Att hålla din WordPress-webbplats trygg och säker är viktigt för alla webbplatsägare. Precis som du skyddar ditt hem eller ditt företag måste du också skydda din webbplats från hot på nätet.
Om du inte vidtar rätt åtgärder för att säkra din webbplats kan den vara i fara. Varje dag blockerar Google tusentals webbplatser på grund av skadlig kod och andra säkerhetsproblem.
Vi har lyckats hålla WPBeginner säkert från upprepade attacker under många år. Vi gör det genom att använda de bästa säkerhetspluginsen och följa bästa praxis för WordPress-säkerhet.
I den här przewodniken delar vi med oss av våra bästa tips och WordPress säkerhetschecklista för att hjälpa dig att skydda din webbplats mot hackare och skadlig kod.
Även om WordPress core är mycket säker och granskas regelbundet av hundratals utvecklare, finns det fortfarande mycket som måste göras för att hålla din site säker.
På WPBeginner tror vi att säkerhet inte ej bara handlar om att eliminera risker. Det handlar också om riskreducering. Som ägare av en website finns det mycket du kan göra för att förbättra din WordPress säkerhet, även om du ej är tekniskt kunnig.
Det är därför vi har sammanställt en WordPress säkerhetschecklista med działanie steg som du kan vidta för att skydda din webbplats mot säkerhetsproblem.
För att göra det enkelt har vi skapat en innehållsförteckning som hjälper dig att enkelt navigera genom vår ultimata WordPress säkerhetsguide.
Innehållsförteckning
Grunderna i WordPress säkerhet
- Varför är det viktigt med WordPress säkerhet
- Håll WordPress Updated
- Använd starka password och behörigheter för användare
- Förstå rollen som webbhotell för WordPress
WordPress Säkerhet i enkla steg (ingen kodning)
- Installera en lösning för backup av WordPress
- Installera ett välrenommerat tillägg för säkerhet i WordPress
- Aktivera en brandvägg för webbapplikationer (WAF)
- Flytta din WordPress site till SSL/HTTPS
WordPress Säkerhet för DIY-användare
- Ändra standard användarnamn för administratör
- Inaktivera edit av filer
- Inaktivera PHP-filkörning i vissa WordPress Directories
- Limit Försök till login
- Add till tvåfaktors-autentisering (2FA)
- Ändra prefixet för WordPress Database
- Lösenordsskydda WordPress Admin och Login Page
- Inaktivera indexering och browsing av directory
- Inaktivera XML-RPC i WordPress
- Automatiskt utloggad användare i WordPress
- Add to säkerhetsfrågor till login på WordPress
- Skanna WordPress efter skadlig kod och sårbarheter
- Fixa en hackad WordPress site
Är du redo? Låt oss komma igång.
Varför det är viktigt med en säker website
En hackad website i WordPress kan orsaka allvarliga skador på ditt företags intäkter och rykte. Hackare kan stjäla användarinformation och password, installera skadlig programvara och till och med distribuera skadlig kod till dina användare.
I värsta fall kan du få betala utpressningstrojaner till hackare bara för att få tillgång till din website igen.
Varje dag varnar Google 12-14 miljoner användare för att en website som de försöker besöka kan innehålla skadlig kod eller stjäla information.
Dessutom svartlistar Google cirka 10 000+ webbplatser varje dag för skadlig kod eller nätfiske.
Precis som företagare med en fysisk location har ansvar för att skydda sin egendom, måste onlineföretagare ägna extra uppmärksamhet åt säkerheten på WordPress.
Håll WordPress Updated
WordPress är en programvara med öppen källkod och underhålls och uppdateras regelbundet. Som standard installerar WordPress automatiskt mindre updates.
För större utgåvor måste du manuellt initiera updating.
WordPress kommer också med tusentals tillägg och teman som du kan installera på din website. Dessa tillägg och teman underhålls av utvecklare från tredje part, som också regelbundet släpper updates.
Dessa WordPress updates är avgörande för säkerheten och stabiliteten på din WordPress site. Du måste se till att din WordPress core, dina tillägg och ditt theme är uppdaterade.
Använd starka password och behörigheter för användare
De vanligaste hackningsförsöken i WordPress använder stulna password. Du kan göra det svårare genom att använda starkare lösenord som är unika för din website.
Vi pratar ej bara om admin area i WordPress. Kom ihåg att skapa starka lösenord för dina FTP-konton, databaser, WordPress-värdkonton och custom email addresses som använder webbplatsens domain name.
Många Beginnare gillar inte att använda starka lösenord eftersom de är svåra att komma ihåg. Det som är bra är att du inte behöver komma ihåg lösenord längre eftersom du bara kan använda en lösenordshanterare.
Mer information finns i vår guide om hur du hanterar WordPress-lösenord.
Ett annat sätt att minska risken är att ej ge någon tillgång till ditt WordPress admin account om du inte absolut måste.
Om du har ett stort team eller gästförfattare, se till att du förstår användarnas roller och capability i WordPress innan du lägger till nya användarkonton och auktoriseringar på din site.
Förstå rollen som webbhotell för WordPress
Din WordPress webbhotell tjänst spelar den viktigaste rollen i säkerheten för din WordPress site. En bra hosting provider som gillar delning, som Hostinger, Bluehost eller SiteGround, vidtar extra åtgärder för att skydda sina servrar mot vanliga hot.
Här är bara några exempel på hur bra webbhotell arbetar i bakgrunden för att skydda dina websites och data:
- De övervakar kontinuerligt sitt nätverk för misstänkt aktivitet.
- Alla bra webbhotell har tools på plats för att förhindra storskaliga DDoS-attacker.
- De håller programvaran på sina servrar, PHP-versioner och hårdvara uppdaterade för att förhindra att hackare utnyttjar en känd säkerhetslucka i en gammal version.
- They have ready-to-deploy disaster recovery and accident plans that allow them to protect your data in case of a major accident.
På ett plan för delat webbhotell delar du serverns resurser med många andra customers. Det finns en risk för cross-site contamination där en hackare kan använda en närliggande site för att attackera your website.
Att använda en hanterad WordPress webbhotell tjänst ger däremot en säkrare plattform för din website. Hanterade WordPress webbhotell erbjuder automatiska backups, automatiska WordPress updates, och mer avancerade säkerhetskonfigurationer för att skydda din website
Vi rekommenderar Siteground som vår föredragna hanterade WordPress hostingu. De har lyhörd support, snabba servrar och utmärkt tillförlitlighet.
Se till att du får det bästa erbjudandet genom att använda vår speciella Siteground-kupong.
WordPress Säkerhet i några enkla steg (ingen kodning)
Vi vet att förbättrad WordPress säkerhet kan vara en skrämmande tanke för Beginnare, särskilt om du inte är tekniskt intresserad. Gissa vad – du är inte ensam.
Vi har hjälpt tusentals användare av WordPress att stärka sin WordPress-säkerhet.
Vi visar dig hur du kan förbättra din WordPress säkerhet med bara några klick (ingen kodning obligatorisk).
Om du kan peka och clicka, kan du göra det här!
1. Installera en lösning för backup av WordPress
Backups är ditt första försvar mot alla WordPress attacker. Kom ihåg att ingenting är 100% säkert. Om statliga websites kan hackas, så kan din också.
Backups allow you to quickly återställ your WordPress site in case something bad skulle hända.
Det finns många gratis och betalda tillägg för backup av WordPress som du kan använda. Det viktigaste du behöver veta när det gäller backup är att du regelbundet måste save full-site backups till en avlägsen location (eller ej till ditt webbhotell account).
Vi rekommenderar att du lagrar den på en molntjänst som Amazon, Dropbox eller privata moln som Stash.
Baserat på hur ofta du uppdaterar din website kan den perfekta inställningen vara antingen en gång om dagen eller backup i realtid.
Tack och lov kan detta enkelt göras genom att använda tillägg som Duplicator, UpdraftPlus eller BlogVault. De är både tillförlitliga och viktigast av allt användarvänliga (ingen kodning behövs).
För mer detaljer, se vår guide om hur du säkerhetskopierar din website i WordPress.
Installera ett välrenommerat tillägg för säkerhet i WordPress
Efter backups är nästa sak vi behöver göra att sätta upp ett revisions- och övervakningssystem som håller track på allt som händer på your website.
Detta inkluderar övervakning av filintegritet, Misslyckade försök till login, skanning av skadlig kod och mycket mer.
Tack och lov kan du enkelt ta hand om detta genom att installera ett av de bästa WordPress säkerhetstilläggen, till exempel Sucuri.
Du måste installera och aktivera det gratis pluginet Sucuri Security. För mer detaljer, vänligen se vår Step-by-Step guide om hur man installerar ett plugin för WordPress.
Nu kan du heada över till Sucuri Security ” Dashboard för att se om tillägget hittade några omedelbara issues med din WordPress-kod.
Nästa sak du behöver göra är att navigera till Sucuri Security ” Settings page och klicka på ” Hardening” tabs.
Standardinställningarna fungerar bra för de flesta websites, så du kan fortsätta och aktivera dem genom att clicka på knappen ”Tillämpa härdning” för varje alternativ.
Detta hjälper dig att låsa de viktigaste area som hackare ofta använder i sina attacker.
Tips: Vi kommer att täcka ytterligare sätt att härda din website senare i den här artikeln, till exempel att ändra databasprefixet och användarnamnet för administratören. Dessa är dock mer tekniska och kan vara obligatoriska för kodningskunskaper.
Efter härdningsdelen är pluginets andra standardinställningar tillräckligt bra för de flesta webbplatser och behöver inte ändras.
Det enda vi rekommenderar att customize är email alerts, som du hittar på tabben ”Alerts” på settings page.
Som standard kommer du att få många Email alerts som kan överbelasta din inbox.
Vi rekommenderar att du aktiverar alerts endast för viktiga actions som du vill bli underrättad om, t.ex. ändringar av plugins och registreringar av nya användare.
Detta säkerhetsplugin för WordPress är mycket kraftfullt, så browsing genom alla tabbar och Settings för att se allt det gör, t.ex. skanning av skadlig kod, audit logging, tracking av misslyckade försök till login och mycket mer.
För mer information kan du se vår detaljerade Sucuri review.
Aktivera en brandvägg för webbapplikationer (WAF)
Det enklaste sättet att skydda din site och känna dig trygg med din WordPress säkerhet är att använda en WAF (Web Application Firewall).
En website firewall blockerar all skadlig trafik innan den ens når your website.
- En website firewall på DNS-nivå dirigerar din website-trafik genom sina proxyservrar i molnet. This allows it to send only genuine traffic to your web server.
- En firewall på applikationsnivå granskar trafiken när den når din server, men innan de flesta WordPress-skript hämtar. Den här metoden är inte lika effektiv som firewall på DNS-nivå när det gäller att minska hämtar på servern.
För att lära dig mer, se vår lista över de bästa tilläggen för firewall i WordPress.
Vi använde Sucuri på WPBeginner under många år och rekommenderar det fortfarande som en av de bästa firewalls för webbapplikationer för WordPress. Vi bytte senaste från Sucuri till Cloudflare eftersom vi behövde ett större CDN-nätverk med funktioner som fokuserade mer på företagskunder.
Du kan läsa om hur Sucuri hjälpte oss att blockera 450 000 WordPress-attacker på en månad.
Det bästa med Sucuris firewall är att den också kommer med en garanti för rensning av skadlig kod och borttagning av svartlistor. Det betyder att om du skulle bli hackad under deras övervakning, garanterar de att fixa din website, oavsett hur många pages du har.
Detta är en ganska stark garanti eftersom det är dyrt att reparera hackade webbplatser. Säkerhetsexperter tar normalt ut mer än $ 250 per timme, medan du kan få hela Sucuri säkerhetsstack för $ 199 för ett helt år.
Med detta sagt är Sucuri inte den enda providern av firewall på DNS-nivå där ute. Den andra populära konkurrenten är Cloudflare. Se vår jämförelse av Sucuri vs. Cloudflare (Pro och Cons).
Flytta din WordPress site till SSL/HTTPS
SSL (Secure Sockets Layer) är ett protokoll som krypterar dataöverföringen mellan din website och användarens webbläsare. Denna Encryption gör det svårare för någon att snoka runt och stjäla information.
När du har aktiverat SSL kommer din website att använda HTTPS istället för HTTP. Du kommer också att se ett hänglås eller en liknande icon bredvid adressen till din website i webbläsaren.
SSL-certifikat auktoriseras vanligtvis av certifikatutfärdare, och deras priser börjar från 80 dollar till hundratals dollar per år. På grund av add to kostnaden har de flesta ägare av websites tidigare valt att fortsätta använda det osäkra protokollet.
För att fixa detta bestämde sig den ideella organisationen Let’s Encryption för att erbjuda gratis SSL-certifikat till ägare av websites. Deras projekt stöds av Google Chrome, Facebook, Mozilla och många fler företag.
Det är enklare än någonsin att börja använda SSL för all din WordPress website. Många webbhotell erbjuder nu ett gratis SSL-certifikat för din WordPress website.
Om ditt webbhotell ej erbjuder ett SSL-certifikat kan du köpa ett SSL-certifikat från Domain.com. De har de bästa och mest tillförlitliga SSL-erbjudandena på marknaden. Certifikatet levereras med en säkerhetsgaranti på 10 000 USD och en TrustLogo-säkerhetsstämpel.
WordPress Säkerhet för DIY-användare
Om du gör allt som vi har nämnt hittills, då är du i ganska bra form.
Men som alltid finns det mer du kan göra för att stärka din WordPress säkerhet.
Tänk på att vissa av dessa steg kan vara obligatoriska för kodningskunskap.
Ändra standard användarnamn för administratör
Förr i tiden var standardanvändarnamnet för WordPress ”admin”. Eftersom användarnamn utgör hälften av credentials för login, gjorde detta det lättare för hackare att göra brute-force-attacker.
Tack och lov har WordPress sedan dess ändrat detta och kräver nu att du väljer ett custom användarnamn när du installerar WordPress.
Vissa installatörer av WordPress med 1 click ställer dock fortfarande in standardanvändarnamnet för admin till ”admin”. If you notice that to be the case, then it’s probably a good idea to switch your web webbhotell.
Eftersom WordPress inte tillåter dig att ändra användarnamn som standard finns det tre metoder som du kan använda för att ändra användarnamnet.
- Skapa ett nytt användarnamn för administratören och ta bort det gamla.
- Använd plugin-programmet Username Changer
- Update användarnamn från phpMyAdmin
Vi har täckt alla dessa tre i vår detaljerade guide om hur du ändrar ditt användarnamn på WordPress på rätt sätt.
Note: Bara för att vara clear, vi pratar om att ändra användarnamnet som heter ”admin”, inte rollen som administratör, som ibland också kallas ”admin”.
Inaktivera edit av filer
WordPress levereras med en built-in code editor som allow you att edit your theme and plugin files right from your WordPress admin area.
I fel händer kan den här funktionen utgöra en säkerhetsrisk, och därför rekommenderar vi att du stänger av den.
Du kan enkelt göra detta genom att lägga till följande kod i din wp-config.php-fil eller med ett code snippet plugin som WPCode (rekommenderas):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Vi visar dig hur du gör detta steg för steg i vår guide om hur du inaktiverar theme och plugin editors från WordPress adminpanel.
Alternativt kan du göra detta med 1 click med hjälp av Hardening-funktionen i det gratis Sucuri-plugin som nämns ovan.
Inaktivera PHP-filkörning i vissa WordPress Directories
Ett annat sätt att stärka din WordPress-säkerhet är att inaktivera PHP-filkörning i kataloger där det inte behövs, t.ex. /wp-content/uploads/.
Du kan göra detta genom att öppna en textredigerare som Notepad och klistra in den här koden:
<Files *.php>
deny from all
</Files>
Därefter måste du save den här filen som .htaccess och uploada den till /wp-content/uploads/ foldern på din website med hjälp av en FTP-klient.
För en mer detaljerad förklaring, se vår guide om hur du inaktiverar körning av PHP i vissa WordPress directories.
Alternativt kan du göra detta med 1 click med hjälp av Hardening-funktionen i det gratis Sucuri-tillägget som vi nämnde ovan.
Limit Försök till login
Som standard tillåter WordPress användare att försöka logga in så många gånger de vill. Detta gör din WordPress site sårbar för brute-force-attacker. Det är när hackare försöker knäcka lösenord genom att försöka logga in med olika kombinationer.
Detta kan enkelt fixas genom att limitera antalet Misslyckade försök till login som en användare kan göra. Om du använder den firewall för webbapplikationer som nämndes tidigare tas detta automatiskt om hand.
Men om du inte har konfigurerat firewall kan du gå vidare med stegen under.
Först måste du installera och aktivera det gratis plugin-programmet Limit Login Attempts Reloaded. För mer detaljer, se vår Step-by-Step guide om hur du installerar ett WordPress plugin.
Vid aktivering kommer pluginet att börja limit antalet login-försök som användare kan göra.
Standardinställningarna fungerar för de flesta webbplatser, men du kan customize dem genom att besöka Settings ” Limit Login Attempts page och click the ’Settings’ tab at the top. Om du till exempel vill följa GDPR-lagarna kan du klicka på checkboxen ”GDPR compliance”.
Detaljerade instruktioner finns i vår guide om hur och varför du bör limit login-försök i WordPress.
Add till tvåfaktors-autentisering (2FA)
Metoden för tvåfaktors-autentisering kräver två olika steg för att användare ska kunna logga in:
- Det första steget är användarnamn och password.
- Det andra steget kräver att du använder en kod från en device eller app som du har och som hackare inte kan komma åt, till exempel din smartphone.
De flesta högst upp online-webbplatser som Google, Facebook och Twitter, allow you att aktivera det för dina konton. Du kan också add to samma funktionalitet till din WordPress site.
Först måste du installera och aktivera pluginet WP 2FA – Tvåfaktors-autentisering. För mer detaljer, se vår Step-by-Step guide om hur du installerar ett WordPress plugin.
En användarvänlig Wizard hjälper dig att konfigurera tillägget och sedan får du en QR-kod.
You will need to scan the QR code using an authenticator app on your phone, such as Google Authenticator, Authy, and LastPass Authenticator.
Vi rekommenderar att du använder LastPass Autentisering eller Authy eftersom de tillåter dig att säkerhetskopiera dina konton till molnet. Detta är mycket användbart om din telefon går förlorad, återställs eller om du köper en new telefon. Alla dina login till konton kommer enkelt att kunna återställas.
De flesta av dessa appar fungerar på liknande sätt, och om du använder Authy klickar du helt enkelt på knappen ”+” eller ”Add account” i autentiseringsappen.
Detta gör att du kan skanna QR-koden på din dator med hjälp av telefonens kamera. Du kan först behöva ge appen behörighet att komma åt kameran.
När du har gett kontot ett namn kan du save det.
Nästa gång du loggar in på din website kommer du att bli ombedd att ange koden för tvåfaktors-autentisering efter att du har enter ditt password.
Öppna bara appen för autentisering på din telefon, så ser du en engångskod.
You can then enter the code on your website to finish logging in.
Ändra prefixet för WordPress Database
Som standard använder WordPress wp_ som prefix för alla tabeller i din WordPress database.
Om din WordPress site använder standard databasprefixet, gör det det lättare för hackare att gissa vad ditt tabellnamn är. Det är därför vi rekommenderar att du ändrar det.
Du kan ändra ditt databasprefix genom att följa vår Step-by-Step tutorial om hur du ändrar WordPress databasprefix för att förbättra säkerheten.
Note: Att ändra prefixet för databasen kan förstöra din site om det inte görs på rätt sätt. Gör detta endast om du känner dig bekväm med dina kodningskunskaper.
Lösenordsskydda WordPress Admin och Login Page
Normalt kan hackare requesta din wp-admin folder och login page utan några begränsningar. Detta allow dem att prova sina hackingtrick eller run DDoS-attacker.
You can add to additional password protection on a server-side level, which will effectively block those requests.
Följ bara våra steg-för-steg-anvisningar om hur du skyddar din WordPress admin (wp-admin) directory med password.
Inaktivera indexering och browsing av directory
När du skriver in adressen till en av din websites foldrar i en web browser, kommer du att få se en page som heter index.html om den finns befintlig. Om den inte finns visas i stället en lista över filerna i den aktuella foldern. Detta kallas för ”directory browsing”.
Directory browsing kan användas av hackare för att ta reda på om du har några filer med kända sårbarheter, så att de kan dra nytta av dessa filer för att få åtkomst.
Directory browsing kan också användas av andra personer för att titta i dina filer, kopiera images, ta reda på din katalogstruktur och annan information. Det är därför vi rekommenderar att du stänger av indexering och browsing av kataloger.
Du måste ansluta till din website med FTP eller med hosting providerns filhanterare. Leta sedan upp .htaccess-filen i din websites root directory. Om du inte kan se den där, läs vår guide om varför du inte kan se .htaccess-filen i WordPress.
Följaktligen måste du add to följande rad i slutet av .htaccess-filen:
Alternativ -Index
Glöm inte att save och uploada .htaccess-filen tillbaka till din site.
Mer information om ämnet finns i vår artikel om hur du inaktiverar browsing av directory i WordPress.
Inaktivera XML-RPC i WordPress
XML-RPC är en core WordPress API som hjälper till att ansluta din WordPress site med webb- och mobilappar. Det har aktiverats som standard sedan WordPress 3.5.
Men på grund av sin kraftfulla natur kan XML-RPC avsevärt förstärka brute-force-attacker.
Till exempel, om en hacker traditionellt ville prova 500 olika lösenord på din website, skulle de behöva göra 500 separata försök till login. Detta kan fångas upp och blockeras av plugin-programmet Limit Login Attempts Reloaded.
Men med XML-RPC kan en hackare använda funktionen system.multicall för att prova tusentals password med 20 eller 50 requests.
Det är därför vi rekommenderar att du inaktiverar XML-RPC om du ej använder det.
Det finns 3 sätt att inaktivera XML-RPC i WordPress, och vi har täckt dem alla i vår Step-by-Step tutorial om hur man inaktiverar XML-RPC i WordPress.
Tips:.htaccess-metoden är den bästa eftersom den kräver minst resurser. De andra metoderna är enklare för Beginnare.
Alternativt sköts detta automatiskt om du använder en WAF (Web Application Firewall) som vi nämnde tidigare.
Automatiskt utloggad användare i WordPress
Inloggade användare kan ibland vandra iväg från vyn, och det utgör en säkerhetsrisk. Någon kan kapa deras session, ändra lösenord eller göra ändringar i deras account.
Det är därför många bank- och finanswebbplatser automatiskt loggar ut en inaktiverad användare. Du kan skapa en liknande funktion även på din WordPress site.
Du måste installera och aktivera pluginet Inactive Logout. Efter aktivering, besök Settings ” Inactive Log out page för att customize inställningarna för utloggning.
Ställ bara in tidslängden och add to ett meddelande om att logga ut. Glöm sedan inte att klicka på knappen ”Save Changes” längst ner på sidan för att spara dina inställningar.
För Step-by-Step instruktioner, vänligen se vår guide om hur du automatiskt loggar ut användare som inte är aktiva i WordPress.
Add säkerhetsfrågor till vyn för login i WordPress
Om du lägger till en säkerhetsfråga på din WordPress vy för login blir det ännu svårare för någon att få obehörig åtkomst.
Du kan add to säkerhetsfrågor genom att installera pluginet Tvåfaktors-autentisering. Vid autentisering måste du besöka sidan Multi-factor Authentication ” Two Factor för att konfigurera plugin-inställningarna.
This will allow you to add various types of twofaktors-autentisering to your site, including security questions.
För mer detaljerade instruktioner, se vår tutorial om hur du lägger till säkerhetsfrågor på vyn för login i WordPress.
Skanna WordPress efter skadlig kod och sårbarheter
Om du har installerat ett plugin för säkerhet i WordPress kommer det att rutinmässigt kontrollera om det finns skadlig kod och tecken på säkerhetsöverträdelser.
Men om du ser ett plötsligt insticksprogram i trafiken på din website eller i rankingen på search, kanske du vill söka efter skadlig kod manuellt. Du kan göra detta med din WordPress säkerhet plugin eller en av de bästa malware och säkerhet scanners.
Att run dessa onlineskanningar är ganska enkelt. You just enter your website URL, and their crawlers go through your website to look for known malware and malicious code.
Kom ihåg att de flesta WordPress säkerhets scanners bara kan varna dig om din site innehåller skadlig kod. De kan inte ta bort den skadliga programvaran eller rengöra en hackad WordPress webbplats.
Detta leder oss till nästa section, rensning av skadlig kod och hackade WordPress webbplatser.
Fixa en hackad WordPress site
Många användare av WordPress inser inte importen av backup och webbplatsens säkerhet förrän deras website blir hackad.
Hackare installerar bakdörrar på drabbade webbplatser, och om dessa bakdörrar inte fixas ordentligt kommer din website sannolikt att bli hackad igen.
För de äventyrliga och DIY-användarna har vi sammanställt en Step-by-Step guide om hur man fixar en hackad WordPress site.
Det kan dock vara mycket svårt och tidskrävande att städa upp en site i WordPress. Vårt råd är att låta ett proffs ta hand om det.
Om du betalar för att använda Sucuri säkerhet plugin vi nämnde ovan, då hackad site reparation är inbyggd i priset.
Du kan också använda WPBeginner Pro Services reparationstjänst för hackad site. Detta kräver en engångsbetalning på $ 249 och inkluderar premium filbestämning, borttagning av skadlig kod, programvaru- och säkerhetsuppdateringar och en rengjord backup av webbplatsen.
Vi garanterar att vi fixar din site eller ger dig pengarna tillbaka. Vi täcker också din website i 30 dagar efter reparationen, så om du blir hackad igen under den tiden kommer vi att vara där för att fixa det.
Vi har rengjort och säkrat webbplatser i WordPress i mer än 10 år, så du kan känna dig trygg när du använder vår tjänst Hacked Site Repair.
Bonustips: Anlita en tjänst för underhåll av WordPress
Som en upptagen småföretagare kanske du ej har tid att övervaka säkerheten på din website och skydda den från sårbarheter. Så för att underlätta för your mind och lätta på din arbetsbörda kan du anlita en WordPress underhållstjänst för säkerhetsövervakning 24/7.
WPBeginner Pro Services erbjuder omfattande underhåll av WordPress website till ett överkomligt pris. Det inkluderar säkerhetsövervakning, rutinmässiga molnbackups, WordPress updates, övervakning av drifttid och mycket mer.
Välj helt enkelt en månatlig tjänst som passar dina behov, så får du en säkrare WordPress site och mer gratis tid att arbeta med andra aspekter av ditt företag.
Om du gillar andra rekommendationer kan du se våra val av de bästa tjänsterna för underhåll av webbplatser för WordPress.
Vanliga frågor om WordPress-säkerhet
Eftersom WordPress-säkerhet är så viktigt får vi regelbundet frågor om det. Här hittar du svar på vanliga frågor om hur du skyddar WordPress-webbplatser från attacker.
Är WordPress säkert att använda?
WordPress är utformat för att vara säkert, särskilt om du håller det uppdaterat regelbundet. Men eftersom det är så populärt riktar hackare ofta in sig på WordPress-webbplatser.
Men oroa dig inte. Genom att följa enkla säkerhetstips som de i den här artikeln kan du kraftigt minska risken för att någon hackar din webbplats.
Vad kan utsätta min WordPress-webbplats för risker?
Det finns olika sätt för hackare att försöka få tillgång till webbplatser. Några vanliga hot är att gissa sig till lösenord, installera skadlig programvara (malware) och hitta svagheter i webbplatsens kod för att stjäla information eller ta kontroll.
Hur ofta bör jag uppdatera min WordPress-webbplats?
Det är mycket viktigt att hålla din WordPress-webbplats, dina teman och plugins uppdaterade. Nya uppdateringar innehåller ofta poprawka säkerhetsproblem. Försök att använda automatiska uppdateringar eller leta efter uppdateringar själv minst en gång i veckan och installera dem snabbt.
Behöver jag ett särskilt plugin för säkerhet?
Du behöver inte använda ett säkerhetsplugin, men de kan göra din webbplats mycket säkrare. Säkerhetsplugins fungerar som extra vakter för din webbplats och skyddar dig mot hackare och skadlig kod.
Hur vet jag om någon har hackat min webbplats?
Om du märker att det händer konstiga saker på din webbplats kan det vara ett tecken på att du har blivit hackad. Det kan handla om att du ser nya användare eller filer som du inte har skapat, att din webbplats skickar besökare till olika webbplatser, att din webbplats går långsamt eller att du får varningar från Google eller din dostawca hostingu.
Vad ska jag göra om min webbplats blir hackad?
Om du tror att din webbplats har blivit hackad ska du inte gripas av panik, utan agera snabbt. Du kan kontakta ditt webbhotell och be om hjälp. Du kan också använda ett säkerhetsplugin eller be en säkerhetsexpert att rensa din webbplats.
Om du har en säkerhetskopia av din webbplats, återställ den från den säkerhetskopian. Se till att ändra alla dina lösenord, inklusive lösenorden för obszar administracyjny, databasen och FTP.
Vi hoppas att den här artikeln hjälpte dig att lära dig de bästa metoderna för att skydda din webbplats och vår rekommenderade checklista för WordPress-säkerhet. Du kanske också vill se vår lista över de främsta anledningarna till att WordPress-webbplatser blir hackade och våra expertval av de bästa säkerhetspluginsen för WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Oyatogun Oluwaseun Samuel
This is very insightful. I would also add that protecting access to your workstation or computer laboratory is also very important because these days, as part of security, we use strong password to gain access to our wordpress sites which is not easily remembered thereby forcing us to store it on web browser use to access our wordpress sites. Anyone that has access to your computer and these browsers could easily used the store username and password to login to your wordpress site and cause havoc. Secondly, I think it is really better to guard ransomware as regaining access to your wordpress site is not guarantee even after paying the ransom. Please can I ask how can someone know if google blacklist any website as result of malware and phishin?
WPBeginner Support
You would want to use our guide below if you are concerned about your site after malware or phishing attack to help find and recover from a penalty.
https://www.wpbeginner.com/beginners-guide/how-to-recover-a-wordpress-site-from-a-google-search-penalty/
Administratör
uzoma ichetaonye
Wow.. this is quite a very loaded article on ways to protect your website from hackers.
BUT LET ME GIVE THIS TIP: While browsing on the internet, do NOT, i repeat, do NOT click on any random link that looks very suspicious and spammy or download any files that pops up unexpectedly on your screen or anywhere without request. Always go for genuine software rather than a null one.
It is through this means that hackers get access to your login details and use these details to gain access to your website.
I made a mistake of clicking on a particular link randomly to download a particular link and my website got hacked but i have finally regained control again.
So, just stay away from accessing unauthorized and suspicious links that promises to offer special offers to lure you.
JUST BE CAREFUL AND SAFE.
Dayo Olobayo
Thanks Uzoma for sharing your experience. This is a great reminder that hackers can be sneaky. You’re absolutely right about avoiding suspicious links and downloads. It is a super important step to website security. Glad you got your site back!
Mrteesurez
No serious business will underestimate the power of security concerning websites specifically Wordpress. It’s popularity make it a center of focus for hackers.
I advise newly installed WordPress sites to firstly implement most of these security measures before launching or begin operation.
Kushal Phalak
Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.
Moinuddin Waheed
I have been in the similar sitution where I was working for a reputed institue website.
After making everything final, the director asked me date so that he can schedule a press release.
I confidently suggested him a particualr date and before the schedule date,
my website got corrupted and unfortunately I didn’t have any backup plan ready.
I was completely screwed up and worked the whole day trying to restore to the previous working
like condition.
I think it is necessary that we give heed to each detail related to security.
Ayanda Temitayo
Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login
I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.
What’s your opinion about changing the default login route?
WPBeginner Support
Changing your login URL is personal preference and not specifically for security.
Administratör
al amin Sheikh
Two important things in a website – Performance and Security.
Nicely explained how we can protect our site from hackers. Thanks, WPB.
WPBeginner Support
You’re welcome
Administratör
Moinuddin Waheed
Rightly said about the two most important thing of any website.
security and performance.
I think in case of wordpress, these two to a great extent can be achieved through good hosting provider and with the use of good themes and plugins.
Most of the time, a wrong plugin can cause security loophole without you even noticing it.
of course, other aspects are equally important to consider.
mohadese esmaeeli
Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.
WPBeginner Support
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Administratör
Fajri
Whoa, the method to Disable XML-RPC in WordPress is totally new for me.
I am gonna try to applicate it to add more security for my websites. Thanks for this information team!
WPBeginner Support
Glad you found our article helpful
Administratör
Murad Prodhan
WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.
WPBeginner Support
You’re welcome, glad the guide was helpful
Administratör
Jiří Vaněk
This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.
WPBeginner Support
You’re welcome, glad our guide was helpful
Administratör
Etop Udoekene
Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
I am really grateful.
WPBeginner Support
You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.
Administratör
Mark Ellsworth
Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.
WPBeginner Support
Glad you found our security guide helpful
Administratör
Ifakayode Femi
I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way
Thanks for taking your time to compose this
Thanks a million times
WPBeginner Support
Glad you found our guide and recommendations helpful!
Administratör
Nikhil
thankyou sir it’s information is to important thankyou so much sir
WPBeginner Support
You’re welcome, glad to hear our article was helpful!
Administratör
Yasin
I am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support
You’re welcome glad you found our guide helpful!
Administratör
Belinda Viret
Thank you for the great advice!
WPBeginner Support
You’re welcome!
Administratör
Marko Kozlica
Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!
WPBeginner Support
Glad you found our article helpful!
Administratör
Federico
Really good guide, very useful!
WPBeginner Support
Glad you think so!
Administratör
Claudio Lopes
Following the tips and feeling that my site is more secure.
WPBeginner Support
Glad to hear our guide could help you!
Administratör
Bob De Maria
Hi,
I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.
I can’t thank you enough for a very well written and much appreciated tutorial.
Best Regards,
Bob De Maria
WPBeginner Support
Glad to hear our guide was helpful!
Administratör
Kimberly
FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.
WPBeginner Support
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Administratör
MS
Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???
WPBeginner Support
These should not cause a major change to your site’s speed.
Administratör
john
nice Article ,
Do use reCAPTCHA in forms is helpful in securing?
WPBeginner Support
reCAPTCHA is for preventing spam more than security.
Administratör
tim jackz
Hello team,
If i install two security plugin in my wordpress website, is there any disadvantages for my website?
WPBeginner Support
You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.
Administratör
Diego
My Wordpress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current Wordpress version is 5.6.2.
I don’t quite understands all these different branches of WP.
Should I still need to upgrade?
WPBeginner Support
Rather than upgrade, you need to update your site, you can take a look at our guide below for how to safely update your site:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Administratör
Julia
So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.
WPBeginner Support
That would be a WordPress.com limitation, for the difference between WordPress.com and WordPress.org we would recommend taking a look at our article below:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Administratör
Trisha
Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?
WPBeginner Support
That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.
Administratör
Ish
I took over a word press site how would i know if my site has a cloud backup account prior before me?
WPBeginner Support
You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.
Administratör
Lu
How can you find out if your site uses XML-RPC? Really useful as always. Thank you.
WPBeginner Support
If your version of WordPress is up to date it should be active on your site normally.
Administratör
Julie Taylor
Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?
WPBeginner Support
The security recommendations should not affect your site’s SEO
Administratör
MooN Minhas
Thanks for sharing nice information.
WPBeginner Support
Glad you found it helpful
Administratör
Samuel
is this guide also applies to WordPress.com users?
WPBeginner Support
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Administratör
Leanne
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support
You’re welcome and glad you’ve found our content helpful
Administratör
Daniel
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support
You’re welcome
Administratör
Power
Thanks for the article, its really useful
WPBeginner Support
You’re welcome
Administratör
Mydas
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ Wordpress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support
You’re welcome, glad our guide was helpful
Administratör
Splendor Edesiri
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support
No, that is not required
Administratör
uzoma ichetaonye
I don’t think you need any VPN to access your website via its backend.
VPN are used to disguise or help your identity or access a site that has been blocked from your location.
Kam
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support
While some hosts offer backups, we still recommend creating your own backups for safety
Administratör
Kyle B.
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support
Thanks for sharing your opinion and glad you liked our article
Administratör
kalmoa
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ’Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support
Thank you for sharing this for the users who specifically are using Nginx for their site.
Administratör
Tom
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Administratör
Kartik Satija
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support
Glad you found our guide helpful
Administratör
MIMIFTAH
Very Informative content. Thanks
WPBeginner Support
You’re welcome
Administratör
Liz
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
Administratör
Gary Starling
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support
You’re welcome, glad our article could be helpful
Administratör
Andrei
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
Administratör
Andrei
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support
You’re welcome, glad our guide was helpful
Administratör
Aqib khan
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support
Thank you, glad you’ve enjoyed our content
Administratör
mahmoud
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administratör
Krishna
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support
You’re welcome, glad our article was helpful
Administratör