WordPress er ikke nemt at hacke. Hvis du har en ansvarlig webhost og du sørger for at opdatere dine plugins og themes, så vil du sjældent – eller aldrig – opleve at blive hacket.
Sådan var det ikke altid. For nogle år siden var hacks ret almindeligt, men WordPress og webhosts har gjort meget for at forhindre det og nu er hacks sjældent.
Jeg er selv ikke blevet hacket i flere år og jeg administrerer ellers 20+ WordPress websites.
Der er flere ting du selv kan gøre for at undgå at blive hacket i WordPress:
- Installere sikkerheds plugins, fx Wordfence
- Bruge sikre brugernavn og adgangskoder
- Holde din WordPress installation opdateret
- Betale for en service som Sucuri
Derfor bliver du hacket i WordPress
Hackere er interesseret i WordPress fordi det er verdens mest populære hjemmeside software.
Mere end 50% af alle verdens hjemmesider kører på WordPress, så derfor giver det god mening for hackere at rette opmærksomheden den vej.
De fleste hacks sker automatisk.
Hackeren kører et script, et program, der scanner tusindvis af WordPress sider for kendte sikkkerhedshuller.
Hvis et website har et sikkerhedshul, forsøger programmet at udnytte dette til at få adgang.
Hvis det lykkes at trænge ind i sidens database, tilføjer hackeren noget kode, der på den ene eller anden måde har værdi for hackeren.
Hackeren kan inficere både databasen og lægger nye filer i dine mapper.
Det er typisk penge der motiverer en hacker. Siden kan bruges til at spamme emails eller linke til lyssky hjemmesider med viagra eller bitcoin scams.
Da det ikke er personligt at hackeren har udvalgt sig dig, skal du gøre som med andre kriminelle, nemlig at gøre det så besværligt som muligt at hacke dig. Så retter hackerens script opmærksomheden et andet sted hen.
Lad os se på hvordan du kan beskytte dig mod hacks.
Sådan beskytter du dig mod WordPress hacking
Hvis du gør disse 4 tips vil hackerne få det svært med dig. Hvis ikke du er så teknisk er det endnu vigtigere at du har et godt webhotel, hvor hosten har gjort dette for dig. Du kan se hvilke webhoteller jeg anbefaler på linket.
Hold din WordPress installation opdateret
Dette er det vigtigste du kan gøre for at undgå at blive hacket.
Langt de fleste hacks sker fordi et plugin, en WordPress version eller et theme har nogle sikkerhedshuller som hackere kan udnytte.
Hvordan det rent teknisk foregår i detaljer ved jeg ikke, men disse sikkerhedshuller er en big deal og derfor gælder det om at holde sit site opdateret.
Nyere versioner af WordPress laver selv mindre sikkerhedsupdates i baggrunden, uden at du skal gøre noget, og det er nok derfor at hacks er blevet så sjældne.
Men du skal stadig sørge for at holde dine plugins og themes opdateret. Du kan afsætte en time hver uge eller hver måned til at opdatere dine plugins. Du kan evt også betale nogen for at gøre det for dig.
En god rutine at komme ind i er at gå ind og tjekke for opdateringer, hver gang du laver noget på din hjemmeside. Hvis du poster et nyt blogindlæg, så tjek lige om der er nogle plugins der skal opdateres.
Brug unikke brugernavne og passwords
En anden, mindre hyppig, årsag var såkaldte “Brute Force” angreb, hvor hackerne prøver at gætte sig til brugernavn og adgangskode.
Før i tiden var brugernavnet nemlig altid “admin” som standard og så kunne hackerne forsøge at gætte dit password, simpelthen ved at prøve sig frem, såkaldte “brute force hacking”.
Derfor skal du aldrig bruge “admin” som brugernavn, dit eget navn eller din hjemmesides navn som brugernavn.
Du skal bruge et tilfældigt brugernavn, for du kan altid ændre hvilket navn der skal vises på siden. Dit brugernavn skal altså kun bruges til at logge ind, det behøver ikke blive vist på siden.
På samme måde bør du autogenerere et langt og besværligt password. Du kan gemme dette i et login regneark i Google Sheets/Excel eller bruge en password manager.
Hvis du bruger Chrome som browser kan du gemme dine passwords der.
Installer firewall og sikkerheds plugins
En anden nem løsning er at installere et sikkerheds- og firewall plugin.
Jeg bruger selv Wordfence og det fungerer fint. Det tager sig af mange af de ting vi har diskuteret her og scanner desuden dit site løbende for at se om der er sikkerhedshuller.
Hvis den finder problemer får du en email om det. Det er så også lidt ulempen, for som standard sender pluginnet altså for mange emails om småting og det bliver sådan lidt at man efter noget tid ikke læser dem.
Men Wordfence er smart og det virker, så jeg anbefaler helt sikkert at du installerer det eller et alternativ.
Du bør dog stadig holde din installation opdateret og tage andre forholdsregler.
Brug en betalt service som Succuri
Hvis du vil have mere ro på og er villig til at betale for det, så kan jeg anbefale en service som Succuri, der er et sikkerhedsfirma med speciale i WordPress.
Her betaler du et fast årligt beløb til medlemskab og så tager Succuri sig af at holde dig sikker.
Det sker blandt andet med et plugin, der scanner dit site, men lige vigtigt, så kan de hjælpe hvis du bliver hacket.
Har du et medlemskab hos Succuri går de ind og fjerner hacket og får din WordPress klar igen. Det er guld værd, men kræver du har betalt for det på forhånd ellers er det dyrere når skaden er sket.
Sådan gør du hvis du er blevet hacket
Ok, du er blevet hacket og nu leder du desperat efter hjælp.
Ro på!
Det er sjældent så slemt, men det kan komme til at koste dig nogle penge.
Hvis du vil løse et hacking problem har du 3 muligheder:
- Gendan backup fra før du blev hacket
- Betal nogen for at rense dit website
- Rens selv dit website
Gendan backup
Den første mulighed er at gendanne dit site med backup.
De fleste webhoteller har backup og gemmer op til 30 dage bagud. Derfor kan du, hvis du opdager hacket hurtigt, ofte gendanne dit site fuldt ud uden hack, hvis du går langt nok tilbage.
Denne løsning er bedst til dig der har et website der kun sjældent opdateres. Hvis dit site opdateres ofte, vil du altså miste det du har offentliggjort i mellemtiden.
Hvis du gør dette og gendanner dit site, skal du nu huske at opdatere alle themes og plugins og ændre dine passwords, både til siden og til din FTP server.
Betal nogen for at rense dit website
Det nemmeste du kan gøre, hvis du bliver hacket, er at betale nogen for at løse det for dig.
Det er helt billigt.
Succuri, som jeg anbefaler, tager ca. $200 for opgaven, mens din webhost også ofte kan gøre det, men for en del mere.
Du kan også prøve at finde en freelancer til opgaven på fx Marketers.dk eller i en Facebook gruppe for webdesignere eller online marketing typer.
Under alle omstændigheder kan det være nødvendigt at punge ud.
En service som Succuri går igang med opgaven straks og løser det typisk på et par timer.
Rens selv dit website
Den sidste mulighed er selv at rense dit website for hack.
Det er så også den sværeste.
Jeg har selv renset hacks, men det ville jeg ikke kunne have gjort hvis ikke jeg havde godt styr på FTP, databaser og PHP.
WordPress hacks er sådan set ret forudsigelige.
De kommer typisk fra sikkerhedshuller i et plugin og kan identificeres på den kode de gemmer i din database og i dine filer.
Hvis du kan finde en unik kodestump eller et filnavn i din FTP, så kan du normalt Google dig frem til hvilket hack der er tale om.
Når du ved hvilket hack der er tale om, skal du gøre følgende:
- Ændre password til WordPress og FTP
- Slette alle nye filer som hacket har gemt
- Slette kode i dine WordPress filer
- Slette kode i din database
- Opdatere WordPress og plugins
Som du kan se er det en større opgave, som dog kan klares med i de fleste tilfælde, men det kræver at du er teknisk dygtig.
Personligt havde jeg dog nok bare smidt pengene efter Succuri og så bandet og svovlet og sørget for at beskytte mig selv fremover.
Men… du kan selv rense dit website, det er ikke noget ubetinget krav at du skal betale dig fra det. Det kommer i høj grad an på hvor omfattende et hack det er.