men jeg liker de 2 førstnevnte best. Det finnes enda flere løsninger, men jeg har ikke erfaring med disse.

Sikkerhets utvidelser

Her finnes det mange utvidelser å velge i, både betalings versjoner og gratisversjoner. Noen av de som nevnes ofte er:

• Wordfence (gratis + opsjon på bedre beskyttelse ved kjøp)
• All In One WordPress Security and Firewall (gratis)

Jeg har brukt/bruker begge ovenstående og begge utfører den jobben de er tiltenkt å gjøre.

Wordfence er den sikkerhetsutvidelsen for WordPress som har desidert flest nedlastinger/brukere.

All In One WordPress Security and Firewall er helt gratis. Den har også en «måler» som ut fra deres settinger sier noe om hvor godt beskyttet sidene dine er.

Det er relativt lett å sette opp og konfigurere begge disse. Men er du usikker på noen innstillinger, så la vær å skru disse på. Sjekk eventuelt med noen som kan det eller bruk Google for å finne svar. Wordfence har en meget god brukerveiledning der alt er forklart.

Et par andre:

• Sucuri (gratis, men de tilbyr flere verktøy som kan kjøpes).
• Ithemes Security (ikke gratis)

WordPress hjemmeserver

I tillegg vil jeg anbefale deg å installere en egen «WordPress server» på din hjemme PC. Her kan du ha en kopi av hjemmesiden din som du kan leke og eksperimentere med, samt teste ny funksjonalitet så mye du vil uten at dette får konsekvenser for hjemmesiden som er i produksjon. Du kan også ha en kopi av produksjonssiden her som du enkelt kan restore til «live» siden hvis live siden din skulle feile. En meget enkel mulighet for egen «WordPress server» er Local by Flywheel. Denne finnes både for Mac og PC. De fleste vil kunne klare å sette opp denne løsningen på egenhånd. Den eneste ulempen jeg har med denne er at den er ganske treg å jobbe med.

En annen WordPress hjemmeserver løsning for PC er WAMP server (for Mac: MAMP server). Skal du installere Wampserver så krever det litt mer teknisk innsikt, men til gjengjeld får du et lokalt miljø som kanskje er mer robust og som gir deg flere muligheter.