11 viktigste grunnene til at WordPress-nettsteder blir hacket (og hvordan du forhindrer det)

Nylig spurte en av leserne oss hvorfor blir WordPress-nettsteder hacket? Det er frustrerende å finne ut at WordPress-nettstedet ditt har blitt hacket. I denne artikkelen vil vi dele de viktigste grunnene til at WordPress-nettstedet blir hacket, slik at du kan unngå disse feilene og beskytte nettstedet ditt.


Hvorfor WordPress-nettsteder blir hacket?

Hvorfor målrettes WordPress av hackere?

For det første er det ikke bare WordPress. Alle nettsteder på internett er sårbare for hackingforsøk.

Årsaken til at WordPress-nettsteder er et vanlig mål er fordi WordPress er verdens mest populære nettstedbygger. Det gir mer enn 31% av alle nettsteder, noe som betyr hundrevis av millioner nettsteder over hele kloden.

Denne enorme populariteten gir hackere en enkel måte å finne nettsteder som er mindre sikre, slik at de kan utnytte det.

Hackere har forskjellige typer motiver for å hacke et nettsted. Noen er nybegynnere som bare lærer å utnytte mindre sikre nettsteder.

Noen hackere har ondsinnede hensikter som å distribuere skadelig programvare, bruke et nettsted for å angripe andre nettsteder eller spamme internett.

Når det er sagt, la oss se på noen av de viktigste årsakene til at WordPress-nettsteder blir hacket, og hvordan du kan forhindre at nettstedet ditt blir hacket.

1. Usikker webhotell

Som alle nettsteder er WordPress nettsteder vert på ein webserver. Noen vertsselskaper sikrer ikke sin vertsplattform riktig. Dette gjør alle nettsteder som er vert på serverne sine sårbare for hackingforsøk.

Dette kan lett unngås ved å velge den beste WordPress-leverandøren av nettstedet ditt. Det sikrer at nettstedet ditt er vert på en trygg plattform. Korrekt sikre servere kan blokkere mange av de vanligste angrepene på WordPress-nettsteder.

Hvis du vil være ekstra forsiktig, anbefaler vi at du bruker en administrert leverandør av WordPress-hosting.

2. Bruke svake passord

Bruker svake passord

Passord er nøklene til ditt WordPress-nettsted. Du må sørge for at du bruker et sterkt unikt passord for hver av de følgende kontoene, fordi de alle kan gi en hacker full tilgang til nettstedet ditt.

  • WordPress-adminkontoen din
  • Webhotell kontrollpanel konto
  • FTP-kontoer
  • MySQL-database brukt til ditt WordPress-nettsted
  • E-postkontoer som brukes til WordPress admin eller hosting-konto

Alle disse kontoene er beskyttet av passord. Å bruke svake passord gjør det lettere for hackere å knekke passordene ved hjelp av noen grunnleggende hackingverktøy.

Du kan enkelt unngå dette ved å bruke unike og sterke passord for hver konto. Se guiden vår om den beste måten å administrere passord for WordPress nybegynnere for å lære å håndtere alle disse sterke passordene.

3. Ubeskyttet tilgang til WordPress Admin (wp-admin Directory)

WordPress adminområdet gir en bruker tilgang til å utføre forskjellige handlinger på WordPress-nettstedet ditt. Det er også det mest angrepne området på et WordPress-nettsted.

Hvis du lar det være ubeskyttet, kan hackere prøve forskjellige fremgangsmåter for å knekke nettstedet ditt. Du kan gjøre det vanskelig for dem ved å legge til lag med autentisering i WordPress-admin katalogen.

Først bør du passordbeskytte WordPress-adminområdet ditt. Dette tilfører et ekstra sikkerhetslag, og alle som prøver å få tilgang til WordPress-administrator, må oppgi et ekstra passord.

Hvis du kjører et WordPress-nettsted med flere forfattere eller flere brukere, kan du håndheve sterke passord for alle brukere på nettstedet. Du kan også legge til tofaktorautentisering for å gjøre det enda vanskeligere for hackere å komme inn i WordPress adminområdet ditt.

4. Feil filtillatelser

Filtillatelser

Filtillatelser er et sett med regler som brukes av webserveren. Disse tillatelsene hjelper webserveren din med å kontrollere tilgang til filer på nettstedet ditt. Feil filtillatelser kan gi en hacker tilgang til å skrive og endre disse filene.

Alle dine WordPress-filer skal ha 644 verdi som filtillatelse. Alle mapper på ditt WordPress-nettsted skal ha 755 som filtillatelse.

Se vår guide for hvordan du løser problemet med opplasting av bilder i WordPress for å lære hvordan du bruker disse filtillatelsene.

5. Oppdaterer ikke WordPress

Noen WordPress-brukere er redde for å oppdatere WordPress-nettstedene sine. De frykter at det ville ødelegge nettstedet deres.

Hver nye versjon av WordPress løser feil og sikkerhetsproblemer. Hvis du ikke oppdaterer WordPress, forlater du nettstedet med vilje sårbart.

Hvis du er redd for at en oppdatering vil ødelegge nettstedet ditt, kan du lage en komplett WordPress-sikkerhetskopi før du kjører en oppdatering. På denne måten, hvis noe ikke fungerer, kan du enkelt gå tilbake til forrige versjon.

6. Oppdaterer ikke plugins eller tema

Akkurat som den viktigste WordPress-programvaren, er det like viktig å oppdatere tema og plugins. Å bruke en utdatert plugin eller et tema kan gjøre nettstedet ditt sårbart.

Sikkerhetsfeil og feil oppdages ofte i WordPress-plugins og temaer. Vanligvis er tema- og plugin-forfattere raske med å fikse dem. Men hvis en bruker ikke oppdaterer sitt tema eller plugin, er det ingenting de kan gjøre med det.

Forsikre deg om at du holder oppdatert WordPress-tema og plugins.

7. Bruke vanlig FTP i stedet for SFTP / SSH

SFTP i stedet for FTP

FTP-kontoer brukes til å laste opp filer til webserveren din ved hjelp av en FTP-klient. De fleste vertsleverandører støtter FTP-tilkoblinger ved hjelp av forskjellige protokoller. Du kan koble til ved hjelp av vanlig FTP, SFTP eller SSH.

Når du kobler til nettstedet ditt ved å bruke vanlig FTP, blir passordet ditt sendt til serveren ukryptert. Det kan bli spionert på og lett stjålet. I stedet for å bruke FTP, bør du alltid bruke SFTP eller SSH.

Du trenger ikke å endre FTP-klienten. De fleste FTP-klienter kan koble seg til nettstedet ditt på SFTP så vel som SSH. Du trenger bare å endre protokollen til ‘SFTP – SSH’ når du kobler til nettstedet ditt.

8. Bruke Admin som WordPress Brukernavn

Å bruke ‘admin’ som ditt WordPress-brukernavn anbefales ikke. Hvis administratorbrukernavnet ditt er administrator, bør du umiddelbart endre det til et annet brukernavn.

For detaljerte instruksjoner, sjekk veiledningen vår om hvordan du endrer ditt WordPress brukernavn.

9. Nulled temaer og plugins

Skadevare

Det er mange nettsteder på internett som distribuerer betalte WordPress-plugins og temaer gratis. Noen ganger er det lett å bli fristet til å bruke de nulllagte plugins og temaer på nettstedet ditt.

Det er veldig farlig å laste ned WordPress-temaer og plugins fra upålitelige kilder. Ikke bare kan de kompromittere sikkerheten på nettstedet ditt, men de kan også brukes til å stjele sensitiv informasjon.

Du bør alltid laste ned WordPress-plugins og temaer fra pålitelige kilder, for eksempel nettstedet for plugin / temautviklere eller offisielle WordPress-lagringsplasser.

Hvis du ikke har råd eller ikke ønsker å kjøpe et premium-programtillegg eller et tema, er det alltid gratis alternativer tilgjengelig for disse produktene. Disse gratis plugins er kanskje ikke like bra som de betalte kollegene, men de vil gjøre jobben gjort og viktigst av alt å holde nettstedet ditt trygt.

Du kan også finne rabatter for mange av de populære WordPress-produktene i tilbudsseksjonen på vår hjemmeside.

10. Sikrer ikke WordPress-konfigurasjon wp-config.php-fil

WordPress-konfigurasjonsfil wp-config.php inneholder innloggingsinformasjon for WordPress-databasen. Hvis den er kompromittert, vil den avsløre informasjon som kan gi en hacker full tilgang til nettstedet ditt.

Du kan legge til et ekstra lag med beskyttelse ved å nekte tilgang til wp-config-fil ved å bruke .htaccess. Bare legg til denne lille koden i .htaccess-filen.

ordre tillate, nekt
nekte fra alle

11. Endrer ikke WordPress Table Prefix

Mange eksperter anbefaler at du bør endre standard WordPress-tabellprefikset. Som standard bruker WordPress wp_ som et prefiks for tabellene det oppretter i databasen din. Du får et alternativ for å endre det under installasjonen.

Det anbefales at du bruker et prefiks som er litt mer komplisert. Dette vil gjøre det vanskeligere for hackere å gjette navnene på databasetabellen din.

For detaljerte instruksjoner, se vår guide for hvordan du endrer WordPress-databaseprefikset for å forbedre sikkerheten.

Å rydde opp i et hacket WordPress-nettsted

Å rydde opp i et hacket WordPress-nettsted kan være veldig smertefullt. Imidlertid kan det gjøres.

Her er noen ressurser for å komme i gang med å rydde opp i et hacket WordPress-nettsted:

  • Nybegynnerguide for å fikse det hackede WordPress-nettstedet ditt
  • Slik skanner du WordPress-nettstedet ditt for potensielt skadelig kode
  • hvordan finne en bakdør på et hacket WordPress-nettsted og fikse det
  • Hva gjør du når du er sperret utenfor WordPress admin (wp-admin)
  • Nybegynnerguide: hvordan du gjenoppretter WordPress fra sikkerhetskopi

Bonustips

For bunnsikker sikkerhet bruker vi Sucuri på alle våre WordPress-nettsteder. Sucuri tilbyr gjenkjennings- og fjerningstjenester for skadelig programvare samt en brannmur på nettstedet som vil beskytte nettstedet ditt mot de vanligste truslene.

Se hvordan Sucuri hjalp oss med å blokkere 450 000 WordPress-angrep på tre måneder

Vi håper denne artikkelen hjalp deg med å lære de viktigste grunnene til at WordPress-nettstedet blir hacket. Det kan også være lurt å se den ultimate WordPress-sikkerhetsguiden for å beskytte WordPress-nettstedet ditt.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me