Många webbplatsägare oroar sig för att deras WordPress-sajter ska bli hackade. Vi hanterar många webbplatser och förstår denna oro väl.
Att bli hackad är mycket frustrerande och kan skada din verksamhet. Medan hackare försöker attackera alla typer av webbplatser, kan några vanliga misstag göra din WordPress-webbplats till ett enklare mål.
I den här artikeln kommer vi att dela de främsta anledningarna till varför WordPress-webbplatser hackas så att du kan vidta åtgärder för att skydda din webbplats bättre.
Varför riktas WordPress mot hackare?
Först och främst är det inte bara WordPress. Alla webbplatser på internet är sårbara för hackningsförsök.
Anledningen till att WordPress-webbplatser är ett vanligt mål är att WordPress är världens mest populära webbplatsbyggare. Den driver över 43% av alla webbplatser, vilket innebär hundratals miljoner webbplatser över hela världen.
Denna enorma popularitet ger hackare ett enkelt sätt att hitta webbplatser som är mindre säkra så att de kan utnyttja dem.
Hackare har olika motiv för att hacka en webbplats. Vissa är nybörjare som bara lär sig att utnyttja mindre säkra webbplatser. Andra har skadliga avsikter, som att distribuera skadlig kod, attackera andra webbplatser och skicka skräppost.
Med det sagt, låt oss titta på några av de främsta orsakerna till att WordPress-webbplatser blir hackade så att du kan lära dig hur du förhindrar att din webbplats blir hackad.
1. Osäker webbhotell
Precis som alla webbplatser, är WordPress-webbplatser hostade på en webbserver. Vissa hostingföretag säkrar inte sin hostingplattform ordentligt. Detta gör alla webbplatser som hostas på deras servrar sårbara för hackningsförsök.
Detta kan enkelt undvikas genom att välja den bästa WordPress-värdleverantören för din webbplats. Korrekt säkra servrar kan blockera många av de vanligaste attackerna mot WordPress-webbplatser.
Om du vill vidta extra försiktighetsåtgärder, rekommenderar vi att du använder en hanterad WordPress-värdtjänst.
2. Använda svaga lösenord
Lösenord är nycklarna till din WordPress-webbplats. Du måste se till att du använder ett starkt, unikt lösenord för vart och ett av följande konton eftersom de alla kan ge en hacker fullständig åtkomst till din webbplats:
- Ditt WordPress-administratörskonto
- Ditt webbhotells kontrollpanelkonto
- Dina FTP-konton
- MySQL-databasen som används för din WordPress-sajt
- Alla e-postkonton som används för WordPress-administration och hosting
Alla dessa konton skyddas av lösenord. Att använda svaga lösenord gör det lättare för hackare att knäcka lösenorden med hjälp av grundläggande hackningsverktyg.
Du kan enkelt undvika detta genom att använda unika och starka lösenord för varje konto. Se vår guide om bästa sättet att hantera lösenord för WordPress-nybörjare för att lära dig hur du hanterar alla dessa starka lösenord.
3. Oskyddad åtkomst till WordPress-administratören (wp-admin)
WordPress adminområde ger en användare tillgång att utföra olika åtgärder på din WordPress-webbplats. Det är också det mest attackerade området på en WordPress-webbplats.
Att lämna den oskyddad tillåter hackare att prova olika metoder för att knäcka din webbplats. Du kan göra det svårt för dem genom att lägga till lager av autentisering till din administratörskatalog.
Först bör du lösenordsskydda ditt WordPress-administratörsområde. Detta lägger till ett extra säkerhetslager, och alla som försöker komma åt WordPress-administratören måste ange ett extra lösenord.
Om du driver en WordPress-webbplats med flera författare eller flera användare, kan du tvinga fram starka lösenord för alla användare på din webbplats. Du kan också lägga till tvåfaktorsautentisering (2FA) för att göra det ännu svårare för hackare att komma åt ditt WordPress-administratörsområde.
4. Felaktiga filrättigheter
Filrättigheter är en uppsättning regler som används av din webbserver. Dessa rättigheter hjälper din webbserver att kontrollera åtkomsten till filer på din webbplats. Felaktiga filrättigheter kan ge en hackare möjlighet att skriva och ändra dessa filer.
Alla dina WordPress-filer bör ha värdet 644 som filbehörighet. Alla mappar på din WordPress-webbplats bör ha 755 som filbehörighet.
Se vår guide om hur man åtgärdar problem med bilduppladdning i WordPress för att lära dig hur du tillämpar dessa filbehörigheter.
5. Att inte hålla WordPress uppdaterat
Vissa WordPress-användare är rädda för att uppdatera sina WordPress-webbplatser. De fruktar att det kommer att förstöra deras webbplats.
Varje ny version av WordPress åtgärdar buggar och säkerhetsbrister. Om du inte uppdaterar WordPress lämnar du avsiktligt din webbplats sårbar.
Om du är rädd att en uppdatering kommer att förstöra din webbplats, kan du skapa en fullständig WordPress-säkerhetskopia innan du kör en uppdatering. På så sätt, om något inte fungerar, kan du enkelt återgå till den tidigare versionen.
Du kan lära dig mer i vår nybörjarguide om hur du säkert uppdaterar WordPress.
6. Uppdaterar inte plugins eller tema
Precis som kärnprogramvaran för WordPress är det lika viktigt att uppdatera ditt tema och dina plugins. Att använda ett föråldrat plugin eller tema kan göra din webbplats sårbar.
Säkerhetsbrister och buggar upptäcks ofta i WordPress-plugins och teman. Vanligtvis är författarna av teman och plugins snabba med att åtgärda dem. Men om en användare inte uppdaterar sitt tema eller plugin, finns det inget de kan göra åt det.
Se till att du håller ditt WordPress-tema och dina plugins uppdaterade. Du kan lära dig hur i vår guide om den korrekta uppdateringsordningen för WordPress, plugins och teman.
7. Använda vanlig FTP istället för SFTP/SSH
FTP-konton används för att ladda upp filer till din webbserver med en FTP-klient. De flesta hostingleverantörer stöder FTP-anslutningar med olika protokoll. Du kan ansluta med vanlig FTP, SFTP eller SSH.
När du ansluter till din webbplats med vanlig FTP skickas ditt lösenord okrypterat till servern. Det innebär att det kan spioneras på och lätt stjälas. Istället för att använda FTP bör du alltid använda SFTP eller SSH.
Du behöver inte ändra din FTP-klient. De flesta FTP-klienter kan ansluta till din webbplats via SFTP såväl som SSH. Du behöver bara ändra protokollet till 'SFTP – SSH' när du ansluter till din webbplats.
8. Använda Admin som WordPress-användarnamn
Att använda 'admin' som ditt WordPress-användarnamn rekommenderas inte. Om ditt administratörsanvändarnamn är 'admin', bör du omedelbart ändra det till ett annat användarnamn.
För detaljerade instruktioner, kolla in vår handledning om hur du ändrar ditt WordPress-användarnamn.
9. Nulllade teman och plugins
Det finns många webbplatser på internet som distribuerar betalda WordPress-plugins och teman gratis. Du kan frestas att använda dessa nulled plugins and themes på din sajt.
Att ladda ner WordPress-teman och tillägg från opålitliga källor är mycket farligt. De kan inte bara kompromettera säkerheten för din webbplats, utan de kan också användas för att stjäla känslig information.
Du bör alltid ladda ner WordPress-plugins och teman från pålitliga källor som utvecklarens webbplats eller officiella WordPress-arkiv.
Om du inte har råd att köpa ett premiumtillägg eller tema, finns det alltid gratisalternativ tillgängliga för dessa produkter. Dessa gratis tillägg kanske inte är lika bra som sina betalda motsvarigheter, men de kommer att göra jobbet och, viktigast av allt, hålla din webbplats säker.
Du kan också hitta rabatter för många av de populära WordPress-produkterna i erbjudandesektionen på vår webbplats.
10. Skyddar inte wp-config.php WordPress konfigurationsfil
WordPress-konfigurationsfilen wp-config.php innehåller dina inloggningsuppgifter till WordPress-databasen. Om den komprometteras, kommer den att avslöja information som kan ge en hacker fullständig åtkomst till din webbplats.
Du kan lägga till ett extra skyddslager genom att neka åtkomst till wp-config-filen med hjälp av .htaccess. Lägg helt enkelt till denna kod i din .htaccess-fil:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Ändrar inte WordPress tabellprefix
Många experter rekommenderar att du ändrar standardprefixet för WordPress-tabeller. Som standard använder WordPress wp_ som prefix för de tabeller det skapar i din databas. Du får möjlighet att ändra det under installationen.
Det rekommenderas att du använder ett mer komplext prefix. Detta gör det svårare för hackare att gissa dina databastabeller.
För detaljerade instruktioner, se vår guide om hur du ändrar WordPress databasprefix för att förbättra säkerheten.
Rengöra en hackad WordPress-webbplats
Att städa upp en hackad WordPress-webbplats kan vara smärtsamt. Det kan dock göras.
Här är några resurser för att komma igång med att städa upp en hackad WordPress-webbplats:
- Tecken på att din WordPress-webbplats har blivit hackad (och hur du åtgärdar det)
- Hur du skannar din WordPress-webbplats efter potentiellt skadlig kod
- Hur man hittar en bakdörr på en hackad WordPress-webbplats och åtgärdar den
- Vad du ska göra när du är utelåst från WordPress-admin (wp-admin)
- Nybörjarguide om hur du återställer WordPress från säkerhetskopia
Bonustips
För stenhård säkerhet, Sucuri erbjuder tjänster för upptäckt och borttagning av skadlig kod samt en brandvägg för webbplatser som skyddar din webbplats mot de vanligaste hoten.
Läs berättelsen om hur Sucuri hjälpte oss att blockera 450 000 WordPress-attacker på 3 månader.
Vi hoppas att den här artikeln hjälpte dig att lära dig de främsta orsakerna till varför en WordPress-webbplats blir hackad. Du kanske också vill se vår guide om hur du skyddar din WordPress-webbplats från brute force-attacker och vårt experttips om de bästa säkerhetspluginsen för WordPress för att skydda din webbplats.
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Dennis Muthomi
BRA nedbrytning av WordPress säkerhetsbrister.
Efter att ha hanterat uppdateringar på dussintals klientwebbplatser har jag funnit att implementering av en staging-miljö för att testa uppdateringar är absolut avgörande. D
enna åtgärd adresserar oron som nämns i punkterna 5 och 6 om att uppdateringar potentiellt kan bryta webbplatser. Jag skapar en staging-kopia, kör uppdateringar där först, testar noggrant och uppdaterar sedan först den live webbplatsen. Detta tillvägagångssätt har räddat mina klienter från många potentiella problem samtidigt som deras webbplatser hålls säkra och uppdaterade. Det är ett extra steg, men väl värt sinnesron.
Jiří Vaněk
Vad exakt gör direktiven för att säkra wp-config.php-filen med hjälp av .htaccess-filen? Förnekar de åtkomst för någon utifrån och tillåter endast åtkomst till filen av specifika applikationer? Förstår jag det rätt?
Kommer detta inte att orsaka något annat problem med att inte kunna komma åt filen?
WPBeginner Support
Det skulle förhindra åtkomst från någon som försöker öppna filen direkt och i de flesta fall bör inte orsaka problem med att begränsa åtkomsten på detta sätt.
Admin
Jiří Vaněk
Tack för svaret. Jag ville bara vara säker på att det kunde finnas en situation där jag skulle bryta någon intern WordPress-kommunikation. Jag tillämpar definitivt säkerhet.
SaifZiya
Tack för dessa fantastiska tips. Jag ska lägga till koden i .htaccess-filen nu.
Amit Khandelwal
Hej, jag har säkrat min wp-admin-mapp via mappintegritet, men hur kan jag göra samma sak för wp-login-URL:en?
Dragos
Du kan också välja att inte installera på standardplatsen för din WordPress-webbplats, så du kan faktiskt installera wp i en mapp som heter "secure" och sedan med några knep kommer dina besökare att komma till din webbplats.com istället för webbplats.com/secure för att se din webbplats.