Din WordPress-webbplats, ditt företags WP-hemsida eller din förenings WP-sajt behöver säkerhet. Ja, WordPress är ett system för webbpublicering som underhålls regelbundet och där buggar samt hot åtgärdas. Men det gör inte din WP-hemsida mindre sårbar, du bör verkligen ha WP-säkerhet på din att-göra-lista minst en gång i månaden.

De gånger som Sennbrink Kommunikation levererat hjälp med WordPress pga intrång och mer eller mindre förstörda webbplatser, är inte många. Kanske en handfull de senaste 12 åren. Det har varit injektioner av olika slag, länkar till kinesiska klädbutiker, spam för potenshöjare och olika haverier. En vanlig felkälla har varit ej uppgraderade WordPress-versioner, en sak som på senare lösts genom automatiska uppdateringar, på gott och ont.

En riktigt bra sak med WordPress är dock att du enkelt kan lägga på extra lager av säkerhet. Fortsätt läsa om tre åtgärder du kan göra idag för att skydda en WP-webbplats:

1) Byt alla lösenord…

…och byt till svåra lösenord som du omöjligen kommer att komma ihåg. Använd den inbyggda lösenordsgeneratorn, kopiera ditt nya lösenord, spara, logga ut, logga in och markera kryssrutan “kom ihåg mig”. Då behöver du inte försöka minnas lösenordet vid varje inloggning. Ett exempel på ett bra lösenord: DW!5dnIXrsH+WA. Ett exempel på ett dålig lösenord: HejMamma.

WordPress har en funktion aktiverade som heter Security Keys, säkerhetsnycklar och där de hämtas ifrån har du en superbra källa för svåra lösenord. Inte bara för WP-sajter utan för alla webbtjänster du använder: api.wordpress.org/secret-key/1.1/salt/

Ha för vana att byta lösenorden minst en gång per månad, gärna oftare. Användare som möts av “fel lösenord” vid inloggning kan enkelt byta sitt lösenord, på gott och ont. Det senare om de väljer ett lätt lösenord. Kommunicera därför inom din arbetsgrupp eller organisation om vikten av att använda mycket svåra lösenord.

2) Aktivera automatiska uppdateringar av plugin

WordPress-kärnan uppdateras automatiskt men plugin måste du uppdatera manuellt. Om du inte använder tjänsten Jetpack. Koppla på Jetpack (du behöver ett konto på wordpress.com) och synka din WP-installation. Väl inloggad och synkad kan du välja automatiska uppdateringar av alla plugin eller bara vissa plugin.

Automatiska uppdateringar av plugin fungerar med de pluggar som finns i den officiella katalogen. Har du köpt ett plugin behöver du hämta uppdateringar manuellt. Vissa utgivare har funktioner där du kopplar upp dig mot deras servrar från din WP-installation vilket kan underlätta uppgraderingar.

Fördelen med att ha automatiska uppdateringar av plugin aktiverat är att du inte missar en ny version. Detta drabbade en kund till mig, som inte hade automatiska uppdateringar. När ett väldigt vanligt plugin visade sig ha ett säkerhetshål patchades tillägget. Men kunden hade tagit helg och under helgen hackades webbplatsen. Därför är Jetpack bra och ännu bättre är att köpa tjänsten WP-drift eller Löpande support.

3) Radera admin

Ja. Du ska radera användaren som heter “admin” eftersom detta är det första alla seriösa hackare försöker med. När du eller någon satte upp WP första gången är sannolikheten hög för att “admin” skapades. Så ska man inte göra om man är seriös med att skydda sin WordPress-webbplats. Skapa en ny användare med administratörsrättigheter. Radera “admin” och flytta allt innehåll som “admin” skapat till din nya användare. Klart!


Du har läst ett blogginlägg hos Sennbrink Kommunikation som i praktiken är Björn Sennbrink – Anlita mig för WordPress-drift, WordPress-anpassningar och innehållsmarknadsföring på WordPress. Jag har arbetat med WordPress för småföretagare och ideella organisationer sen våren 2008. Jag arbetar 2020 som digital marknadsförare av paketresor mot en primärt senior målgrupp. Ta kontakt via LinkedIn eller sänd ett mejl till konsult@sennbrink.se