Göm din wordpress

Göm din wordpress

Säkerhet är alltid ett stort bekymmer när du driver en webbplats.

Men ibland kan det kännas som det är lite väl mycket snack om hackning etc. Alla skräckhistorier som eBay, Adobe, Steam med flera, som råkat ut för stora intrång med spridning av användaruppgifter med mera. Men, varför skulle en hacker ge sig på just din webbplats, när det finns så många stora fiskar i havet att hacka istället?

Statistiken, otruligt nog, talar om det motsatta. Mindre webbplatser blir oftare utsatta för hackning än vad de stora blir. Nästan hälften av alla mindre företag rapporterar (läs artiklen: Hacking a big danger for small businesses) om att de blivit hackade, men stora kostnaders som följd.

Detta handlar enbart om företag som är villiga att dela med sig av att de faktiskt blivit hackade. Det är troligt att andra håller sin sårbarhet hemlig, man vill inte att kunderna skall känna till att man är sårbar.

Även om om du bara har i beräkningen de rapporterade händelserna av hackning, så är det troligt att 10.000-tals webbplatser blir hackade dagligen, många vet inte ens om att de blivit hackade och deras webbplatser används för att sprida otäcka koder.

Som användare av WordPress använder du ett av de mest säkra CMS syetemet som finns. Men inget CMS är 100% säkert, och hackers testar massor av olika metoder så fort det kommer patchar och uppdateringar till samtliga system på marknaden.

Du kanske ört att man kan dölja att man använder just WordPress, och att det kan vara ett av de bästa sätten att stänga ute hackers som placerar otäckheter på din webbplats?

Det är en del debatterande bland både utvecklare och säkerhetsexperter om just detta.

Men, jag skall guida dig igenom hur det går till och båda sidors resonemang kring saker och ting, så att du förstår de olika delarna och själv kan bestämma om du vill gömma ditt CMS eller inte.

Är inte WordPress redan säkert nog?

WordPress är känt för att från början vara ett väldigt säkert CMS. Säkerhets aspekterna är en av de stora pelarna för WordPress skaparna, och mjukvaran patchas och uppdateras regelbundet för att råda bot på sårbarheter som uppkommer.

Säkerheten i WordPress är en av anledningarna till att det är så populärt. WordPress är ett av marknadens mest populära CMS, och det används av miljloner webbplatser runt om i hela världen. Till och med stora webbplatser som CNN, The New York Times med flera, använder WordPress för sina bloggar.

Dock betyder det inte att bara för att du använder WordPress, så är din webbplats 100% säker mot hackers.

Eftersom WordPress är så pass populärt som det är, så gör blir det samtidigt ett väldigt populärt mål för hackers att attakera.

Hackers vet att miljoner webbplatser använder sig av WordPress, men även att man inte använder sig av speciellt mycket säkerhetstänk kring det hela. Många använder tex ett svagt lösenord, eller har en gamal version av WordPress – som har kända svagheter, eller gamla installationer av plugins eller teman. Hackers vet att de ha massor av luckor som de kan rikta in sig mot, när de väl hittat dem skapar de ett sätt att utnyttja dem också.

Den mest vanliga hackningen mot WordPress webbplatser är brute force attacker eller HTTP requests.

Brute-force hackers använder mjukvara för att försöka få tillgång till din webbplats genom att gissa lösenord till det lyckas och bryter sig in. Ofta kan CAPTCH eller 2-stegs login enkelt stoppa brute force försöken.

En annan vanlig kategori av hackers attakerar speciella HTTP requst som skickas från din server. Dessa request är skapade för att spåra specifik sårbarhet som ofta skapas av gamla installationer eller osäker mjukvara, teman eller plugins. Allt innehåll i din wp-content mapp, oavsett om det är aktivt eller inte, kan vara en potentiell möjlighet för en hacker att finna sårbarhet på din webbpalts – vilket kan leda till att de kan få tillgång till din webbplats.

Varför dölja att du använder WordPress?

Här startar debatten.

Men låt oss börja med terminologin först: Ibland kan folk mena olika saker där de säger att de döljer WordPress.

Vad man vanligtvis menar med “gömma WordPress” är att du föröker dölja att din webbplats drivs av WordPress för andra personer eller sk. botar som försöker identifiera vad för CMS du använder.

Men att dölja WordPress kan också betyda att man bara döljer vilken version av WordPress man använder, eller ändrar permalänkar och filnamn, mappnamn etc för att gömma dem för botarna.

Är det värt mödan att dölja WordPress?
Svaret varierar berodende på vem du frågar!

Faktum är, att det finns inget fullständigt sätt att dölja att din webbplats drivs av WordPress. En person med tillräckligt hög teknisk kompetens och kunska om WordPress kan alltid får reda på ifall du använder WordPress eller inte.

Även om du försöker att dölja din version av WordPress, finns det alltid flera vägar för att få reda på vilken version just du använder. En del exemple och mer information om just det finns här: discover what WordPress version

Säkerhets experter varnar för att säkerhet genom oklarheter är “osäker” metod, eftersom det kan göra hela säkerhets tänkandet slappt genom att implementera falsk säkerhet genom att du tror att ingen kan hitta dem. Säkerhets experten Ross Anderson skrev: “The security of a system should depend on its key, not on its design remaining obscure,”

Gör WordPress säkrare redan idag, kontakta oss

Är det alltså bortkastad tid att dölja WordPress?

Ja kanske, eller kanske inte. Det kommer inte att hjälpa ifall du vill lura dedicerade hackers som riktat in sig specifikt på just din webbplats – det kan vi vara säkara på iaf.

Men majorteten av intrångsförsök är gjorda av sk. bots, och dessa kan du “lura” genom att dölja att du avnänder WordPress. Bara genom att ändra standard permalänkar, kan du skydda din webbplats mot tex. brute force attaker, SQL-injections och förfrågningar mot dina PHP filer.

Andra säkerhets aspekter med WordPress

Att dölja WordPress genom att gömma undan ett par permalänker och filer kan vara en bra säkerhets lösning, men det är inte den enda möjligheten. Det bör heller inte vara det ända du gör för att skydda din webbplats.

Det finns ett par enkla säkerhetstips i denna artikel: WordPress security tips du kan enkelt följa dem steg för steg för att få en säkrar webbplats, utan att dölja din installation av WordPress.

Några enkla tips:

  • Använd alltid starka lösenord.
  • Håll alltid din WordPress installation uppdaterad med senaste versionen
  • Håll alltid dina teman och plugins uppdaterade, radera inaktiva teman och pluginer och sluta använde teman och pluginer som inte längre uppdateras.
  • Övervägg installation av CAPTCHA och/eller 2 stegts inlogging
  • Överväg installaton av all-in-one security plugin som iThemes Security eller Bullet Proof Security.

 

(om du din webbplats redan blivit hackad, läs denna guide av Nathan B. Weller, för att hitta en lösning på det hela: “Oh Sh*#! What to Do When Your WordPress Website Has Been Hacked.”)

Hur du döljer att du verklingen använder WordPress.

Ok, du har bestämt dig för att du vill försöka dölja din installation av WordPress för dina besökare, hackers samt bots.

Exakt hur gör du detta?

Det finns massvis av guider på nätet om hur du döljer versionsnumret av just din WordPress installaton. Men jag kommer inte att att sprida dem på grund av ett antal anledningar:

  •  Om säkerheten verkligen är viktigt för dig bör du alltid se till att uppdatera till senaste kärnan av WordPress
  • WordPress versionsnummer dyker upp på massor av ställen, i en uppsjö av filer och kan vara svår samt tidskrävande att dölja överallt, och med största säkerhet inte värt arbetet för att….
  • Även om du klarar av att radera alla förekomster av versionsnumret finnns det fortfarande flera sätt för någon att ta reda på vilken version av WordPress (find out what version of WordPress) just du använder.
  • Att dölja versionsnumret kommer inte skydda dig från bots heller. Bots kontrollerar vanligt vis inte versionsnumret. De söker oftast mera rakt på sak efter sårbarheter som de är skapade för att hitta. Om du håller din WordPress kärnan uppdaterade, kommer de med största sanorliket inte hitta in. Om du har en gammal version kommer de att finna en väg, oavsett om du visar eller döljer versionsnumret.

Fortfarande bestämt dig för att dölja att du faktiskt använder WordPress?
Det kan ju vara ett krav från en kund, som gör att du MÅSTE dölja det, eller du kanske tycker att din verksamhet verkar oseriös om du använder ett bloggverktyg för att driva din webbplats.

I detta fall, rekommenderar jag dig ett plugin som kostar lite pengar som kallas Hide My WP, och det finns på Code Canyon. Det fungerar som en generell säkerhetspugin, och kommer att dölja att du faktiskt använder dig av WordPress genom att ändra permalänkar utan att ändra plats på dina faktiska filer.

Hide My WP har en rad funktioner som förbättrar säkerheten i WordPress

  • Ändrar permalänkar (som wp-admin) för att dölja den för bots.
  • Tar bort meta info (som versionsnummer) från webbplatsens header och feed.
  • Kontrollerar dina PHP filer.
  • Ändarar standard mappar mot sårbarhet, som wp-content
  • Ändrar “query URL” för att skydda mot SQL injections
  • Gömer filer som can ge hackers infromation om din WordPress installation t.ex. readme.html och license.txt.
  • Ger dig flera val att avaktivera olika arkiv, kategorier, taggar, sidor och inlägg.
  • Meddelar dig om säkerhetsrisker via ett nytt “Intrusion Detection System”.

Hide My WP är också kompatibel med andra populära säkerhets plugins för WordPress. Det har fått 4,5 av 5 stjärnor på Code Canyon, och plug utvecklaren svarar snabbt på support frågor.

Gör WordPress säkrare redan idag, kontakta oss