Jag tar säkerhet på största allvar när det gäller webbplatser och WordPress. Därför använder jag ett plugin som heter Ithemes Security Pro. Den kostar 80 USD per år. Det finns även en gratisversion som räcker väldigt långt. Men som kund hos mig ingår alltid Pro-versionen utan extra kostnad.
Så här ställer jag in Ithemes Security
Det finns mängder av inställningar i denna plugin och vet man inte vad man gör så kan det toka till sig rejält. Men håller man sig till några grundläggande inställningar så kommer man långt, och inget kan gå fel. Vi går igenom gränssnittet del för del.
SECURITY CHECK
Kör en kontroll av din installation och gör grundläggande inställningar automatiskt. Du kan gott köra den, men var medveten om att den gör några inställningar som du kanske inte vill ha, som Two-factor Authentication. Mer om det nedan!
GLOBAL SETTINGS
- Kryssa i Allow iThemes Security to write to wp-config.php and .htaccess.
- Fyll i den epostadress som du vill har säkerhetsvarningar och -meddelanden till.
- Kryssa i Send Digest Email, annars finns risk att du blir fullständigt bombarderad av varningar i perioder. Om en robot försöker hacka din hemsida så kan den göra mängder av inloggningsförsök. Har du följt den här guiden kommer den inte att lyckas, därför är det inte heller relevant att få en varning i eposten för varje enskilt försök. Första gångerna kanske du blir orolig, men till slut blir det bara “ropa varg i skogen”, och du kommer missa meddelanden som faktiskt är viktiga. Så kryssa i den här rutan!
- Skrolla ner en bit och kryssa i Enable Blacklist Repeat Offender.
404 DETECTION
Tryck på Enable och behåll standardinställningarna.
AWAY MODE
Den kan du strunta i.
BANNED USERS
LOCAL BRUTE FORCE PROTECTION
Här behöver du bara kryssa i rutan längst ner och blockera alla inloggningsförsök med användarnamnet “admin”. OBS! Försäkra dig först om att det inte finns någon “admin” på din sajt. Om det finns en sån kommer den inte längre att kunna logga in.
Varför är detta viktigt? Jo, för att när man installerar WordPress så föreslås “admin” som användarnamn automatiskt. Om du inte ändrar detta så har du gett hackare halva din inloggning “gratis”. Nu behöver de bara lösenordet. Utan “admin” blir det svårare för hackarna.
DATABASE BACKUPS
Det här kan du strunta i, eftersom du har ett dedikerat backup-plugin installerat (för det har du väl?). Jag använder Backupbuddy (också från Ithemes), men tycker det strular ibland. Det kostar en slant också. Mest populärt är UpdraftPlus, som dessutom är gratis.
FILE CHANGE DETECTION
Den kan du strunta i.
FILE PERMISSIONS
Visar helt enkelt dina skrivrättigheter. Inga inställningar kan göras här.
STRONG PASSWORD ENFORCEMENT
Rekommenderas.
SYSTEM TWEAKS
Den här är lite knepig. Jag brukar kryssa i följande:
- Disable Directory Browsing
- Filter Request Methods
- Filter Suspicious Query Strings in the URL
- Filter Long URL Strings
- Disable PHP in Uploads
Dock kryssar jag alltid i dem en efter en, sparar och testar så att sajten verkar fungera som den ska. Det kan uppstå störningar med vissa plugins. Man får prova sig fram. Oftast går det dock utan problem!
WORDPRESS TWEAKS
Här är det precis som med System Tweaks, att man får prova sig fram. Kryssa i en , spara och testa att ingenting verkar konstigt. Oftast är det inga problem, dock.
Följande brukar jag kryssa i:
- Remove the Windows Live Writer header
- Remove the RSD header
- Reduce Comment Spam
- Disable File Editor
Under XML-RPC väljer du Disable, såvida du inte använder Jetpack, WordPress mobil app eller pingbacks.
Skrolla sedan ner till botten och kryssa i de två sista: Disables a user’s author page if their post count is 0 och Alter target=”_blank” links to protect against tabnapping.
MALWARE SCAN SCHEDULING
Daglig scanning efter skadlig programvara är definitivt något vi tackar ja till. Se till att trycka på Enable och ställ sedan in till vilken epostadress du vill ha meddelanden om/när något skräp hittas.
PRIVILEGE ESCALATION
PASSWORD EXPIRATION
De kan du strunta i.
reCAPTCHA
Här kan du ställa in så att alla som loggar in eller kommenterar måste kryssa i “I’m not a robot”. Detta rekommenderas varmt, såvida du inte har tvåstegsauktorisering aktiverat (vi kommer till det strax). För att reCAPTCHA ska fungera behöver du hämta gratis nycklar från Google.
SETTINGS IMPORT AND EXPORT
Väldigt fiffig funktion som låter dig exportera inställningarna i Ithemes Security från en hemsida och importera dem på en annan. Smidigt, inte minst som det är en hel del inställningar att göra. DOCK, det är sällan jag har helt identiska inställningar på två webbplatser, så oftast brukar jag ändå gå igenom punkt för punkt på varje ny sajt. Det tar ändå inte många minuter.
TWO-FACTOR AUTHENTICATION
Tvåstegsauktorisering. Med detta aktiverat måste alla användare, förutom användarnamn och lösenord, ange en hemlig kod varje gång de loggar in. Koden är unik för varje inloggning och skickas per mejl eller till en särskild auktoriseringsapp i mobilen. Detta kan låta krångligt, men fungerar faktiskt riktigt smidigt. Och tveklöst gör det sajten säkrare. Jag rekommenderar absolut att du använder detta eller reCAPTCHA.
USER LOGGING
Kan du strunta i.
VERSION MANAGEMENT
Här har du möjlighet att kryssa i så att WordPress, plugins och tema uppdateras automatisk. Smidigt. Men var försiktig. Ibland händer det att en buggig uppdatering släpps och att det uppstår konflikter. Den risken finns å andra sidan även när man uppdaterar manuellt, så… tja, valet är ditt. Jag uppdaterar oftast plugins manuellt, medan WordPress och teman gärna får uppdateras automatiskt.
Notera att vid större WordPress-releaser kommer du förmodligen ändå behöva uppdatera manuellt.
HIDE BACKEND
För att hitta den här och kommande inställningar måste du skrolla upp högst upp i Ithemes Security och klicka där det står Advanced (6).
För att logga in i WordPress går man till webadress.com/wp-admin. Det är samma för alla WordPress-sajter. Om man ändrar detta till något annat, så blir det ytterligare lite svårare för den med onda avsikter att ta sig in. En god idé!
Ställ in enligt följande:
Där jag skrivit “aologin” är alltså där du anger vad du vill använda i stället för “wp-admin” när du loggar in. Välj något smart som du kommer ihåg. Men använd inte webbplatsens namn eller ett användarnamn. Så fort du tryckt spara kommer du inte längre att kunna gå till “dinhemsida.se/wp-admin” för att logga in.
SUMMA SUMMARUM
And there you have it. Gör inställningarna ovan och din hemsida kommer att vara om inte som ett fort, så i alla fall näst intill.