Det här visste jag inte om WordPress – och det kan rädda din webbplats från att bli hackad

För en tid sedan fick jag lära mig något nytt och viktigt om WordPress-säkerhet, och jag vill dela det med dig.

Som jag tidigare har nämnt är det avgörande att hålla sin webbplats tekniskt uppdaterad, minst en gång i månaden. Men något som ofta förbises är att WordPress i sig har en säkerhetslucka där användarnamnet kan exponeras. Det gör det möjligt för hackare att automatiskt testa tusentals lösenordstjänster för att ta sig in.

Men är hackare inte bara uttråkade ungdomar som vill förstöra?

En vanlig fråga – men tyvärr är verkligheten mycket allvarligare. Om en hackare får tillgång till din webbplats kan de till exempel:

  • Injicera skadlig kod som infekterar din webbplats, sprider sig till besökare eller skapar bakdörrar för fortsatt åtkomst.
  • Få din webbplats svartlistad av Google, vilket gör att varningar visas för besökare och din SEO-rankning sjunker.
  • Stjäla kunduppgifter, inklusive användarkonton och betalningsinformation, vilket kan leda till identitetsstöld och bedrägerier.
  • Manipulera innehållet genom att lägga till spam, vilseledande information eller omdirigera besökare till skadliga webbplatser.
  • Radera viktiga filer eller databaser, vilket kan ta ner din webbplats helt och leda till ekonomiska förluster om du driver företag online.

Så här skyddar du din webbplats:

För dig som jag uppdaterar webbplatsen åt är det redan gjort. Jag har installerat ett tillägg som åtgärdar denna säkerhetsbrist. Det är inget jag tar extra betalt för – denna gång ingår det i den vanliga uppdateringen.

För dig som sköter uppdateringarna själv:

Vill du kontrollera om din webbplats är exponerad? Gör så här:

  • Öppna en webbläsare och surfa till denna sida: https://minwebbadress/wp-json/wp/v2/users/
  • Då kommer du till ”Sidan kan inte visas”
  • I webbadressen, byt ut minwebbadress.se mot din faktiska webbadress.

Om sidan visar en lista med användarnamn betyder det att din webbplats är sårbar.

Lösningen: Installera Wordfence Security

Gör så här:

  • I Admin, klicka på Tillägg/Plugins → Välj Lägg till nytt
  • Sök efter Wordfence Security, ladda ner och aktivera det
  • Följ anvisningarna och skapa en gratislicens
  • Kopiera licenskoden (som skickas till din e-post) och klistra in den i Wordfence-inställningarna.
  • Klart!

Testa sedan igen genom att surfa till samma sida.
Om säkerhetsåtgärderna fungerar ska du nu se följande meddelande:

{”code”:”rest_user_cannot_view”,”message”:”Sorry, you are not allowed to list users.”,”data”:{”status”:401}}

OBS! Wordfence är ganska ”paranoid”
Detta tillägg skickar automatiskt e-post varje gång någon försöker ta sig in på din webbplats, om tillägg måste uppdateras och vid en rad andra aktiviteter som den upplever som farliga. Det resulterar i en hel del varningar. Du kan justera och stänga av inställningar i Wordfence om du vill minska antalet mejl. Om du dessutom uppdaterar WordPress kontinuerligt så har du koll på vad som behöver göras.

Jag tycker varken det är kul eller inspirerande att behöva skriva om säkerhetsvarningar – men det här är viktigt.

Webbplatsen är en viktig del av din verksamhets identitet och jag vill att den ska vara både trygg och långsiktigt hållbar.

Tack för att du tog dig tid att läsa detta!
Allt gott, Ann Tavelin