Lidt om WordPress og sikkerhed

Vi laver ikke selv webdesign, men bliver ofte spurgt om hjælp til opsætning eller hosting af WordPress websites. WordPress bruges i dag på over 30% af alle websites og har en stort økosystem af temaer, plugins og virksomheder som lever af at sælge ydelser relateret til WordPress.

De eneste tekniske krav for at afvikle WordPress er en web-hosting udbyder der understøtter PHP og MySQL – noget som størstedelen af alle web-hosting udbydere tilbyder. Dette har selvfølgelig været medvirkende til, og måske kritisk for, at fremme WordPress og økosystemet.

Hvor sikker er WordPress?

Det kritiske for en WordPress installation er primært de plugins som tilvælges og installeres. Koden i disse plugins bliver afviklet samtidig (som en del af) WordPress og det er helt essentielt at kvaliteten og oprindelsen af disse er i orden. Det kan være svært at afgøre og verificere, men som udgangspunkt bør man ikke installere et plugin man ikke kender.

Når et WordPress site “hackes” er det typisk igennem plugins – det kan være ondsindede plugins, som er udviklet til formålet, eller sikkerhedshuller i helt almindelig og udbredte plugins. Det kan også være igennem admin-login, hvor robotter forsøger at logge ind med en liste over kendte/almindelige koder (brute force), indtil det måske lykkedes at finde den rigtige kombination.

Hvad kan man gøre for at sikre WordPress?

Det kan anbefales ikke at bruge ‘admin’ brugeren, men at lave en ny admin-bruger med et andet brugernavn, og selvfølgelig vælge en lang tilfældig adgangskode, som ikke bruges andre steder.

De helt almindelige anbefalinger og gode råd gælder selvfølgelig også her, som at holde operativsystem, webserver (f.eks. Apache eller Nginx) og PHP opdateret med sikkerheds patches. WordPress (og til dels plugins) bør også holdes opdateret, da kendte sikkerhedshuller bliver patchet.

Har man særlige krav til sikkerheden – det kan være en virksomheds profil der gør ens website mere udsat, så er der muligheder, udover det førnævnte. Du kan afvikle WordPress “sikret”, f.eks. bag IP beskyttelse eller i et internt netværk, og kun bruge WordPress som CMS – “content management” og ikke til afvikling af indholdet overfor besøgende. Der findes plugins til WordPress, som kan bygge statiske HTML sider og kopiere disse til f.eks. en ftp-server eller S3 bucket.  Her kan man gøre de statiske HTML sider tilgængelige uden risiko og i øvrigt med langt bedre performance (eller billigere hosting – hvordan man nu ser på det). Der er selvfølgelig også ulemper ved denne fremgangsmåde – det er ikke muligt at have dynamiske elementer på sine sider.

Der findes virksomheder som har specialiseret sig i hosting af WordPress, og som har opbygget systemer til patching og sikkert flere andre sikkerheds tiltag.

Har I brug for hjælp til WordPress?

Tag kontakt for en uforpligtende snak om de WordPress udfordringer I måtte have.