Att hålla din WordPress-webbplats säker är en pågående process, liknande att ta hand om din hälsa. Även om WordPress är designat med säkerhet i åtanke, kan problem fortfarande uppstå. Dessa problem kan orsakas av föråldrade plugins, svaga lösenord eller till och med inställningar på din webbhotell.
På WPBeginner ser vi på säkerhetsrevisioner av WordPress som webbplatskontroller. De hjälper dig att hitta och åtgärda svagheter innan någon kan utnyttja dem. De håller din webbplats frisk och skyddar informationen den innehåller.
Den här artikeln visar dig hur du kontrollerar din WordPress-webbplats för säkerhetsproblem utan att orsaka några problem eller avbrott.
Vad är en WordPress säkerhetsrevision?
Att utföra en säkerhetsgranskning av din WordPress-webbplats innebär att kontrollera din webbplats efter tecken på ett säkerhetsintrång. Du kan utföra en WordPress-kontroll för att leta efter misstänkt aktivitet, skadlig kod eller en ovanlig minskning av prestanda.
Vi kommer att visa dig hur du utför en grundläggande säkerhetsrevision genom att följa enkla steg som du kan utföra manuellt. Vi kommer också att visa dig hur du använder verktyg och tjänster för säkerhetsrevisioner av WordPress för att utföra säkerhetskontrollerna automatiskt.
Om du hittar något misstänkt kan du isolera, ta bort och åtgärda det.
När ska man utföra en säkerhetsrevision av WordPress
Du bör utföra en WordPress säkerhetsrevision minst en gång per kvartal. Detta gör att du kan hålla dig uppdaterad om allt och stänga säkerhetshål redan innan de orsakar några problem.
Du bör dock omedelbart utföra en säkerhetsrevision om du märker något misstänkt, till exempel:
- Din webbplats är plötsligt långsam och seg.
- Du upplever en minskning av webbplatstrafiken.
- Det finns misstänkta nya konton, begäran om bortglömt lösenord eller inloggningsförsök på din webbplats.
- Du ser misstänkta länkar dyka upp på din webbplats.
Med det sagt, låt oss titta på hur du enkelt kan utföra en säkerhetsrevision av WordPress.
Utföra en grundläggande manuell säkerhetsrevision av WordPress
Här är en checklista med några steg du kan ta för att utföra en grundläggande manuell WordPress-säkerhetsrevision på din webbplats.
1. Uppdatera WordPress kärna, plugins och teman
WordPress-uppdateringar är verkligen viktiga för säkerheten och stabiliteten på din webbplats. De täpper till säkerhetshål, tillför nya funktioner och förbättrar prestandan.
Se till att din WordPress-kärnprogramvara, alla plugins och teman är uppdaterade. Du kan enkelt göra det genom att besöka sidan Instrumentpanel » Uppdateringar i WordPress adminområde.
WordPress kommer att kontrollera om några uppdateringar finns tillgängliga och sedan lista dem för dig att installera. Om du behöver mer hjälp, se våra guider om hur du uppdaterar WordPress på rätt sätt och hur du uppdaterar WordPress-plugins på rätt sätt.
2. Kontrollera användarkonton och lösenord
Därefter måste du granska WordPress-användarkonton genom att besöka sidan Användare » Alla användare. Leta efter misstänkta användarkonton som inte borde finnas där.
Om du driver en webbutik, en medlemskapswebbplats eller säljer onlinekurser, kan du ha användarkonton för dina kunder att logga in på.
Men om du driver en blogg eller en företagswebbplats bör du bara se användarkonton för dig själv eller någon annan användare som du har lagt till manuellt.
Om du ser misstänkta användarkonton måste du ta bort dem.
Nu, om din webbplats inte kräver att användare skapar ett konto, då måste du besöka sidan Inställningar » Allmänt och se till att rutan bredvid alternativet 'Vem som helst kan registrera sig' är avmarkerad.
Som en extra försiktighetsåtgärd behöver du ändra ditt WordPress-administratörslösenord. Vi rekommenderar starkt att du lägger till tvåfaktorsautentisering för att stärka lösenordssäkerheten på din webbplats.
3. Kör en säkerhetsskanning för WordPress
Nästa steg är att kontrollera din webbplats för säkerhetsbrister. Lyckligtvis finns det flera säkerhetsskannrar online som du kan använda för att kontrollera efter skadlig kod.
Vi rekommenderar att använda IsItWP Security Scanner, som kontrollerar din webbplats för skadlig kod och andra säkerhetsbrister.
Dessa verktyg är bra, men de kan bara skanna din webbplats publika sidor. Vi kommer att visa dig hur du utför djupare granskningar senare i den här artikeln.
4. Kontrollera din webbplatsanalys
Webbplatsanalyser hjälper dig att hålla koll på din webbplatstrafik. De är också en ganska bra indikator på din webbplats hälsa.
Om din webbplats har svartlistats av sökmotorer kommer du att se en plötslig minskning av din webbplatstrafik. Om din webbplats är långsam eller inte svarar, kommer dina totala sidvisningar att minska.
Vi rekommenderar att använda MonsterInsights för att spåra din webbplatstrafik. Det visar inte bara dina totala sidvisningar, utan du kan också använda det för att spåra registrerade användare, dina WooCommerce-kunder, formulärkonverteringar och mer.
5. Konfigurera och kontrollera WordPress-säkerhetskopior
Om du inte redan har gjort det, måste du omedelbart installera ett WordPress backup-plugin. Detta säkerställer att du alltid har en säkerhetskopia av din webbplats om något skulle gå fel.
Många nybörjare glömmer bort sitt WordPress-backup-plugin efter att ha konfigurerat det. Ibland kan backup-plugins sluta fungera utan förvarning. Det är en bra idé att se till att ditt backup-plugin fortfarande fungerar och sparar säkerhetskopior.
Utföra en automatisk WordPress-säkerhetsrevision
Ovanstående checklista låter dig gå igenom de viktigaste aspekterna av en säkerhetsrevision. Det är dock inte en särskilt grundlig process, vilket innebär att din webbplats fortfarande kan vara sårbar.
Det är till exempel svårt att manuellt registrera all användaraktivitet, filskillnader, misstänkta koder och mer. Det är här du behöver ett plugin för att automatisera säkerhetsgranskning och registrera allt.
Du kan automatisera denna process med hjälp av några WordPress säkerhetsplugins.
1. Utför automatiskt en säkerhetsrevision med WP Activity Log
WP Activity Log är det bästa pluginet för övervakning av WordPress-aktivitet på marknaden.
Det låter dig hålla koll på all användaraktivitet på din webbplats. Du kan se alla användarinloggningar, IP-adresser och vad de gjorde på din webbplats.
Du kan spåra WooCommerce-användare, redaktörer, författare och andra medlemmar som har ett konto på din webbplats.
Du kan också aktivera alla händelser som du vill spåra och inaktivera de händelser som du inte vill övervaka.
Pluginet visar dig också en livevy av alla användare som är inloggade på din webbplats. Om du ser ett misstänkt konto kan du omedelbart avsluta deras session och låsa ute dem.
Du kan lära dig mer i vår guide om hur man övervakar användaraktivitet i WordPress med WP Activity Log.
2. Utför automatiskt en säkerhetsrevision med Sucuri
Sucuri är det bästa WordPress brandväggspluginet på marknaden, och det är också den bästa allt-i-ett WordPress-säkerhetslösningen du kan få för din webbplats.
Det ger realtidsskydd mot DDoS-attacker genom att blockera misstänkt aktivitet redan innan den når din webbplats. Detta minskar belastningen på din server och förbättrar din webbplats hastighet/prestanda.
Den levereras med ett inbyggt säkerhetsplugin som kontrollerar dina WordPress-filer för misstänkt kod. Du får också en detaljerad översikt över användaraktiviteten på din webbplats.
Viktigast av allt, Sucuri erbjuder borttagning av skadlig kod gratis med alla sina betalda planer. Detta innebär att även om din webbplats redan är påverkad, kommer deras säkerhetsexperter att rengöra den åt dig.
Experthandledningar om WordPress-säkerhet
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du utför en säkerhetsrevision av WordPress på din webbplats. Du kanske också vill se några andra guider relaterade till WordPress-säkerhet:
- Hur man tvingar fram starka lösenord för användare i WordPress
- Hur du skyddar din WordPress-webbplats från brute force-attacker
- Toppskäl till varför WordPress-sajter hackas (& hur man förhindrar det)
- Tecken på att din WordPress-webbplats har blivit hackad (experttips)
- Hur du skannar din WordPress-webbplats efter potentiellt skadlig kod
- Hur du hittar en bakdörr på en hackad WordPress-webbplats och åtgärdar den
- Hur man skapar en katastrofåterställningsplan för WordPress
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Dennis Muthomi
Du rekommenderar Sucuri som en allt-i-ett-säkerhetslösning för WordPress. Jag undrar om Sucuri skulle kunna ersätta behovet av separata plugins som WP Activity Log?
Jag vill undvika att överbelasta min webbplats med för många plugins om ett skulle kunna göra jobbet.
WPBeginner Support
Det skulle bero på funktionen hos pluginet du vill ersätta, men Sucuri har ett alternativ för aktivitetslogg.
Admin
Dennis Muthomi
Bra poäng att om Sucuri uppfyller mina behov beror på den funktionalitet jag letar efter. TACK för att du svarade!
Eva
Första steget för att bekämpa dagliga försök till brute force-attacker är att ändra standardinloggnings-URL:en.
WPBeginner Support
Istället för att ändra inloggnings-URL:en skulle vi normalt rekommendera att använda ett plugin som "limit login attempts", eftersom ändring av inloggnings-URL:en har en högre chans att orsaka problem för nybörjare.
Admin
Eva
Tja, jag gör båda! Och många fler. Säkerhet är min högsta prioritet. Jag förstår vad du menar, men de flesta ord är lika lätta att memorera som /wp-admin eller /wp-login, särskilt för nybörjare enligt min åsikt.
WPBeginner Support
Det handlar mindre om att komma ihåg inloggnings-URL:en och mer om huruvida det finns några fel när man försöker ändra URL:en. De flesta nybörjare har inte verktygen för att fixa inloggningsadressen.
Eva
Jag förstår, bra poäng! I många fall räcker det att bara byta namn på plugin-katalogen via FTP för att inaktivera det och få åtkomst igen via /wp-login. Men jag förstår, det är inte nybörjarvänligt!
DW
Ja, att använda inloggnings-URI:n gör egentligen inte så mycket. Det är en teknik som kallas "säkerhet genom obskuritet" – i princip säkerhet genom att "gömma sig".
Om någon är fast besluten att ta sig in på din webbplats, skulle användningen av dessa "säkerhet genom obskuritet"-tekniker i bästa fall sakta ner dem med några minuter. Det är egentligen ingen ersättning för att säkra din webbplats ordentligt.
Du är mycket bättre rustad att säkra din webbplats ordentligt. Tekniker som plugins för att förhindra brute force-attacker, tvinga fram starka lösenord, tvinga fram multifaktorautentisering för åtminstone administratörskonton, och om du har lyxen att ha en statisk IP-adress, skapa en .htaccess-fil som endast tillåter åtkomst till administratörssidan från din IP-adress är alla mycket bättre lösningar.