Många webbplatsägare oroar sig för att deras WordPress webbplatser ska bli hackade. Vi hanterar många webbplatser och förstår denna oro väl.
Att bli hackad är mycket frustrerande och kan skada din verksamhet. Även om hackare försöker attackera alla typer av webbplatser kan vissa vanliga misstag göra din WordPress webbplats till ett lättare mål.
I den här artikeln delar vi med oss av de främsta anledningarna till att webbplatser i WordPress blir hackade, så att du kan vidta åtgärder för att skydda din webbplats bättre.
Varför är WordPress en måltavla för hackare?
För det första är det inte bara WordPress. Alla websites på internet är sårbara för hackningsförsök.
Anledningen till att WordPress-webbplatser är ett vanligt mål är att WordPress är världens mest populära webbplatsbyggare. Det driver över 43% av alla websites, vilket innebär hundratals miljoner websites över hela världen.
Denna enorma popularitet ger hackare ett enkelt sätt att hitta websites som är mindre säkra så att de kan utnyttja dem.
Hackare har olika motiv för att hacka en website. Vissa är Beginnare som bara lär sig att utnyttja mindre säkra webbplatser. Andra har onda avsikter, till exempel att distribuera skadlig kod, attackera andra websites och skicka skräppost.
Med det sagt, låt oss titta på några av de högst upp orsakerna till att WordPress webbplatser blir hackade så att du kan lära dig hur du förhindrar att din website blir hackad.
1. Osäkra webbhotell
Gillar alla webbplatser, WordPress webbplatser är hosted på en web server. Vissa webbhotell säkrar inte sin plattform för webbhotell på rätt sätt. Detta gör att alla webbplatser som är hosted på deras servrar är sårbara för hackningsförsök.
Detta kan lätt undvikas genom att välja den bästa hosting providern för WordPress för din website. Korrekt säkra servrar kan blockera många av de vanligaste attackerna mot WordPress webbplatser.
Om du vill vidta extra försiktighetsåtgärder rekommenderar vi att du använder en hanterad WordPress hosting provider.
2. Använda svaga password
Password är nyckeln till din WordPress site. Du måste se till att du använder ett starkt, unikt password för vart och ett av följande accounts eftersom de all kan ge en hackare fullständig tillgång till din website:
- Ditt WordPress admin account
- Your web hosting control panel account
- Dina FTP-konton
- MySQL-databasen som används för din WordPress site
- Alla email accounts som används för WordPress admin och webbhotell
Alla dessa konton skyddas av lösenord. Om du använder svaga lösenord blir det lättare för hackare att knäcka lösenorden med hjälp av några grundläggande tools.
Du kan enkelt undvika detta genom att använda unika och starka lösenord för varje account. Se vår guide om det bästa sättet att hantera lösenord för WordPress nybörjare för att lära dig hur du hanterar alla dessa starka lösenord.
3. Oskyddad åtkomst till WordPress Admin (wp-admin)
WordPress admin area ger en användare tillgång till att utföra olika actions på din WordPress site. Det är också det vanligaste attackerade området på en WordPress site.
Om du lämnar den oskyddad allowar du hackare att prova olika metoder för att knäcka din website. Du kan göra det svårt för dem genom att lägga till lager av autentisering i din admin directory.
Först och främst bör du skydda ditt admin area i WordPress med ett password. Detta add to ett extra säkerhetslager, och alla som försöker komma åt WordPress admin måste ange ett extra password.
Om du run en WordPress-webbplats med flera auktoriseringar eller flera användare kan du tvinga fram starka lösenord för alla användare på din site. Du kan också add to tvåfaktors-autentisering (2FA) för att göra det ännu svårare för hackare att enter din WordPress admin area.
4. Felaktiga behörigheter för filer
Filbehörigheter är en uppsättning regler som används av din web server. Dessa behörigheter hjälper din web server att kontrollera åtkomsten till filer på din site. Felaktiga behörigheter kan ge en hackare tillgång till att skriva och ändra i dessa filer.
All your WordPress filer bör ha ett 644-värde som filbehörighet. All folder on your WordPress site should have 755 as their file permission.
Se vår guide om hur du fixar problemet med image upload i WordPress för att lära dig hur du tillämpar dessa filbehörigheter.
5. Håller ej WordPress uppdaterat
Vissa användare av WordPress är rädda för att updaten sina WordPress websites. De är rädda för att deras website ska gå sönder om de gör det.
Varje new version av WordPress fixar buggar och säkerhetsproblem. Om du inte updating WordPress, då lämnar du avsiktligt din site sårbar.
Om du är rädd för att en updating ska förstöra din website kan du skapa en komplett WordPress backup innan du runar en update. På så sätt kan du enkelt återgå till den tidigare versionen om något inte fungerar.
Du kan läsa mer i vår guide för nybörjare om hur du uppdaterar WordPress på ett säkert sätt.
6. Uppdaterar inte tillägg eller theme
Precis som med programvaran WordPress core är det lika viktigt att updating av theme och plugins. Att använda ett outdated tillägg eller tema kan göra din site sårbar.
Säkerhetsbrister och buggar upptäcks ofta i WordPress tillägg och teman. Vanligtvis är författarna till teman och tillägg snabba med att fixa dem. Men om en användare inte uppdaterar sitt theme eller plugin finns det inget de kan göra åt det.
Se till att du håller ditt WordPress theme och dina tillägg uppdaterade. Du kan lära dig hur i vår guide om rätt update order för WordPress, tillägg och teman.
7. Använda vanlig FTP i stället för SFTP/SSH
FTP accounts används för att uploada filer till din web server med hjälp av en FTP-klient. De flesta hosting providers har support för FTP anslutningar med olika protokoll. Du kan ansluta med vanlig FTP, SFTP eller SSH.
När du ansluter till din site med vanlig FTP skickas ditt password okrypterat till servern. Det betyder att det kan spioneras på och lätt stjälas. Istället för att använda FTP bör du alltid använda SFTP eller SSH.
You don’t need to change your FTP client. De flesta FTP-klienter kan anslutas till din website både via SFTP och SSH. Du behöver bara ändra protokollet till ”SFTP – SSH” när du ansluter till din website.
8. Använda Admin som användarnamn för WordPress
Det är ej rekommenderat att använda ”admin” som användarnamn för WordPress. If your administrator username is ’admin’, then you should immediately change that to a different username.
För detaljerade instruktioner, kontrollera vår tutorial om hur du ändrar ditt WordPress användarnamn.
9. Nollade teman och tillägg
Det finns många websites på internet som distribuerar betalda tillägg och themes till WordPress gratis. You may feel tempted to use those nulled plugins and themes on your site.
Det är mycket farligt att downloada WordPress themes och plugins från opålitliga källor. De kan ej ej endast äventyra säkerheten på din website, utan kan även användas för att stjäla känslig information.
Du bör alltid downloada WordPress tillägg och themes från tillförlitliga källor, t.ex. utvecklarens website eller officiella WordPress repository.
Om du inte har råd att köpa ett premiumtema eller plugin, finns det alltid gratis alternativ tillgängliga för dessa produkter. Dessa gratis tillägg kanske inte är lika bra som deras betalda motsvarigheter, men de kommer att få jobbet gjort och, viktigast av allt, hålla din website säker.
Du kan också hitta rabatter för många av de populära WordPress-produkterna i deals section på vår website.
10. Säkrar ej wp-config.php WordPress Konfigurationsfil
Konfigurationsfilen wp-config.php för WordPress innehåller inloggningsuppgifter till din WordPress-databas. Om den komprometteras kommer den att avslöja information som kan ge en hackare fullständig tillgång till din website.
Du kan add to ett extra lager av skydd genom att neka åtkomst till wp-config-filen med hjälp av .htaccess. Add helt enkelt denna kod till din .htaccess-fil:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Ändra inte WordPress tabellprefix
Många experter rekommenderar att du ändrar standard WordPress tabellprefix. Som standard använder WordPress wp_
som prefix för de tabeller som skapas i din database. Du får ett alternativ att ändra det under installationen.
Vi rekommenderar att du använder ett mer komplext prefix. Detta gör det svårare för hackare att gissa namnen på Database tables.
Detaljerade instruktioner finns i vår guide om hur du ändrar prefixet för WordPress database för att förbättra säkerheten.
Städa upp en hackad site i WordPress
Att städa upp en hackad WordPress site kan vara smärtsamt. Men det går att göra.
Här är några resurser som hjälper dig att komma igång med att städa upp en hackad WordPress site:
- Tecken på att din WordPress site är hackad (och hur du fixar det)
- Så här skannar du din site i WordPress efter potentiellt skadlig kod
- Så här hittar du en bakdörr i en hackad site i WordPress och fixar den
- Vad du ska göra när du är utelåst från WordPress admin (wp-admin)
- Beginner’s guide till hur du återställer WordPress från backup
Bonus Tips
För en bergfast säkerhet tillhandahåller Sucuri tjänster för upptäckt och removal av skadlig kod samt en website firewall som skyddar din website mot de vanligaste hoten.
Läs historien om hur Sucuri hjälpte oss att blockera 450 000 WordPress-attacker på 3 månader.
Alternativt kan du dra nytta av våra prisvärda WPBeginner Professional Services.
Om din webbplats har blivit hackad kan vårt team av experter rensa bort skadlig kod, filer och skadlig kod för att se till att dina känsliga uppgifter är säkra. Priserna börjar kl. 249 USD.
Vi hoppas att den här artikeln hjälpte dig att lära dig de främsta anledningarna till varför en WordPress webbplats blir hackad. Du kanske också vill se vår przewodnik om hur du skyddar din WordPress-webbplats från brute force-attacker och vårt expertval av de bästa WordPress-säkerhetstilläggen för att skydda din webbplats.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Jiří Vaněk
What exactly do the directives for securing the wp-config.php file using the .htaccess file do? Do they deny access to anyone from the outside, allowing access only to the file by specific applications? Am I understanding it correctly?
Won’t this cause some other problem of not being able to access the file?
WPBeginner Support
It would prevent access from someone trying to open the file directly and in most cases should not cause a problem with limiting access this way.
Administratör
Jiří Vaněk
Thank you for answer. I just wanted to make sure that there could be a situation where I would break some internal WordPress communication. I definitely apply security.
SaifZiya
Thanks for these amazing tips. I going to add the code to .htaccess file now.
Amit Khandelwal
Hello, i have secure my wp-admin folder through folder privacy but how can i do the same for wp-login url?
Dragos
You can also not install in the default location your WordPress website so you can actually install the wp into a folder named ”secure” and then with some tricks your visitors will enter to your website.com not website.com/secure in order to see your site.