T SL
Active Member
Etter å ha fikset en del nettsider som har blitt hacket (alle på Wordpress), ønsker jeg å dele noen tips for hvordan dere kan sikre nettsidene deres:
- Bytt fra standard wp-admin til en unik adresse
- Blokk IP-adresser og land fra å få tilgang til loginsiden
- Ikke installere nulled/hacked Wordpress themes eller plugins. Disse kan være infisert med ondsinnet kode, og du vil normalt ikke kunne oppdatere for å lappe sikkerhetshull. Dersom du ikke kan bruke en hundrelapp eller fem på en plugin eller et tema, bør du kanskje ta deg råd til det?
- Dersom du vet hva du gjør: blokker referrere som får flere 404-feil (men ikke dersom du naturlig får mange 404-feil, da kan du risikere å blokke googlebot f.eks.!)
- Blokk kjøring av php i wp-content
- Scan siden med Wordfence jevnlig. Scan filer utenfor Wordpress-installasjonen, scan filer mot Wordpress repository og orifinale temafiler. Dersom du har rottilgang eller SSH kan du scanne grundigere, men Wordfence er enkelt og greit og kan normalt kjøres på alle dformer for hosting, eventuelt i deres cloudsystem dersom hosten din ikke greier det.
- Blokker gjentatte feilaktige passord-login-kombinasjoner
- Skift userID til noe annet enn 1 i databasen
- Ikke bruk admin, administrator og andre vanlige brukernavn. Ha et forskjellig nickname fra login-navn.
- Slå av filredigering i WP Admin
- Blokker XML-RPC for å hindre XML-RPC bruteforce-angrep
- Bruk noe annet enn det vanlige wp_ prefikset i databasen
- Bruk sikker hosting!
- Hindre at folk kan se mapper, f.eks. å kunne browse temamapper eller pluginmapper!
- Ta backup av database og wordpress-installasjon jevnlig.
Dette er ting du må gjøre før siden blir hacket. Det er ikke alltid at du kan se at siden din er hacket, men den kan for eksempel brukes som linkfarm med skjulte lenker, som igjen ødelegger dine plasseringer i søkemotorer. Vi ser også at folk ofte er uvitende om at siden deres brukes til å hoste flere tusentalls pdf-filer eller sider som lenker ut til shady tilbud. Å gjøre endringene over er både enklere og billigere enn å fikse en hacket side.
- Bytt fra standard wp-admin til en unik adresse
- Blokk IP-adresser og land fra å få tilgang til loginsiden
- Ikke installere nulled/hacked Wordpress themes eller plugins. Disse kan være infisert med ondsinnet kode, og du vil normalt ikke kunne oppdatere for å lappe sikkerhetshull. Dersom du ikke kan bruke en hundrelapp eller fem på en plugin eller et tema, bør du kanskje ta deg råd til det?
- Dersom du vet hva du gjør: blokker referrere som får flere 404-feil (men ikke dersom du naturlig får mange 404-feil, da kan du risikere å blokke googlebot f.eks.!)
- Blokk kjøring av php i wp-content
- Scan siden med Wordfence jevnlig. Scan filer utenfor Wordpress-installasjonen, scan filer mot Wordpress repository og orifinale temafiler. Dersom du har rottilgang eller SSH kan du scanne grundigere, men Wordfence er enkelt og greit og kan normalt kjøres på alle dformer for hosting, eventuelt i deres cloudsystem dersom hosten din ikke greier det.
- Blokker gjentatte feilaktige passord-login-kombinasjoner
- Skift userID til noe annet enn 1 i databasen
- Ikke bruk admin, administrator og andre vanlige brukernavn. Ha et forskjellig nickname fra login-navn.
- Slå av filredigering i WP Admin
- Blokker XML-RPC for å hindre XML-RPC bruteforce-angrep
- Bruk noe annet enn det vanlige wp_ prefikset i databasen
- Bruk sikker hosting!
- Hindre at folk kan se mapper, f.eks. å kunne browse temamapper eller pluginmapper!
- Ta backup av database og wordpress-installasjon jevnlig.
Dette er ting du må gjøre før siden blir hacket. Det er ikke alltid at du kan se at siden din er hacket, men den kan for eksempel brukes som linkfarm med skjulte lenker, som igjen ødelegger dine plasseringer i søkemotorer. Vi ser også at folk ofte er uvitende om at siden deres brukes til å hoste flere tusentalls pdf-filer eller sider som lenker ut til shady tilbud. Å gjøre endringene over er både enklere og billigere enn å fikse en hacket side.