Wordpress er hverken mere eller mindre sikkert end andre CMS’er, men du kan øge sikkerheden markant ved at installere et sikkerhedsplugin. Dem findes der til gengæld mange af, så det kan være svært at finde ud af, hvilket et man skal vælge. Et af de bedste er uden tvivl Wordfence, som er relativt simpelt at få til at køre.
Derfor skal du installere Wordfence
Udover at være nemt at indstille og have et brugervenligt design, så udmærker Wordfence sig også ved at det indeholder en række nyttige funktioner i forhold til sikkerhed. Det gælder fx den indbyggede firewall, virusscanning og realtidsvisning af trafikken på websitet. Derudover skulle Wordfence efter sigende være det eneste gratis plugin, der tilbyder tjek og rensning af kerne-, tema- og pluginfiler. I betalingsversionen får man desuden 2-faktor sikkerhed, men det kan du også få ved hjælp af pluginnet Google Authenticator.
Sådan bruger du Wordfence
For at gøre Wordpress mere sikkert skal du installere og aktivere pluginnet Wordfence. Når du har gjort det, vil du kunne se et nyt menupunkt, der hedder “Wordfence”. Du skal dog starte med at vælge undermenupunktet “Options” i denne menu for at indstille pluginnet til dine behov. Når du kommer ind på indstillingssiden kan du se, at der er blevet dannet en Wordfence API-nøgle til dig automatisk. Derudover er der markeret en række valgmuligheder for dig på forhånd i afsnittet “Basic Options”. Til at starte med er det fint at lade disse standardindstillinger stå og blot skrive din e-mailadresse for at modtage mails, når der evt. kommer advarsler.
Du har også mulighed for at vælge nogle andre foruddefinerede indstillinger ved at vælge mellem nogle forskellige presets i rullemenuen “Security Level”. Level 2 er standard. Du kan evt. overveje at fjerne markeringen ud for “Enable Live Traffic View”, da det bruger en del ressourcer, og du kan altid slå den til senere, hvis du skulle få behov for denne feature.
Avancerede indstillinger i Wordfence
I den næste sektion kan du skrue på de avancerede indstillinger i Wordfence. Jeg har ikke selv haft behov for at ændre på standardindstillingerne her heller, men jeg viser dem her, så du kan se, hvad du kan til- og fravælge. Hvis du ændrer på sikkerhedsniveauet i forrige billede, så ændres indstillingerne automatisk her også.
Det eneste sted jeg sådan set har afveget fra standarden er under afsnittet “Scans to include”. Her har jeg markeret, at både tema- og pluginfiler skal tages med i scanningen af filændringer.
De resterende indstillinger har jeg kun ændret ved ét sted, men jeg viser mulighederne her, så du kan se hvad Wordfence er i stand til. Først og fremmest er der indstillingerne for Firewall-reglerne, og det er her jeg har foretaget en ændring i forhold til standardindstillingerne. Det drejer som om markeringen ud for “Immediately block fake Google crawlers”, som jeg har aktiveret.
Dernæst er der indstillingerne for loginsikkerhed:
Og til sidst en række andre indstillinger som bl.a. foretager nogle generelle ændringer i Wordpress, som fx at skjule versionsnummeret og scanne kommentarer for malware og phishing-URLer. Sidstnævnte er du i forvejen beskyttet mod, hvis du har aktiveret Akismet.
Kør en Wordfence Scan
Når du har indstillet Wordfence er det tid til at køre din første Wordfence Scan, som scanner Wordpress ud fra de valg du har foretaget under indstillingerne. Du kan løbende følge med i scanningen i feltet Scan Summary, og når scanningen er færdig, kan du se hvor mange ting, du bør kontrollere:
I ovenstående eksempel var der 8 nye elementer, der krævede min opmærksomhed. Du kan se en udspecificering af disse elementer i næste billede, hvor du element for element kan se hvad problemerne drejer sig om. Det er ofte blot falske advarsler forstået på den måde, at det fx er ufarlige ændringer i en Wordpressfil, som er foretaget med vilje af dig eller et plugin, men du bør alligevel tage stilling fra element til element, så du ikke overser noget “snavs”.
Din Wordpress er nu meget bedre beskyttet mod uindbudte gæster end det var, da du installerede Wordpress med standardindstillingerne. Afhængig af hvordan du har indstillet Wordfence vil du blive advaret ved forskellige typer af sikkerhedsrisici. Gratisudgaven foretager ikke automatiske scanninger, så du skal selv huske at gøre det manuelt fra tid til anden.
Eneste ulempe ved Wordfence jeg umiddelbart kan se er, at den trækker lidt for meget på performance. Derudover danner Wordfence en hel del tabeller i databasen, som fylder temmelig meget, så hvis det er et problem for dig, kan det være du skal kigge på et godt alternativ. Det kunne fx være iThemes Security, som jeg dog synes er lidt mere langhåret at indstille, og man kan lettere komme til at lave ballade, hvis man indstiller noget forkert.
Hvordan beskytter du dit Wordpress website? Jeg vil meget gerne høre om det, så du er mere end velkommen til at skrive en kommentar nedenfor. På forhånd tak!
