För en säker WordPress utan sårbarheter

Det finns ingen magisk quick fix, utan däremot några sätt du bör fundera på att implementera som är vedertagen praxis. Här är tre exempel:

1. Håll allt uppdaterat
   Håll efter och uppdatera WordPress-kärnan, teman och tillägg. Det kan även vara bra att ta bort allt du inte använder, då det som är inaktiverat inte är säkert (och lätt glöms bort.
   
2. Ha starka inloggningar och tvåfaktorsautentisering
   Se till att använda unika lösenord (det underlättar med att hålla reda på allting med en lösenordshanterare). Dessutom är det klokt att aktivera tvåfaktorsautentisering (2FA) för alla admin-konton.
   
3. Automatiska (extra) backuper
   Se till att webbplatsen säkerhetskopieras automatiskt varje dag, både filer och databas. Backuperna bör sparas separat från servern så att de finns kvar om något händer. Kontrollera också regelbundet att det faktiskt går att återställa dem.

Det finns fler sätt än de vi nämnt som att använda säkerhetsplugin (exempelvis WP Guardian) och att skydda wp-admin genom att begränsa åtkomst via IP.

En WordPress-sårbarhet är en säkerhetsbrist – eller i ett tillägg eller tema – som kan utnyttjas för att få obehörig åtkomst eller påverka webbplatsen.

Det kan till exempel handla om att en angripare kan logga in utan rätt behörighet, ladda upp skadlig kod, läsa känslig information eller ta över delar av sajten.

Sårbarheter uppstår oftast i äldre versioner av kärnan, plugins eller teman och åtgärdas lättast genom uppdateringar. Därför är löpande uppdatering och säkerhetsövervakning avgörande för att minska risken.

Det kan vara många olika saker – lösenord som kommit på vift, att man klickat på skadliga länkar eller att kärnan är sårbar – men en av de absolut vanligaste anledningarna är sårbara plugins.

Upp till 96 % av alla WordPress-intrång kan kopplas till ouppdaterade plugins. Det bästa sättet att hantera det är att se till att hålla sina tillägg uppdaterade. En tjänst som WP Guardian hjälper dig med ett effektivt skydd och stoppar hot innan de utgör någon större fara.

Vårt huvudsakliga skydd, som ingår för alla våra kunder, är Imunify360. Det är ett bredare, serverbaserat säkerhetssystem med flera lager: Network Firewall, WebShield, Web Application Firewall (WAF), Malware Scanning, Proactive Defense samt Intrusion Detection/Prevention (IDS/IPS).

Vår Malware Scanning är anpassad för bl.a. WordPress och identifierar skadlig kod i filer, medan Proactive Defense stoppar skadlig kod i realtid genom att blockera exekvering på servernivå. Däremot arbetar Imunify360 generellt och beteendebaserat.

WP Guardian kompletterar därför Imunify360 genom framförallt sin virtuella patching och WordPress-specifika sårbarhetsdatabas som ger ett mer precist skydd mot kända sårbarheter. Det innebär att din webbplats får ett riktat skydd även om uppdateringar behöver vänta.

Virtuell patchning, ibland även kallat vulnerability shielding, betyder att en sårbarhet blockeras utan att själva koden, pluginet eller temat uppdateras. I stället för att installera en riktig patch i applikationen, alltså att uppdatera koden, läggs ett skyddande lager framför applikationen. Det blockerar attacker som försöker utnyttja sårbarheter. Problemet som gjort att sårbarheten uppstått kan finnas kvar i koden, men går inte att exploatera utifrån.

Rapid mitigation innebär att en säkerhetstjänst omedelbart identifierar, begränsar och neutraliserar ett hot innan det hinner påverka system, data eller tillgänglighet. Det kan handla om att automatiskt blockera skadlig trafik, isolera angripna konton eller servrar, strypa misstänkta anslutningar eller aktivera skyddsmekanismer i realtid.

Det minimerar driftstörningar och begränsar den potentiella skadan med mål att stoppa problemet medan det fortfarande är i sin vagga.

Med WP Guardian kommer din sajt att patchas virtuellt för kända sårbarheter som identifierats, ofta innan den senaste uppdateringen har hunnit släppas och du hunnit installera den. Det är styrkan i WP Guardian.

Exempel: Om orsaken bakom en sårbarhet är ett ouppdaterat plugin kan en uppdatering förhindra att sårbarheterna uppstår över huvud taget. Men innan uppdateringen släpps, och innan du hinner installera den, kan ett intrång ske – och det är där WP Guardian kliver in. Så länge det fortfarande uppstår sårbarheter kommer WP Guardian att hantera dem innan de hinner utnyttjas.

Inget system garanterar 100 % skydd, men WP Guardian kommer nära. (Uppgraderingar ger dig dock nya funktioner i din programvara som du kan vilja ha, så det är rekommenderat att uppdatera på ett ansvarsfullt sätt när du har möjlighet.)

En sårbarhet kan ses som ett sätt att lura till sig wp-admin-rättigheter, alltså att skapa bakvägar som inte märks av dig som användare. Tjänsten använder sig av teknologi från Patchstack, som skannar:

• Alla dina installerade plugins och tillägg
• Ditt tema
• Din WordPress-kärna

I varje genomsökning identifieras sårbarheter utifrån riskskalan låg, medel, hög och kritisk. Sårbarheterna täpps sedan igen för att drastiskt minska risken att just de identifierade bakvägarna går att använda.

Notera att om du har skapat ett eget plugin så skyddas inte det, utan det gäller endast kända plugins.

1. Logga in i kundavdelningen och navigera till ditt webbhotellkonto
2. Klicka dig in på det och tryck sedan på WP Guardian-knappen
3. Välj antal sajter du vill skydda och betala uppgraderingen.
4. När den är klar går du in i cPanel -> WordPress Manager (WP Toolkit) och klickar på Vulnerability Protection på de sajter du vill skydda.