WordPress er en av verdens mest populære programvarer for å lage nettsider. Også hos Deploi er WordPress populært. Med WordPress kan man enkelt sette opp en ny webside, velge design og installere ny funksjonalitet. Men, med populariteten og enkelheten kommer også sikkerhetsutfordringer. I dette nyhetsbrevet tar vi for oss hva du bør tenke på og hvilke ting du bør gjøre når det gjelder sikkerhet i WordPress.
Hovedkomponentene
En WordPress-nettside har typisk følgende seks komponenter:
- En server, for eksempel en VPS hos Deploi
- Et Linux-basert operativsystem (OS), typisk Ubuntu eller Debian.
- Webserver, typisk Apache eller nginx
- PHP
- Selve WordPress
- Plugins til WordPress
Hver av disse har sine egne sikkerhetsutfordringer.
Sikkerhet på server, OS, webserver og PHP
Vi har tidligere skrevet generelt om serversikkerhet. Dette kan du lese i følgende artikler:
Vi har også tidligere tatt for oss oppdatering av operativsystem (OS). Denne artikkelen kan du lese her.
Hvordan holde operativsystemet oppdatert
Når OS-et oppdateres, vil det også oppdatere webserver og PHP, men ikke WordPress og plugins. Det må håndteres separat.
Sikkerhet i selve WordPress
WordPress har en innebygget rapport om den generelle sikkerheten. Dette er et godt sted å begynne. Du kan finne denne i administrasjonspanelet til WordPress-nettsiden ved å gå til Verktøy (Tools) og så Nettstedshelse (Site Health). Der vil du få en overordnet vurdering og en liste med foreslåtte tiltak.
Et av tiltakene som kan foreslås der er å oppdatere selve WordPress. Du kan enkelt oppgradere ved å følge linken i forslaget.
Generelt bør du følge med på rapporter om sikkerhetsproblemer i WordPress. Det kan du finne på denne nettsiden:
https://wordpress.org/news/category/security/
Hvis nye sikkerhetsproblemer blir rapportert, og WordPress har en oppdatering tilgjengelig, bør du installere oppdateringen i administrasjonspanelet til din WordPress-nettside.
Hvis sikkerhetshullet er av svært alvorlig karakter og en oppdatering ikke er tilgjengelig, har du muligheten til å midlertidig stenge nettsiden. Dette gjør du ved å aktivere vedlikeholdsmodus i kontrollpanelet.
Sikkerhet i plugins til WordPress
Det er mange plugins tilgjengelig, og de er enkle å installere fra kontrollpanelet til WordPress. Men, for hver plugin du installerer, kommer også et ansvar til å følge opp sikkerheten.
Det er relativt lett å lage nye plugins. En fare er derfor at det er en del mindre gode utviklere som lager dem. En annen fare er at de som utviklet en plugin slutter å vedlikeholde den. Det er derfor viktig å følge med på de pluginsene man har installert.
Hver plugin bør ha en egen side med oppdateringer rundt sikkerheten til pluginen. Et eksempel, på en populær plugin som har dette er Elementor. Den finner du her:
https://elementor.com/help/security-faq/
Plugins har alltid egne websider hos WordPress. Elementor sin ligger for eksempel her:
https://wordpress.org/plugins/elementor/
Nyttige ting du finner der er «User Reviews», «Last updated» og «Active installations».
- «User Reviews», brukeranmeldelser: Her kan du holde deg oppdatert på hva folk erfarer med pluginen.
- «Last updated», sist oppdatert: Dette bør ikke være for lenge siden. For eksempel er ofte 2 år for lenge, mens noen uker er svært bra.
- «Active installations», aktive installasjoner: Denne sier litt om hvor mange som bruker pluginen. Er det svært få, kan utviklerne miste interesse for å vedlikeholde den. Er det svært mange, er utviklerne svært interessert i å tette sikkerhetshull og oppdatere pluginen.
Hvis en plugin har alvorlige sikkerhetsfeil, eller ikke har blitt oppdatert på lenge, bør du vurdere å slutte å bruke den. Du kan enkelt deaktivere en plugin i panelet til WordPress, men merk da at egenskapene den tilbydde ikke lenger vil fungere på nettsiden.
Du bør jevnlig også sjekke om du har plugins som ikke lenger er i bruk. Disse bør deaktiveres.
Sikkerhetsplugins
Du kan vurdere å ta i bruk sikkerhetsplugins til WordPress. En av de mest populære er Wordfence. Wordfence analyserer jevnlig installasjonen din og kan beskytte mot en rekke sikkerhetstrusler.
Du kan lese mer om Wordfence her:
https://wordpress.org/plugins/wordfence/
Mange WordPress-sider
Har du mange WordPress-sider bør du bruke et verktøy for å følge med på at alle er oppdatert. Ett slikt verktøy er Wordfence Dashboard. Her kan du legge til sidene du vil følge med på. Da kan du få informasjon om plugin- og WordPress-versjonene, få vite hvilke plugins som er aktive, kunne oppdatere plugins på alle sider, og mye mer. Du kan lese om Wordfence Dashboard her:
https://www.wordfence.com/help/dashboard/
Hjelp
Trenger du råd eller bistand i forbindelse med sikkerhet i WordPress, er det som alltid mulig å kontakte oss på telefon eller e-post.
Hilsen
Deploi-teamet
Kommende bloggartikler:
- oktober: Expanded Security Maintenance (ESM) til Ubuntu
- november: Redundans på applikasjonsnivå
