WordPress och säkerhetsmyterna

Här går vi igenom några av dom vanligaste WordPress-säkerhetsmyterna. Internet är fullt av dåliga tips, slösa inte tid på dem utan läs det här istället. (delar av artikeln är hämtad och översatt från https://gitftp-deploy.com/articles/wordpress-security-myths)

Här går vi igenom några av dom vanligaste WordPress-säkerhetsmyterna.

 

Dölj eller flytta wp-admin för att förhindra att hemsidan blir hackad

Om du googlar på WordPress-säkerhet så är att flytta eller dölja wp-admin ett vanligt tips och det finns många plugins som kan göra det åt dig. Bots och skannrar letar efter WordPress-installationer och försöker räkna ut lösenordet och angripa /wp-admin.

Den här metoden kallas “security by obscurity”. Metoden är inte att lita på och kan inte kallas riktig säkerhet.

En stor nackdel med denna metod är att många plugins är beroende av att /wp-admin finns på en bestämd plats och riskerar därmed att plugins slutar fungera.

Utöver detta angriper de flesta attackerna sårbarheter i XML-RPC, och för att förhindra detta är det meningslöst att dölja wp-admin.

Jag rekommenderar dock en plugin som förhindrar lösenordsattacker.

 

Ändra wp-prefix för alla WordPress tables

Ett annat vanligt tips är att ändra wp-prefixet för WordPress-tables och därigenom förhindra en SQL-injection. I själva verket spelar det ingen roll, det är bara slöseri med tid.

Om en angripare kan fråga efter information_schema.tables kommer han eller hon att få all information om tables, oavsett om det finns ett prefix framför namnen. Återigen funkar inte “security by obscurity”.

 

Min sida är så liten - ingen bryr sig om att hacka den

Ingen webbplats är för liten för att attackera, faktiskt brukar mindre hemsidor vara mer utsatta. Hackare använder verktyg för att skanna Internet efter potentiella offer. Om du lämnar din hemsida oskyddad kan det vara fråga om bara några timmar innan den blir attackerad.

Men varför? Det finns många anledningar…

  • Skicka skräppost
  • Förbättra SEO genom att länka till oseriösa webbplatser som exempelvis säljer droger
  • Spridning av skadlig kod till besökare
  • Installera skript som kan användas för DDOS-attack. Ett mål kan vara att sälja informationen och använda din hemsida för att skapa en DDOS-attack på andra hemsidor.

 

Slutsats

WordPress är det största webbpubliceringsverktyget idag och 28% av nätet drivs av WordPress. Det betyder inte att WordPress i sig är osäkert men däremot är det extra utsatt just därför att det är den största plattformen.

Om du ändå väljer att använda WordPress till din hemsida så se då till att kontinuerligt uppdatera det samt alla plugins.

Om du tycker att det här känns krångligt och tidskrävande så har jag en enklare lösning. Använd dig av Moln8 publicering, då sköter vi allt åt dig och du behöver inte bry dig om attacker och riskera att tappa besökare till hemsidan. Dessutom får du en snabb hemsida och bra personlig service.

Kontakta oss för att flytta över din befintliga webbplats eller göra en ny med Moln8.

 

Jonas Svedin
6 Nov 2018