Varje WordPress-webbplatsägare vi känner har haft det där panikögonblicket när de inser att deras webbplats kan vara sårbar för hackare. Vi lärde oss den läxan den hårda vägen tidigt i vår resa när vi såg vad säkerhetsintrång kunde göra med företag.
Det är därför vi genom åren framgångsrikt har hållit WPBeginner säker från upprepade attacker genom att använda de bästa säkerhetsplugins och följa bästa praxis för WordPress-säkerhet.
WordPress-säkerhet behöver inte vara komplicerat eller dyrt. De flesta webbplatsägare tror att de behöver anlita experter eller spendera tusentals på säkerhetsverktyg, men det stämmer helt enkelt inte. Med rätt tillvägagångssätt och beprövade strategier kan du skydda din webbplats precis som vi skyddar vår.
Vi har spenderat år på att testa säkerhetsplugins, implementera bästa praxis och hjälpa tusentals WordPress-användare att säkra sina webbplatser. I den här guiden går vi igenom varje steg vi använder för att hålla vår webbplats säker, så att du kan sova lugnt med vetskapen om att din WordPress-webbplats är skyddad.
Medan WordPress kärnprogramvara är mycket säker och granskas regelbundet av hundratals utvecklare, finns det fortfarande mycket som behöver göras för att hålla din webbplats säker.
På WPBeginner tror vi att säkerhet inte bara handlar om att eliminera risker. Det handlar också om att minska risker. Som webbplatsägare finns det mycket du kan göra för att förbättra din WordPress-säkerhet, även om du inte är tekniskt kunnig.
Därför har vi sammanställt en checklista för WordPress-säkerhet med konkreta åtgärder som du kan vidta för att skydda din webbplats mot säkerhetsbrister.
För att göra det enkelt har vi skapat en innehållsförteckning som hjälper dig att enkelt navigera genom vår ultimata WordPress-säkerhetsguide.
Innehållsförteckning
Grunderna i WordPress-säkerhet
- Varför WordPress-säkerhet är viktigt
- Håll WordPress uppdaterat
- Använd starka lösenord och användarbehörigheter
- Förstå rollen för WordPress-hosting
WordPress-säkerhet i enkla steg (ingen kodning)
- Installera en WordPress-säkerhetskopieringslösning
- Installera ett ansedd WordPress-säkerhetsplugin
- Aktivera en webbapplikationsbrandvägg (WAF)
- Flytta din WordPress-webbplats till SSL/HTTPS
WordPress-säkerhet för gör-det-självare-användare
- Ändra standardadministratörsanvändarnamnet
- Inaktivera filredigering
- Inaktivera PHP-filkörning i vissa WordPress-kataloger
- Begränsa inloggningsförsök
- Lägg till tvåfaktorsautentisering (2FA)
- Ändra WordPress databasprefix
- Lösenordsskydda WordPress Admin och inloggningssida
- Inaktivera katalogindexering och bläddring
- Inaktivera XML-RPC i WordPress
- Logga automatiskt ut inaktiva användare i WordPress
- Lägg till säkerhetsfrågor till WordPress-inloggning
- Skanna WordPress efter skadlig kod och sårbarheter
- Åtgärda en hackad WordPress-webbplats
Redo? Låt oss börja.
Varför webbplatssäkerhet är viktigt
En hackad WordPress-webbplats kan orsaka allvarlig skada på ditt företags intäkter och rykte. Hackare kan stjäla användarinformation och lösenord, installera skadlig programvara och till och med distribuera skadlig kod till dina användare.
Värst av allt kan du finna dig själv betala ransomware till hackare bara för att återfå åtkomst till din webbplats.
Varje dag varnar Google 12-14 miljoner användare för att en webbplats de försöker besöka kan innehålla skadlig kod eller stjäla information.
Dessutom svartlistar Google över 10 000 webbplatser varje dag för skadlig kod eller nätfiske.
Precis som företagare med en fysisk plats är ansvariga för att skydda sin egendom, måste online-företagare ägna extra uppmärksamhet åt sin WordPress-säkerhet.
Håll WordPress uppdaterat
WordPress är öppen källkod och underhålls och uppdateras regelbundet. Som standard installerar WordPress automatiskt mindre uppdateringar.
För större releaser måste du manuellt initiera uppdateringen.
WordPress levereras också med tusentals plugins och teman som du kan installera på din webbplats. Dessa plugins och teman underhålls av tredjepartsutvecklare, som regelbundet släpper uppdateringar.
Dessa WordPress-uppdateringar är avgörande för säkerheten och stabiliteten på din WordPress-webbplats. Du måste se till att din WordPress kärna, plugins och tema är uppdaterade.
Använd starka lösenord och användarbehörigheter
De vanligaste WordPress-hackningsförsöken använder stulna lösenord. Du kan dock göra det svårt genom att använda starkare, unika lösenord för din webbplats.
Vi pratar inte bara om WordPress adminområde. Kom ihåg att skapa starka lösenord för dina FTP-konton, databaser, WordPress-värdkonton och anpassade e-postadresser som använder din webbplats domännamn.
Många nybörjare gillar inte att använda starka lösenord eftersom de är svåra att komma ihåg. Det bra är att du inte behöver komma ihåg lösenord längre eftersom du bara kan använda en lösenordshanterare.
Se vår guide om hur man hanterar WordPress-lösenord för mer information.
Ett annat sätt att minska risken är att inte ge någon åtkomst till ditt WordPress-administratörskonto om du inte absolut måste.
Om du har ett stort team eller gästartister, se till att du förstår användarroller och behörigheter i WordPress innan du lägger till nya användarkonton och författare på din WordPress-webbplats.
Förstå rollen för WordPress-hosting
Din WordPress-värdtjänst spelar den viktigaste rollen för säkerheten på din WordPress-webbplats. En bra delad värdtjänstleverantör som Hostinger, Bluehost eller SiteGround vidtar extra åtgärder för att skydda sina servrar mot vanliga hot.
Här är bara några sätt som bra webbhotellföretag arbetar i bakgrunden för att skydda dina webbplatser och data:
- De övervakar kontinuerligt sitt nätverk för misstänkt aktivitet.
- Alla bra hostingföretag har verktyg på plats för att förhindra storskaliga DDoS-attacker.
- De håller sin serverprogramvara, PHP-versioner och hårdvara uppdaterade för att förhindra hackare från att utnyttja en känd säkerhetsbrist i en gammal version.
- De har färdiga planer för katastrofåterställning och olyckor som gör att de kan skydda dina data vid en större olycka.
På en delad hostingplan delar du serverresurserna med många andra kunder. Det finns en risk för korswebbplatskontaminering där en hackare kan använda en närliggande webbplats för att attackera din webbplats.
Däremot ger användning av en hanterad WordPress-hosting-tjänst en säkrare plattform för din webbplats. Hanterade WordPress-hostingföretag erbjuder automatiska säkerhetskopior, automatiska WordPress-uppdateringar och mer avancerade säkerhetskonfigurationer för att skydda din webbplats.
Vi rekommenderar SiteGround som vår föredragna hanterade WordPress-värdleverantör. De har responsiv support, snabba servrar och utmärkt tillförlitlighet.
Se till att du får det bästa erbjudandet genom att använda vår speciella SiteGround-kupong.
WordPress-säkerhet i några enkla steg (ingen kodning)
Vi vet att det kan vara skrämmande att förbättra WordPress-säkerheten för nybörjare, särskilt om du inte är tekniskt lagd. Vet du vad – du är inte ensam.
Vi har hjälpt tusentals WordPress-användare att stärka sin WordPress-säkerhet.
Vi visar dig hur du kan förbättra din WordPress-säkerhet med bara några få klick (ingen kodning krävs).
Om du kan peka och klicka, kan du göra detta!
1. Installera en WordPress-säkerhetskopieringslösning
Säkerhetskopior är ditt första försvar mot alla WordPress-attacker. Kom ihåg, ingenting är 100% säkert. Om myndigheters webbplatser kan hackas, så kan din också.
Säkerhetskopior gör att du snabbt kan återställa din WordPress-webbplats om något dåligt skulle hända.
Det finns många gratis och betalda WordPress-backup-plugins som du kan använda. Det viktigaste du behöver veta när det gäller säkerhetskopior är att du regelbundet måste spara fullständiga webbplats-säkerhetskopior till en fjärrplats (inte ditt webbhotellskonto).
Vi rekommenderar att lagra den på en molntjänst som Amazon, Dropbox eller privata moln som Stash.
Beroende på hur ofta du uppdaterar din webbplats kan den ideala inställningen vara antingen dagliga säkerhetskopior eller säkerhetskopior i realtid.
Lyckligtvis kan detta enkelt göras genom att använda plugins som Duplicator, UpdraftPlus, eller BlogVault. De är båda pålitliga och viktigast av allt lätta att använda (ingen kodning behövs).
För mer information, se vår guide om hur du säkerhetskopierar din WordPress-webbplats.
Installera ett ansedd WordPress-säkerhetsplugin
Efter säkerhetskopiering är nästa sak vi behöver göra att sätta upp ett revisions- och övervakningssystem som håller reda på allt som händer på din webbplats.
Detta inkluderar övervakning av filintegritet, misslyckade inloggningsförsök, skanning efter skadlig kod och mer.
Lyckligtvis kan du enkelt åtgärda detta genom att installera ett av de bästa WordPress-säkerhetspluginsen, som till exempel Sucuri.
Du behöver installera och aktivera det gratis Sucuri Security-pluginet. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Nu kan du gå till Sucuri Security » Dashboard för att se om pluginet hittade några omedelbara problem med din WordPress-kod.
Nästa steg är att navigera till sidan Sucuri Security » Inställningar och klicka på fliken 'Härdning'.
Standardinställningarna fungerar bra för de flesta webbplatser, så du kan fortsätta och aktivera dem genom att klicka på knappen 'Apply Hardening' för varje alternativ.
Detta hjälper dig att låsa ner de nyckelområden som hackare ofta använder i sina attacker.
Tips: Vi kommer att täcka ytterligare sätt att härda din webbplats senare i den här artikeln, som att ändra databasprefixet och administratörsanvändarnamnet. Dessa är dock mer tekniska och kan kräva kodningskunskaper.
Efter härdningsdelen är pluginets andra standardinställningar tillräckligt bra för de flesta webbplatser och behöver inga ändringar.
Det enda vi rekommenderar att anpassa är e-postaviseringar, som finns under fliken 'Aviseringar' på inställningssidan.
Som standard får du många e-postvarningar som kan överbelasta din inkorg.
Vi rekommenderar att du bara aktiverar aviseringar för viktiga åtgärder du vill bli meddelad om, som plugin-ändringar och nya användarregistreringar.
Detta WordPress-säkerhetsplugin är mycket kraftfullt, så bläddra igenom alla flikar och inställningar för att se allt det gör, såsom skanning av skadlig kod, revisionsloggar, spårning av misslyckade inloggningsförsök och mer.
För mer information kan du se vår detaljerade Sucuri-recension.
Aktivera en webbapplikationsbrandvägg (WAF)
Att använda en webbapplikationsbrandvägg (WAF) är det enklaste sättet att skydda din webbplats och vara säker på din WordPress-säkerhet.
En webbplatsbrandvägg blockerar all skadlig trafik innan den ens når din webbplats.
- En DNS-baserad brandvägg för webbplatser dirigerar din webbplatstrafik genom sina molnproxy-servrar. Detta gör att den bara kan skicka legitim trafik till din webbserver.
- En applikationsnivåbrandvägg undersöker trafiken när den når din server men innan de flesta WordPress-skript laddas. Denna metod är inte lika effektiv som DNS-nivåbrandväggen för att minska serverbelastningen.
För att lära dig mer, se vår lista över de bästa WordPress brandväggsplugins.
Vi har använt Sucuri på WPBeginner i många år och rekommenderar det fortfarande som en av de bästa brandväggarna för webbapplikationer för WordPress. Vi har nyligen bytt från Sucuri till Cloudflare eftersom vi behövde ett större CDN-nätverk med funktioner som fokuserade mer på företagskunder.
Du kan läsa om hur Sucuri hjälpte oss att blockera 450 000 WordPress-attacker på en månad.
Det bästa med Sucuris brandvägg är att den också kommer med en garanti för borttagning av skadlig kod och svartlistning. Det betyder att om du skulle bli hackad under deras övervakning, garanterar de att fixa din webbplats, oavsett hur många sidor du har.
Detta är en ganska stark garanti eftersom reparation av hackade webbplatser är dyrt. Säkerhetsexperter tar normalt mer än 250 USD per timme, medan du kan få hela Sucuri-säkerhetspaketet för 199 USD för ett helt år.
Med det sagt är Sucuri inte den enda leverantören av brandväggar på DNS-nivå. Den andra populära konkurrenten är Cloudflare. Se vår jämförelse av Sucuri vs. Cloudflare (för- och nackdelar).
Flytta din WordPress-webbplats till SSL/HTTPS
SSL (Secure Sockets Layer) är ett protokoll som krypterar dataöverföring mellan din webbplats och användarens webbläsare. Denna kryptering gör det svårare för någon att snoka runt och stjäla information.
När du aktiverar SSL kommer din webbplatsadress att använda HTTPS istället för HTTP. Du kommer också att se ett hänglås eller en liknande ikon bredvid din webbplatsadress i webbläsaren.
SSL-certifikat utfärdas vanligtvis av certifikatutfärdare, och deras priser börjar från 80 USD till hundratals dollar per år. På grund av den extra kostnaden valde de flesta webbplatsägare tidigare att fortsätta använda det osäkra protokollet.
För att lösa detta beslutade en ideell organisation som heter Let’s Encrypt att erbjuda gratis SSL-certifikat till webbplatsägare. Deras projekt stöds av Google Chrome, Facebook, Mozilla och många fler företag.
Det är enklare än någonsin att börja använda SSL för alla dina WordPress-webbplatser. Många hostingföretag erbjuder nu ett gratis SSL-certifikat för din WordPress-webbplats.
Om ditt webbhotell inte erbjuder ett, kan du köpa ett SSL-certifikat från Domain.com. De har de bästa och mest pålitliga SSL-erbjudandena på marknaden. Certifikatet levereras med en säkerhetsgaranti på 10 000 USD och en TrustLogo säkerhetssigill.
WordPress-säkerhet för gör-det-självare-användare
Om du gör allt som vi har nämnt hittills, då är du i ganska bra form.
Men som alltid finns det mer du kan göra för att stärka din WordPress-säkerhet.
Tänk på att vissa av dessa steg kan kräva kunskaper i kodning.
Ändra standardadministratörsanvändarnamnet
Förr i tiden var standardanvändarnamnet för WordPress-administratören 'admin'. Eftersom användarnamn utgör hälften av inloggningsuppgifterna, gjorde detta det lättare för hackare att utföra brute-force-attacker.
Lyckligtvis har WordPress sedan dess ändrat detta och kräver nu att du väljer ett anpassat användarnamn vid tidpunkten för installation av WordPress.
Vissa 1-klicks WordPress-installationsprogram ställer dock fortfarande in standardanvändarnamnet för administratören till 'admin'. Om du märker att så är fallet, är det förmodligen en bra idé att byta webbhotell.
Eftersom WordPress inte tillåter dig att ändra användarnamn som standard finns det tre metoder du kan använda för att ändra användarnamnet.
- Skapa ett nytt administratörsanvändarnamn och ta bort det gamla.
- Använd pluginet Username Changer
- Uppdatera användarnamn från phpMyAdmin
Vi har täckt alla tre av dessa i vår detaljerade guide om hur man korrekt ändrar ditt WordPress-användarnamn.
Notera: Bara för att vara tydlig, vi pratar om att ändra användarnamnet som heter 'admin', inte administratörsrollen, som också ibland kallas 'admin'.
Inaktivera filredigering
WordPress levereras med en inbyggd kodredigerare som låter dig redigera dina tema- och pluginfiler direkt från ditt WordPress-adminområde.
I fel händer kan den här funktionen vara en säkerhetsrisk, vilket är anledningen till att vi rekommenderar att stänga av den.
Du kan enkelt göra detta genom att lägga till följande kod i din wp-config.php-fil eller med ett kodavsnittplugin som WPCode (rekommenderas):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Vi visar dig hur du gör detta steg för steg i vår guide om hur man inaktiverar tema- och plugin-redigerare från WordPress adminpanel.
Alternativt kan du göra detta med 1-klicksinstallation med funktionen Hardening i gratispluginet Sucuri som nämnts ovan.
Inaktivera PHP-filkörning i vissa WordPress-kataloger
Ett annat sätt att stärka din WordPress-säkerhet är att inaktivera PHP-filkörning i kataloger där det inte behövs, till exempel /wp-content/uploads/.
Du kan göra detta genom att öppna en textredigerare som Anteckningar och klistra in denna kod:
<Files *.php>
deny from all
</Files>
Spara sedan den här filen som .htaccess och ladda upp den till mappen /wp-content/uploads/ på din webbplats med en FTP-klient.
För en mer detaljerad förklaring, se vår guide om hur man inaktiverar PHP-körning i vissa WordPress-kataloger.
Alternativt kan du göra detta med ett klick med funktionen Hardening i gratispluginet Sucuri som vi nämnde ovan.
Begränsa inloggningsförsök
Som standard tillåter WordPress användare att försöka logga in hur många gånger de vill. Detta gör din WordPress-webbplats sårbar för brute-force-attacker. Det är här hackare försöker knäcka lösenord genom att försöka logga in med olika kombinationer.
Detta kan enkelt åtgärdas genom att begränsa antalet misslyckade inloggningsförsök som en användare kan göra. Om du använder brandväggen för webbapplikationer som nämnts tidigare, så tas detta automatiskt hand om.
Men om du inte har brandväggen installerad, kan du fortsätta med stegen nedan.
Först måste du installera och aktivera det kostnadsfria Limit Login Attempts Reloaded-pluginet. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Vid aktivering kommer pluginet att börja begränsa antalet inloggningsförsök som användare kan göra.
Standardinställningarna fungerar för de flesta webbplatser. Du kan dock anpassa dem genom att besöka sidan Inställningar » Begränsa inloggningsförsök och klicka på fliken 'Inställningar' högst upp. Till exempel, för att följa GDPR-lagarna, kan du klicka på kryssrutan 'GDPR-efterlevnad'.
För detaljerade instruktioner, ta en titt på vår guide om hur och varför du bör begränsa inloggningsförsök i WordPress.
Lägg till tvåfaktorsautentisering (2FA)
Metoden med tvåfaktorsautentisering kräver 2 olika steg för att användare ska kunna logga in:
- Det första steget är användarnamn och lösenord.
- Det andra steget kräver att du använder en kod från en enhet eller app som du har tillgång till och som hackare inte kan komma åt, till exempel din smartphone.
De flesta toppwebbplatser online som Google, Facebook och Twitter, låter dig aktivera det för dina konton. Du kan också lägga till samma funktionalitet på din WordPress-webbplats.
Först måste du installera och aktivera pluginet WP 2FA – Tvåfaktorsautentisering. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
En användarvänlig guide hjälper dig att ställa in pluginet och sedan får du en QR-kod.
Du kommer att behöva skanna QR-koden med en autentiseringsapp på din telefon, som Google Authenticator, Authy eller LastPass Authenticator.
Vi rekommenderar att använda LastPass Authenticator eller Authy eftersom de låter dig säkerhetskopiera dina konton till molnet. Detta är mycket användbart om din telefon tappas bort, återställs eller om du köper en ny telefon. Alla dina kontoinloggningar kommer enkelt att återställas.
De flesta av dessa appar fungerar på ett liknande sätt, och om du använder Authy, klickar du helt enkelt på '+' eller 'Lägg till konto'-knappen i autentiseringsappen.
Detta låter dig skanna QR-koden på din dator med din telefons kamera. Du kan behöva ge appen tillåtelse att komma åt kameran först.
Efter att ha gett kontot ett namn kan du spara det.
Nästa gång du loggar in på din webbplats kommer du att bli ombedd att ange tvåfaktorsautentiseringskoden efter att du har angett ditt lösenord.
Öppna helt enkelt autentiseringsappen på din telefon, så ser du en engångskod.
Du kan sedan ange koden på din webbplats för att slutföra inloggningen.
Ändra WordPress databasprefix
Som standard använder WordPress wp_ som prefix för alla tabeller i din WordPress-databas.
Om din WordPress-webbplats använder standarddatabasprefixet, gör det det lättare för hackare att gissa vad ditt tabellnamn är. Det är därför vi rekommenderar att ändra det.
Du kan ändra din databasprefix genom att följa vår steg-för-steg-handledning om hur man ändrar WordPress-databasprefixet för att förbättra säkerheten.
Notera: Att ändra databasprefixet kan orsaka problem på din webbplats om det inte görs korrekt. Gör detta endast om du känner dig bekväm med dina kodningskunskaper.
Lösenordsskydda WordPress Admin och inloggningssida
Normalt kan hackare begära din wp-admin-mapp och inloggningssida utan några begränsningar. Detta gör att de kan prova sina hackningstrick eller köra DDoS-attacker.
Du kan lägga till ytterligare lösenordsskydd på servernivå, vilket effektivt blockerar dessa förfrågningar.
Följ bara våra steg-för-steg-instruktioner om hur du lösenordsskyddar din WordPress-admin (wp-admin) katalog.
Inaktivera katalogindexering och bläddring
När du skriver adressen till en av dina webbplatsmappar i en webbläsare, kommer du att visas webbsidan som heter index.html om den finns. Om den inte finns, kommer du istället att visas en lista över filer i den mappen. Detta kallas katalogbläddring.
Katalogbläddring kan användas av hackare för att se om du har några filer med kända sårbarheter, så att de kan utnyttja dessa filer för att få åtkomst.
Katalogbläddring kan också användas av andra personer för att titta i dina filer, kopiera bilder, ta reda på din katalogstruktur och annan information. Det är därför det starkt rekommenderas att du stänger av katalogindexering och bläddring.
Du behöver ansluta till din webbplats med FTP eller din webbhotells filhanterare. Leta sedan reda på filen .htaccess i din webbplats rotkatalog. Om du inte kan se den där, se vår guide om varför du inte kan se .htaccess-filen i WordPress.
Därefter behöver du lägga till följande rad i slutet av .htaccess-filen:
Options -Indexes
Glöm inte att spara och ladda upp .htaccess-filen tillbaka till din webbplats.
För mer om detta ämne, se vår artikel om hur man inaktiverar katalogbläddring i WordPress.
Inaktivera XML-RPC i WordPress
XML-RPC är ett kärn-API i WordPress som hjälper till att ansluta din WordPress-webbplats med webb- och mobilappar. Det har varit aktiverat som standard sedan WordPress 3.5.
Men på grund av sin kraftfulla natur kan XML-RPC avsevärt förstärka brute-force-attacker.
Till exempel, om en hackare traditionellt ville prova 500 olika lösenord på din webbplats, skulle de behöva göra 500 separata inloggningsförsök. Pluginet Limit Login Attempts Reloaded kan upptäcka och blockera detta.
Men med XML-RPC kan en hackare använda funktionen system.multicall för att prova tusentals lösenord med säg 20 eller 50 förfrågningar.
Det är därför som om du inte använder XML-RPC, så rekommenderar vi att du inaktiverar det.
Det finns 3 sätt att inaktivera XML-RPC i WordPress, och vi har täckt alla av dem i vår steg-för-steg-handledning om hur man inaktiverar XML-RPC i WordPress.
Tips: .htaccess-metoden är den bästa eftersom den är minst resurskrävande. De andra metoderna är enklare för nybörjare.
Alternativt tas detta om hand automatiskt om du använder en webbapplikationsbrandvägg (WAF) som vi nämnde tidigare.
Logga automatiskt ut inaktiva användare i WordPress
Inloggade användare kan ibland lämna skärmen, och detta utgör en säkerhetsrisk. Någon kan kapa deras session, ändra lösenord eller göra ändringar i deras konto.
Det är därför många bank- och finansiella webbplatser automatiskt loggar ut inaktiva användare. Du kan ställa in liknande funktionalitet på din WordPress-webbplats också.
Du måste installera och aktivera pluginet Inactive Logout. Efter aktivering, besök sidan Inställningar » Inactive Logout för att anpassa utloggningsinställningarna.
Ställ helt enkelt in tidsperioden och lägg till ett utloggningsmeddelande. Glöm sedan inte att klicka på knappen 'Spara ändringar' längst ner på sidan för att spara dina inställningar.
För steg-för-steg-instruktioner, se vår guide om hur man automatiskt loggar ut inaktiva användare i WordPress.
Lägg till säkerhetsfrågor på WordPress-inloggningsskärmen
Att lägga till en säkerhetsfråga på din WordPress-inloggningsskärm gör det ännu svårare för någon att få obehörig åtkomst.
Du kan lägga till säkerhetsfrågor genom att installera pluginet Two Factor Authentication. Efter aktivering måste du besöka sidan Multi-factor Authentication » Two Factor för att konfigurera pluginets inställningar.
Detta gör att du kan lägga till olika typer av tvåfaktorsautentisering på din webbplats, inklusive säkerhetsfrågor.
För mer detaljerade instruktioner, se vår handledning om hur man lägger till säkerhetsfrågor på WordPress inloggningsskärm.
Skanna WordPress efter skadlig kod och sårbarheter
Om du har ett WordPress-säkerhetsplugin installerat, kommer det regelbundet att kontrollera efter skadlig kod och tecken på säkerhetsintrång.
Om du däremot ser en plötslig minskning av webbplatstrafik eller sökrankningar, kan du vilja skanna efter skadlig kod manuellt. Du kan göra detta med ditt WordPress-säkerhetsplugin eller en av de bästa skannrar för skadlig kod och säkerhet.
Att köra dessa online-skanningar är ganska enkelt. Du anger bara din webbplats URL, och deras crawlers går igenom din webbplats för att leta efter känd skadlig kod och skadlig kod.
Tänk nu på att de flesta WordPress-säkerhetsskannrar bara kan varna dig om din webbplats innehåller skadlig kod. De kan inte ta bort skadlig kod eller rensa en hackad WordPress-webbplats.
Detta för oss till nästa avsnitt, att rensa bort skadlig kod och hackade WordPress-webbplatser.
Åtgärda en hackad WordPress-webbplats
Många WordPress-användare inser inte vikten av säkerhetskopiering och webbplatssäkerhet förrän deras webbplats har blivit hackad.
Hackare installerar bakdörrar på drabbade webbplatser, och om dessa bakdörrar inte åtgärdas ordentligt, kommer din webbplats sannolikt att hackas igen.
För äventyrliga och gör-det-själv-användare har vi sammanställt en steg-för-steg-guide för att fixa en hackad WordPress-webbplats.
Att rensa en WordPress-webbplats kan dock vara mycket svårt och tidskrävande. Vårt råd skulle vara att låta en professionell ta hand om det.
Om du betalar för att använda säkerhetspluginet Sucuri som vi nämnde ovan, ingår reparation av hackade webbplatser i priset.
Annars kan du kolla in våra rekommendationer av de bästa WordPress-supportbyråerna för att hitta proffs som kan fixa din hackade webbplats åt dig.
Vanliga frågor om WordPress-säkerhet
Eftersom WordPress-säkerhet är så viktigt får vi regelbundet frågor om det. Här är svar på vanliga frågor om hur man håller WordPress-webbplatser säkra från attacker.
Är WordPress säkert att använda?
WordPress är utformat för att vara säkert, särskilt om du håller det uppdaterat regelbundet. Men eftersom det är så populärt riktar hackare ofta in sig på WordPress-webbplatser.
Oroa dig inte, dock. Genom att följa enkla säkerhetstips som de i den här artikeln kan du kraftigt minska risken för att någon hackar din webbplats.
Vad kan utsätta min WordPress-webbplats för risk?
Det finns olika sätt som hackare försöker få åtkomst till webbplatser. Några vanliga hot inkluderar att gissa lösenord, installera skadlig programvara (malware) och hitta svagheter i din webbplats kod för att stjäla information eller ta kontroll.
Hur ofta bör jag uppdatera min WordPress-webbplats?
Att hålla din WordPress-webbplats, teman och plugins uppdaterade är mycket viktigt. Nya uppdateringar inkluderar ofta korrigeringar för säkerhetsproblem. Försök att använda automatiska uppdateringar eller kontrollera efter uppdateringar själv minst en gång i veckan och installera dem snabbt.
Behöver jag ett speciellt plugin för säkerhet?
Du behöver inte använda ett säkerhetsplugin, men de kan göra din webbplats mycket säkrare. Säkerhetsplugins fungerar som extra vakter för din webbplats och skyddar dig från hackare och skadlig kod.
Hur vet jag om någon har hackat min webbplats?
Om du märker att konstiga saker händer på din webbplats kan det vara ett tecken på att du har blivit hackad. Detta kan inkludera att se nya användare eller filer som du inte har skapat, att din webbplats skickar besökare till andra webbplatser, att din webbplats körs långsamt eller att du får varningar från Google eller din webbhotell.
Vad ska jag göra om min webbplats blir hackad?
Om du tror att din webbplats har blivit hackad, få inte panik, utan agera snabbt. Du kan kontakta ditt webbhotell och be om hjälp. Du kan också använda ett säkerhetsplugin eller be en säkerhetsexpert att rensa din webbplats.
Om du har en säkerhetskopia av din webbplats, återställ den från den säkerhetskopian. Se till att ändra alla dina lösenord, inklusive de för ditt WordPress-administratörsområde, databas och FTP.
Vi hoppas att den här artikeln hjälpte dig att lära dig bästa praxis för att skydda din webbplats och vår rekommenderade WordPress-säkerhetschecklista. Du kanske också vill se vår lista över topporsaker till varför WordPress-webbplatser hackas och våra experters val av bästa WordPress-säkerhetsplugins.
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Leanne
Detta är en av de bästa handledningssajterna (inom vilket ämne som helst) jag har hittat. Tack, jag kommer att hänvisa wpbeginner till andra – fantastisk sajt!
WPBeginner Support
You’re welcome and glad you’ve found our content helpful
Admin
Daniel
Du vet att det finns killar som tar mer än 50 eller 100 dollar för att lära dig hur du gör allt detta, och ni gav det gratis! Tack så jättemycket!
WPBeginner Support
You’re welcome
Admin
Kraft
Tack för artikeln, den är verkligen användbar
WPBeginner Support
You’re welcome
Admin
Mydas
Detta var superanvändbart. Jag har kodningskunskaperna för att implementera allt detta, och nu kan jag ta mycket bättre hand om mina och mina kunders Wordpress-installationer. Tack för informationen, den är så komplett att jag inte kan tro att den är gratis xD
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Splendor Edesiri
Behöver jag en VPN för att komma åt min WordPress-webbplats från backend som en del av min WordPress-webbplatssäkerhet.
WPBeginner Support
Nej, det är inte nödvändigt
Admin
uzoma ichetaonye
Jag tror inte att du behöver någon VPN för att komma åt din webbplats via dess backend.
VPN används för att dölja eller hjälpa din identitet eller komma åt en webbplats som har blockerats från din plats.
Kam
Tack för den här artikeln. Det är väsentlig läsning!
Om du har en värd som Bluehost, är det då nödvändigt att ha en säkerhetskopia med ett plugin som Updraft plus + fjärrlagring? Trots allt borde värdleverantörer tillhandahålla säkerhetskopiering?
WPBeginner Support
Även om vissa värdar erbjuder säkerhetskopior, rekommenderar vi fortfarande att du skapar dina egna säkerhetskopior för säkerhets skull
Admin
Kyle B.
Att ändra databasprefixet kommer inte att göra någon skillnad. Annars, inte en dålig artikel.
WPBeginner Support
Thanks for sharing your opinion and glad you liked our article
Admin
kalmoa
Bara en FYI, med Nginx finns det ingen konfigurationsfil på katalognivå som Apaches .htaccess. All konfiguration måste göras på servernivå av en administratör, och WordPress kan inte ändra konfigurationen, som den kan med Apache. Så delen om 'Inaktivera körning av PHP-filer' kan inte slutföras av WordPress-installationer som körs på Nginx. Det inkluderar mig själv, som kör min WordPress-installation på Vultr. Deras one-click WordPress-installation distribueras på Nginx (ubuntu 18.04)
WPBeginner Support
Tack för att du delar detta för användare som specifikt använder Nginx för sin webbplats.
Admin
Tom
Vilket är det bästa sättet att uppdatera plugins om jag har flera som behöver uppdateras? Uppdatera en i taget och se om den uppdaterade pluginen bryter någon av webbplatsens funktionalitet?
WPBeginner Support
Om du är orolig för att en uppdatering skulle kunna förstöra din webbplats, rekommenderar vi att du testar uppdateringen genom att följa vår guide om hur du skapar en staging-miljö nedan:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Admin
Kartik Satija
Fantastisk artikel, mycket väl formulerad och dokumenterad.
Tack så mycket allihop för detta.
Mer kraft till er, fortsätt med det goda arbetet.
Skål,
Kartik.
WPBeginner Support
Glad you found our guide helpful
Admin
MIMIFTAH
Mycket informativt innehåll. Tack
WPBeginner Support
You’re welcome
Admin
Liz
Bra artikel. Jag har en fråga om härdningsalternativen. Jag läste att aktivering av härdning på alla alternativ kan orsaka att vissa plugins eller temat går sönder/inte fungerar korrekt. Om detta händer, hur svårt är det att fixa? Det verkar som att det är mer än att bara återställa härdningsalternativet. All insikt du kan erbjuda skulle uppskattas mycket. Tack!
WPBeginner Support
Det skulle bero på den specifika härdningsrekommendationen, pluginet och felmeddelandet för svårighetsgraden om ett fel skulle uppstå. Annars borde de flesta plugins inte ha några problem
Admin
Gary Starling
Mycket hjälpsamma förslag och väl förklarade från det grundläggande till det komplexa
Tack för dina förklaringar
WPBeginner Support
You’re welcome, glad our article could be helpful
Admin
Andrei
Hej grabbar,
Efter den första användaruppräkningen kommer ett säkerhetsplugin för brute force att blockera den IP-adressen.
Om du lösenordsskyddar wp-admin-katalogen kan pluginet inte längre blockera den IP-adressen.
Är det en korrekt bedömning?
WPBeginner Support
Korrekt, det skulle vara en liknande belastning som en blockerad IP, men om du behöver att många nya användare ska komma åt din webbplats, då skulle det vara bättre att begränsa inloggningsförsök än att lösenordsskydda din wp-admin.
Admin
Andrei
Ok, jag förstod äntligen hur detta fungerar och delar det här för alla. Lösenordsskydd av wp-admin görs på servernivå (Apache/Nginx). Om en användaruppräkning, brute force inte kan kringgå servernivån, skulle den inte kunna röra PHP/MySQL. Därmed lägger lösenordsskydd av wp-admin ingen ytterligare belastning på databasen.
Peter
Mycket informativt och hjälpsamt, jag har konfigurerat alla härdningsprocedurer du nämnde, tack så mycket.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Aqib khan
jag kommer alltid att följa dig. jag kommer alltid att älska dig och alltid dela sådant färskt och coolt innehåll för att få oss att le. Tack.
WPBeginner Support
Thank you, glad you’ve enjoyed our content
Admin
mahmoud
Jag älskar den här webbplatsen. Du erbjuder värdefull information.
Jag är nybörjare och detta är hjälpsamt.
Men kan jag bara ha ett starkt lösenord och inaktivera indexering för att lösa problemet?
Vad händer med alla dessa plugins? Jag tror att de kommer att påverka webbplatsens hastighet, eller är de inte installerade på webbplatsen?
WPBeginner Support
Angående din oro för plugins som saktar ner din webbplats, behöver du inte oroa dig, vi förklarar vårt resonemang bakom detta här: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Krishna
Hej WP Beginner-teamet,
Tack för en så kortfattad förklaring av WordPress-säkerhet. Den här artikeln var mycket användbar och fick mig att förstå värdet av WP-säkerhet för användare och webbplatsägare.
TACK IGEN...
WPBeginner Support
You’re welcome, glad our article was helpful
Admin
Kushal
Jag använde alla plugins som du nämnde sucuri, itheams, wp serber och jetpack. Hur många plugins kan jag använda på min webbplats.
WPBeginner Support
Vi skulle rekommendera att hålla sig till endast ett plugin för en specifik funktion, men generellt sett, hur många plugins man ska använda, vill du titta på vår artikel här: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Leighann
Detta var SÅ hjälpsamt. Tack för informationen och för att du sparade mig så mycket tid!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Admin
Dietrich
Hej
Är det okej att använda Sucuri och Wordfence samtidigt? Jag installerade Wordfence eftersom Sucuris gratisversion inte har en brandväggsfunktion.
WPBeginner Support
Vi skulle inte rekommendera att använda båda, flera säkerhetsverktyg kan komma i konflikt med varandra och orsaka problem med din webbplats.
Admin
Yiannis Christodoulou
Mycket hjälpsam artikel.
Tack för att du delar med dig.
WPBeginner Support
You’re welcome, glad our article could help
Admin
Steve Schultz
Din gratis Sucuri Security-pluginlänk är trasig … 404-fel.
WPBeginner Support
Thanks for letting us know, the link should be fixed
Admin
Monty parihar
Nu är min webbplats säkrad, efter att ha läst ditt inlägg installerade vi omedelbart säkerhetspluginet. Tack WP Beginner.
WPBeginner Support
You’re welcome
Admin
Melvin Adame
Fantastisk läsning! Säkerhet bör alltid vara den främsta prioriteringen för alla webbplatsägare, för deras skull och deras besökares.
WPBeginner Support
Thank you, glad you like our content
Admin
Adil
Tack för all denna information!
WPBeginner Support
You’re welcome
Admin
Mark Bunner
Några bra tips här. Jag har redan använt många av dem; men det ger några andra områden att tänka på.
WPBeginner Support
Thank you, glad you like our recommendations
Admin
Chukwuemeka Ebuka
Jag är mycket tacksam för den här artikeln, allt tack vare wpbeginner.com.
WPBeginner Support
You’re welcome, glad our article could be helpful
Admin
Heidi
Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin
WPBeginner Support
Om du använder deras länk från värddashbordet för att logga in på din webbplats kan det stämma, men om du lägger till /wp-admin till din domän så bör det ta dig till inloggningssidan som kommer att visa det ytterligare inloggningskravet
Admin
Heidi
Ok, tack, jag ska prova det.
Julian Song
Fantastisk artikel om säkerhet. Att sätta upp WordPress är enkelt, men att hantera det kräver mycket studier och forskning. Din blogg hjälper communityn mer än du kan ana. Jag delar till och med din blogg på det senaste WordPress-mötet som en av de bästa riktlinjerna.
WPBeginner Support
Thank you for your kind words and sharing our articles
Admin
Malith
Tack så mycket!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Admin
Shiva Prasad
Tack för att du är en bra mentor och för att du vägleder mig på rätt väg. Jag kommer alltid att vara tacksam mot dig.
WPBeginner Support
Glad our guides could help you
Admin
Majid
Hej,
Jag är ny på WordPress, jag använder Bluehost för att hosta min webbplats, när jag klickade på WordPress-knappen tog den mig automatiskt till cPanel, utan att fråga efter något lösenord, vilka lösenord pratar vi om?
PS längst upp till höger ser jag Hej, mitt namn... betyder det att det är mitt användarnamn?
Jag minns inte att jag installerade WordPress på Bluehost, och jag angav inte heller något användarnamn eller lösenord separat för WordPress.
Snälla hjälp.
WPBeginner Support
Det är BlueHosts verktyg för att göra det enklare att sätta upp din WordPress-webbplats, vår artikel handlar om lösenordet för din WordPress-webbplats. Du kan ändra lösenordet för din webbplats under Användare>Din profil. Namnet bredvid Hej bör vara ditt användarnamn.
Admin
Terence Vickers
Du kan ha ett stavfel i XML-RPC-avsnittet, vilket är lite förvirrande.
Det står för närvarande: ”Det är därför som om du inte använder XML-RPC, rekommenderar vi att du inaktiverar det.”
Om jag inte använder det skulle det troligen inte finnas något sätt att inaktivera det.
WPBeginner Support
Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that
Admin
Syed Gallani
Jag förstår att det är viktigt att hålla WordPress uppdaterat för säkerheten, men är det verkligen nödvändigt, ur säkerhetssynpunkt, att uppdatera alla plugins. Hur kan föråldrade plugins göra din webbplats mer mottaglig för att bli hackad?
WPBeginner Support
Det skulle bero på pluginet hur det kan göra din webbplats sårbar, men vissa plugins kan ha kod som är föråldrad på grund av ett nyupptäckt problem med en kodsnutt.
Admin
David Anozie
Ett stort tack! Du är chefen.
WPBeginner Support
Thank you for being one of our readers
Admin
Nick
Skulle blockering av sökmotorrobotar (via robots.txt) från indexering av kataloger hjälpa till med säkerheten?
WPBeginner Support
Nej, det skulle bara innebära att de sökmotorer inte skulle titta på din webbplats.
Admin
寒星
Det är verkligen hjälpsamt för att underhålla WP. Jag älskar det och tack så mycket.
WPBeginner Support
You’re welcome, glad our article was helpful
Admin
peg
jag lär mig den hårda vägen! : ) jag är så glad att ha hittat dig. jag har en hackad 5 år gammal webbplats som är hostad på godaddy (kommer inte åt admin alls) … de vill ha 300 dollar för att fixa det, så jag bygger om på bluehost och implementerar dina säkerhetsförslag. ser fram emot att lära mig mycket mer! tack så mycket för den här resursen.
WPBeginner Support
You’re welcome, glad our guide can help
Admin
Jeff Moyer
Bra omfattande lista tack! Att begränsa antalet inloggningsförsök är enligt mig en stor sak eftersom det avskräcker många hackare direkt från början. Det kan vara frustrerande om du tappar bort eller glömmer dina lösenord men ändå väl värt det.
WPBeginner Support
You’re welcome, glad you liked our article
Admin
Tanmay Kapse
En otroligt detaljerad post!! allt och varje sak beskrivs perfekt. Fortsätt med det goda arbetet
WPBeginner Support
Thank you, glad you liked our content
Admin
Sunny Chawla
Mycket tack för en stödjande sida, förbättra min webbplats
WPBeginner Support
Glad our guide could be helpful
Admin
Santhosh Naikar
Vilka saker behöver jag oroa mig för när det är hostat på ett internt nätverk [har endast tillgång till system inom vårt kontorsnätverk]?
WPBeginner Support
Din huvudsakliga oro för ett intranät skulle vara att säkerställa att varje användare har rätt behörigheter för sin roll, därefter skulle det vara att skydda dig från brute force-attacker och liknande.
Admin
steven suslick
Jag hittar detta och många av inläggen mycket hjälpsamma. Jag har en hack-relaterad fråga. Google Analytics rapporterar konstiga sidor som inte faktiskt existerar i mina inlägg. Alla verkar ha en /?s= till exempel /?s=dox. Jag kan inte hitta källan, några förslag?
WPBeginner Support
Those pages are from users using the search on your site, for the second someone searched for the word dox
Admin
Emmanuel Ikechukwu
Detta är den bästa WordPress-handledningen online jag har stött på hittills.
WPBeginner Support
Glad our articles are helpful
Admin
Bobbie Camp
Tycker att den här artikeln var mycket hjälpsam. Jag är väldigt nybörjare och inte "teknisk" och behöver all hjälp jag kan få. Uppskattar dina lättlästa instruktioner.
WPBeginner Support
Glad our articles could help
Admin
Jemes
Det är mycket hjälpsamt. Tack
WPBeginner Support
You’re welcome
Admin
NICHOLAS AMOL GOMES
Tack för en hjälpsam sida, förbättrar min webbplats
WPBeginner Support
You’re welcome
Admin
Brad Vincent
Hej allihopa,
Jag måste hålla med om dina omnämnanden av Sucuri – de har löst ett par av mina hackade webbplatser genom åren. Värt varenda krona!
Jag älskar verkligen dessa utökade inlägg med all information jag behöver. Jag har följt ditt inlägg om webbplatshastighet och det har gjort stor skillnad för mina webbplatser. När jag är klar med det kommer jag definitivt att följa detta.
Fantastiskt arbete och mycket uppskattat.
WPBeginner Support
Thank you, glad you find our articles helpful
Admin
Brian
Vad tycker du om Wordfence och Sucuri på samma WP-installation? De verkar ha en del liknande funktionalitet så jag undrade hur mycket mer jag får med båda jämfört med bara ett säkerhetsverktyg. Är Wordfence ett rimligt alternativ?
WPBeginner Support
Vi skulle rekommendera endast en åt gången för att förhindra konflikter mellan plugins.
Admin
Mark
Jag använder Wordfence och Sucuri för olika funktioner. Även om de vid första anblicken kan verka vara konkurrenter, är de faktiskt kompletterande. Jag har inte haft några problem med att köra båda… hittills… men naturligtvis finns det inkompatibiliteter bland plugins i allmänhet.