Når din WordPress er installeret

Når din WordPress er installeret

Det er utrolig nemt at installere en WordPress – det tager kun 5 sek, og vi har ingen interesse i at det tager længere tid….

Og så alligevel. Der er faktisk en del ting, du bør tage dig af, så snart installationen er færdiggjort. Det vil forbedre sikkerheden i din installation, og med den fokus der er på WordPress-installationer fra crackere og malware-producenter er det en rigtig god investering af din tid.

Noget af det er rimeligt langhåret, så hvis du føler dig på usikker grund er det måske en god ide at alliere dig med en professionel. Især, hvis det drejer sig om en professionel side f.eks. for din virksomhed.

Under alle omstændigheder skal huske en ting inden du går i gang: TAG EN BACKUP!

Denne vejledning gælder kun egne installationer af WordPress, ikke blogs på WordPress.com. Og så har jeg sat som forudsætning, at din installation kører på en Apache. Det gør de fleste – og mange af rådene gælder også for andre webservere.

Forstærk WordPress Sikkerhed

Opdater, opdater, opdater!

Hvis du kan gør en ting, så sørg for at holde din WordPress og plugins opdateret til seneste version. Du bliver gjort opmærksom på det flere i administrationsdelen, så bare følg vejledningerne.

Og du kan med fordel følge denne vejledning i opdatering af WordPress.

Fjern unødvendig meta-data fra din WordPress

Hvis du kigger på kildekoden fra din WordPressside, så vil du finde en del metatags, der strengt taget ikke er nødvendige. For eksempel kan man se hvilken version af WordPress du bruger ved at kigge på sidens header.

Den oplysning gør det betydeligt lettere for en hacker, der leder efter lidt ældre versioner af WordPress med kendte sikkerhuller. Og med den information er det meget hurtigere at skaffe sig adgang.

For at fjerne denne information, kan du tilføje disse tre linier til den functions.php, der findes i mappen med dit tema – eller du kan lave dit eget funktionsplugin, så ændringen ikke påvirkes af et tema-skifte:

remove_action( 'wp_head', 'wp_generator' ) ; 
remove_action( 'wp_head', 'wlwmanifest_link' ) ; 
remove_action( 'wp_head', 'rsd_link' ) ;

Du kan også installere WordPress SEO by Yoast, og under Avanceret -> Permanente Links markere de linjer du vil have fjernet.

Spær adgangen til at kigge i din WordPress mappestruktur.

Du har ingen interesse i at en udefrakommende kan kigge i dine WordPress mapper og filer, derfor bør du tilføje denne linje til den .htaccess fil, der ligger i roden af din installation.

Options All -Indexes

Og sørg for at der er en tom fil navngivet index.php i mapperne wp-content/themes og wp-content/plugins.

Deaktiver muligheden for HTML i WordPress kommentarer

Kommentarboksen i WordPress er en lille HTMLeditor og kommentarerne kan indeholde almindelige HTML. Det betyder mulighed for at lave links i kommentarerne. Hvis du ønsker at fjerne den mulighed kan du tilføje denne linje til filen functions.php i dit tema.

add_filter( 'pre_comment_content', 'wp_specialchars' );

Skjul fejl på WordPress Login

Fejlmeddelelse ved login
Fejlmeddelelse ved login

Hvis du taster et ikke-eksisterende brugernavn eller et forkert password under indlogning, så får du en meget detaljeret beskrivelse af, hvad der er årsagen til at du afvises; om det er brugernavnet eller koden, der er forkert. Det er noget skidt, for det gør det væsenligt nemmere at hacke sig ind.

Tilføj denne linje til dit temas functions.php for at skjule alle login-relaterede fejlmeddelelser.

function no_errors_please(){
  return "These are not the droids you're looking for. Move on!";
}
add_filter( 'login_errors', 'no_errors_please' );

Skift fra standard prefix

WordPress bruger et et prefix (forstavelse) til alle sine tabeller i databasen. Det giver god mening, da det så er nemt at finde dem. Men det gør det også nemt for hackere, der præcis ved, hvilke tabeller de skal lave forespørgsler på.

Derfor er det en god ide at ændre dette prefix, allerhelst i forbindelse med installationen. Hvis det ikke kan lade sig gøre, så er der også plugins, der kan klare det for dig bagefter.

WordPress bruger wp_ som prefix. Du kan gøre det lidt sværere at ‘gætte sig ind’ ved at til flere tilfældige tegn før underscoren, fx wp12n5_.

Opret en ny administratorbruger

På samme måde har WordPress oprettet bruger 1 under installationen og givet den brugernavnet ‘admin’. Det gør det også nemt for hackere, da de så ikke skal gætte sig til et brugernavn også.

Den nemmeste måde at slippe uden om dette er at oprette en ny administratorbruger med et andet navn – hvad som helst vil øge sikkerheden. Herefter skifter du til denne ny bruger og sletter (eller deaktiverer) den først oprettede administrator.

Og husk så at bruge sikre adgangskoder…

Installer et sikkerhedsplugin

Endelig er det en god ide at installerer et sikkerhedsplugin, der kan passe på for dig og holde øje med evt. ændringer. Der findes flere forskellige, men iThemes Security, WordFence eller Sucuri er gode bud.