Pas på din WordPress hjemmeside

Last updated on 
Pas på din WordPress hjemmeside

Kampen om at komme først - hackeren eller dig - stopper aldrig! Her er en lille stak weekend fif i den kamp :)

1 Standard admin kontoen

Næsten 50% af jer bruger 'admin' eller 'administrator' (evt med stort A) :0

Hold op med!

2 Alt for nemme passwords

Er adgangskoden til admin/administrator dertil på 8 karakterer kan den brydes på 5 timer! Bare én karakter mere - og så tager det eksempelvis 5 dage!!

Brug mindst 10-12 karakterer i din adgangskode til den bruger, som du så (se ovenfor) ikke skal benævne 'admin', 'administrator' eller noget, der minder om det!

3 Standard prefix til tabeller i databasen

Det fif her er lidt sværere at efterleve – og eksperterne er heller ikke enige om hvorvidt det har nogen effekt. Så er det sagt!
Du kan omdøbe alle WordPress tabellerne, så de ikke begynder med wp_ og ikke hedder wp_comments, wp_posts, mfl.
Er du ikke WordPress-haj og/eller SQL-100-meter-indendørs-mester, er det måske ikke et fif, du skal kaster dig over her fredag aften!

4 Begræns adgangen til særlige oplysninger

Der er nogen af filerne i din WordPress installation, som er særligt lækre for hackere at få fingrene i. Gør det ekstra svært for dem, at få fat i de filer!

Du fixer det ved at indføje det nedenstående i din .htaccess.

Options All -Indexes
<files .htaccess>
Order allow,deny
Deny from all
</files>
<files readme.html>
Order allow,deny
Deny from all
</files>
<files license.txt>
Order allow,deny
Deny from all
</files>
<files install.php>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>
<files error_log>
Order allow,deny
Deny from all
</files>
<files fantastico_fileslist.txt>
Order allow,deny
Deny from all
</files>
<files fantversion.php>
Order allow,deny
Deny from all
</files>

5 Installér 2 sikkerheds-plugins

Der er et par sikkerheds-plugins, som du kan installere - og det er ikke for at spille kostbar eller lege skæg-og-blå-briller at jeg ikke skriver her, hvilke det er; men så får jeg jo måske en snak med dig :)

Skriv til os på sales@alco.dk

6 En indsprøjtning med SQL

Nej - det er ikke en influenza vaccine! Det er endnu en lille stribe kommandoer, som du skal klistre i din .htaccess fil for at hindre hackere i at 'skubbe' dårlige data ned i dine WordPress tabeller - og først ødelægge udseendet af din hjemmeside, og senere overtage hele webserveren:

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
RewriteCond %{QUERY_STRING} http:  [NC,OR]
RewriteCond %{QUERY_STRING} https:  [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]

7 CROSS-SITE SCRIPTING (XSS)

Det er ikke så nemt at 'vaske' din hjemmeside for den her slags usikkerheder - og så alligevel. Det handler nemlig meget om, hvilke plugins du bruger. Er det en plugin, som din datter har fået af en ven, der har byttet sig til den for en kasse 'varme hveder' ?
Gå alle dine plugins igennem og vær sikker på at den/de der fremstiller dem, både er seriøse og ved hvad de gør. Er du i tvivl, er du velkommen til at spørge os om et specifikt plugin er risikabelt at bruge.

8 HTTPS

Denne blog bruger det - og rigtig mange hjemmesider gør det; bla. fordi Google skubber hjemmesider der ikke bruger HTTPS længere ned i listen af resultater, når du søger noget.
HTTPS er et godt signal til dem, der browser din hjemmeside, at du går op i sikkerheden og passer på med hvilke data, du 'spreder'.

Vi vil gerne hjælpe dig med at lægge et certifikat på din hjemmeside - ring til os på tlf: 9791 1470