WordPress är ett populärt innehållspubliceringssystem (eller CMS efter engelskans Content Management System) som har gjort det oerhört enkelt att skapa egna bloggar och andra typer av webbplatser. Redan i sitt grundutförande är WordPress ett kraftfullt system, men den riktiga styrkan ligger kanske i den stora mängden teman och tilläggsprogram som finns att ladda ner. Om du inte hittar något färdigskrivet tema som uppfyller dina behov så är det dessutom väldigt smidigt att utveckla ett eget. WordPress lämpar sig därför bra för såväl erfarna webbutvecklare som nyfikna lekmän. Vissa vill bara få upp en fungerande webbplats, medan andra tycker det är roligt att läsa in sig på den tekniska biten. Det finns dock en sak som alla ägare av en webbplats måste tänka på: säkerheten. Den här artikeln kommer därför beröra just detta: några snabba och enkla knep för att få en säkrare WordPress-webbplats. Om du inte har en WordPress-baserad webbplats ännu så kanske du är mer intresserad av Daniels artikel om hur man skapar en webbplats i WordPress.
Uppdatera all programvara
WordPress är en fri programvara. Det innebär bland annat att källkoden till WordPress är fritt tillgänglig för vem som helst att läsa. I säkerhetssynpunkt har detta både för- och nackdelar. Först och främst innebär det såklart att vem som helst kan gå in och leta efter säkerhetsbrister i systemet som din webbplats baseras på. Det är vanligt att illasinnade personer utvecklar speciella datorprogram som letar efter kända säkerhetshål i WordPress-baserade webbplatser. Men att vem som helst kan leta efter säkerhetsbrister är samtidigt en av styrkorna med öppen källkod. Det innebär nämligen att de allra flesta brister redan är hittade och åtgärdade. Det innebär också att så fort allvarliga säkerhetsbrister hittas i koden kommer det släppas en uppdaterad och säkrad version av programvaran. När du använder WordPress, eller liknande typer av programvaror, är det alltså andra människor som både letar efter säkerhetsbrister och åtgärdar dem. Du behöver inte tänka allt för mycket på det!
Men en sak måste du tänka på: att faktiskt genomföra uppdateringarna som släpps. I och med att säkerhetsbrister i WordPress blir publika så fort en ny version släpps, så måste du vara väldigt noggrann med att uppdatera programvaran. Det är väldigt enkelt och tar inte alls mycket av din tid. Logga in på ett administratörskonto och klicka på Uppdateringar i menyn till vänster eller på uppdateringsikonen () högst upp. Tänk på att uppdatera alla olika typer av komponenter: först och främst den huvudsakliga programvaran, men även teman och tilläggsprogram. Det kan vara en god idé att ta säkerhetskopior på alla filer innan du påbörjar en större uppdatering.
Använd HTTPS-protokollet
Länge var HTTP det självklara protokollet att använda vid kommunikation mellan klient och webbserver. Nu för tiden finns det dock starka rekommendationer att gå över till HTTPS-protokollet. Det där extra S:et står för secure, och syftar helt enkelt på att det är ett säkrare alternativ. Anledningen till att HTTP inte betraktas som säkert är att informationen som skickas mellan klient och server sänds i klartext. Det gör det möjligt för illasinnade personer att avlyssna trafiken mellan de två parterna, och på så sätt komma över inloggningsuppgifter, kreditkortsinformation och andra känsliga uppgifter. Om du istället använder HTTPS så kommer trafiken vara krypterad. Att använda ett säkert kommunikationsprotokoll är såklart inte bara nödvändigt för webbplatser som bygger på WordPress, utan är precis lika viktigt oavsett system.
För att kunna kommunicera över HTTPS krävs ett giltigt SSL-certifikat, vilket är en typ av legitimation som används för att säkerställa att det enbart är den behöriga parten som kan läsa skickad information. Den här typen av teknik är obligatorisk för alla som driver en seriös webbplats. Det har dessutom fördelar i ett sökmotoroptimeringsperspektiv. Idag finns det dessutom gratis SSL-certifikat på en del svenska webbhotell. Genom att välja ett sådant kan du med andra ord öka säkerheten betydligt, utan att behöva betala någonting extra.
Lösenordshantering
Det spelar ingen roll hur säker kommunikationen mellan klient och server är om du har ett lättgissat lösenord. Försök därför ha så långa lösenord som möjligt – på så sätt blir det svårt för både människor och datorer att gissa lösenordet. Matematiskt sett är det viktigare att ha ett långt lösenord än att ha ett lösenord med massa konstiga specialtecken. Tänk även på att ha olika lösenord på olika webbplatser. För även om du har säkrat just din webbplats, så kanske en annan webbplats som du har registrerat dig på råkar ut för en attack. Om ditt lösenord och e-postadress då exponeras så kan samma uppgifter testas på andra webbplatser också.
Det kan vara en god idé att begränsa antalet möjliga inloggningsförsök. På så sätt kan du förhoppningsvis stoppa datorprogram som vilt chansar efter möjliga lösenord. Till WordPress finns det ett tilläggsprogram som heter ”Limit Login Attempts” som gör just detta. Tillägget installerar du enkelt via administratörspanelen.
Avslutning
Den här artikeln ger dig tre snabba, konkreta tips om hur du får en säkrare WordPress-baserad webbplats (även om samma principer såklart gäller för alla typer av system). Kom ihåg att uppdatera all programvara, kommunicera säkert och tänk ett varv extra när det kommer till val av lösenord. Om den här typen av innehåll uppskattas av er besökare, är det mycket troligt att det kommer ett uppföljningsinlägg med nya punkter.