1. Hold deg oppdatert
Som en tommelfingerregel så anbefales det at hver gang WordPress eller en plugin/innstikk du bruker har en oppdatering så bør den oppdateres.
Det kommer ofte nye sikkerhetsoppdateringer. Jeg har valgt å bruke automatisk oppdateringer av min WordPress. Plugins derimot og temaer må oppdateres manuelt, så følg med.
2. Bruk sikre passord
Bruk siden https://howsecureismypassword.net/ for å teste ditt passord, er det sikkert?
Prøv å få lyseoransje/gult eller grønt. Husk at det skal klares å huskes også!
Et sikkert passord har:
- minst 10 tegn
- små bokstaver
- store bokstaver
- tall
- symboler som ` ! » ? $ ? % ^ & * ( ) _ – + = { [ } ] :
Et sikkert passord er ikke
- brukernavn
- ditt navn, din venns navn, et familiemedlem, eller et felles navn
- et ord fra ordboken
- lignende et av dine tidligere passord
- din fødselsdato
- et tastatur mønster, for eksempel qwerty, asdfghjkl, eller 12345678
3. Fjern unødvendige feilmeldinger
Logginn feilmeldinger er nyttige, men dessverre, de kan også gi informasjon til angripere.
Å kvitte seg med at påloggingsfeil vises på din wp-login.php side, åpne functions.php filen din og legge koden under for det:
add_filter('login_errors',create_function('$a', "return null;"));
4. .htaccess
Denne filen er en viktig fil å gjøre mest mulig ut av da den kan enkelt stoppe angrep på siden din. Koden under gjør at crawlere ikke kan lese wp-config.php, readme.html og licence.txt. Den gjør og at ingen kan lese wp-includes mappen. Som kun skal leses og sees av webserveren.
I tillegg har jeg lagt til sperring på en god del filer og slikt. Dette fordi disse generelt ikke skal leses direkte, men webserveren har tilgang. I tillegg fjernes indeksering av mapper. Den siste kodebiten har med kommentarer å gjøre, her må du endre adressen til din nettside selv. Ellers er det bare å copy/paste.
<FilesMatch "^(wp-config.php|readme.html|license.txt)"> Order allow,deny Deny from all Satisfy All </FilesMatch> # Block the include-only files. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] # Block access to the following file types, i.e. filename.type <filesmatch "(^#.*#|.(bak|config|dist|txt|html|htm|eot|otf|ttc|ttf|woff|inc|ini|log|psd|sh|sql)|~)$"> Order allow,deny Deny from all Satisfy All # Disallow directory listing Options -Indexes # Block outside domain names from using the POST method RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php* RewriteCond %{HTTP_REFERER} !.*leisegang.no.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L]
5. Skru av filredigering
Som standard kan administratorer redigere PHP-filer, for eksempel plugin og tema filer. Dette er ofte det første verktøyet en angriper vil bruke hvis de er i stand til å logge inn. WordPress har en konstant/kode for å deaktivere redigering fra dashbordet. Ved å legge linjen i wp-config.php fjerner man valgene ‘redigere temaer «,» rediger plugins «og» redigere filer evner til alle brukere.
Lim dette inn i wp-config.php
define('DISALLOW_FILE_EDIT', true);
6. Installer Sucuri plugin
Denne pluginen er en av de beste og jeg bruker den. https://nn.wordpress.org/plugins/sucuri-scanner/ Den kan stoppe det meste og sjekker filene dine for nye filer og endringer. Alt loggføres så du kan enkelt se hva som har skjedd. Du kan og få epost når noen prøver å logge seg inn. Sucuri scanner er noe av det beste som er der ute.