WordPress vefir – öryggi, uppfærslur og umgengni
Það má með sanni fullyrða að WordPress sé eitt útbreiddasta vefumsjónakerfi í heimi, en það er kerfið að baki um 35% vefsíðna í heiminum Ef eingöngu eru taldar síður sem eru byggðar í þekktu vefumsjónakerfi þá er WordPress með yfir 60% hlutdeild. Í grunninn er WordPress mjög einfalt kerfi, byrjaði sem fréttaveitu/blogg kerfi en getur í dag knúið allskonar vefsíður með mismunandi þarfir. Sem dæmi má nefna að um 28% af vefverslun í heiminum er gerð með WooCommerce sem er viðbót við WordPress. (tölfræðiheimild) Opin vefumsjónakerfi gera öllum kleift, sem hafa einhverja löngun eða þörf, að setja upp og viðhalda eigin vef án þess að þurfa sérstaka tækni- eða forritunarkunnáttu. Hins vegar kemur það ekki í veg fyrir að vefurinn þurfi viðhald og uppfærslur, sem krefjast grunnþekkingar á kerfinu. Athugið að hér er verið að tala um WordPress kerfið sem er hægt að hala niður í gegnum wordpress.org en ekki innskráningarkerfið sem má finna á wordpress.com.
Ábyrgðaraðili vefsins
Hver einasti WordPress vefur verður að hafa ábyrgðaraðila sem býr yfir lágmarks tæknikunnáttu og ber ábyrgð á því að uppfæra vefinn. Uppfærslur á WordPress kerfi eru yfirleitt ekki í boði hjá hýsingaraðilum nema með sérstökum samningi. Það er fátt eins hættulegt eins og að “gleyma” vefnum á einhverjum vefþjóni eða að uppfæra og lenda í vandræðum eins og “White screen of death“. Ekki er heldur hægt að treysta á sjálfvirkar uppfærslur, a.m.k. þarf að fylgjast vel með því að þær eigi sér stað.
WordPress uppfærslur
Vefurinn þinn er verðmæti. Þú átt að hugsa um hann eins og um vinnustaðinn eða heimilið, þú myndir ekki skilja við það þannig að hver sem vill kæmist inn. Ef mikil verðmæti er um að ræða þá sleppirðu því ekki að setja upp öryggiskerfi eða viðhalda því.
Miðað við útbreiðsluna er WordPress merkilega öruggt. En það eru líka töluverðar líkur á að verða fyrir árás utanaðkomandi aðila, sem reyna að komast yfir lykilorð eða komast inn á vefþjóninn þinn til að setja inn skrár sem geta gert óskunda. Það sem þú getur gert er:
1. að gera það eins erfitt og mögulegt er fyrir óviðkomandi að komast inn,
2. hafa skaðann sem minnstan ef einhver kemst inn (nota ekki sama lykilorð annarsstaðar) og
3. eiga öryggisafrit af vefsíðunni ef vefþjónninn dettur niður eða skrár glatast.
Góð ráð til fyrir öruggari WordPress vef:
- Skráðu þig inn í kerfið í hverri viku og skoðaðu hvort allt sé eins og það á að vera. Uppfærðu það sem þarf í nýjustu öruggu útgáfu.
- Ekki nota notendanafn sem er “admin” eða lénaheitið eða hluta af því.
- Notaðu öryggisviðbætur, t.d. Wordfence. Það býr til “eldvegg” og blokkerar þá sem reyna að brjótast inn (ip tölur þeirra) og nota röng notendanöfn og/eða lykilorð. Þar geturðu einnig séð hvort búið sé að reyna að skrá sig inn með notandanafni sem er til. Ef svo er skaltu búa til nýjan stjórnanda og eyða þeim notanda sem hefur verið uppgötvaður.
- Hafðu lykilorðið þitt flókið (blöndu af hástöfum, lágstöfum, tölustöfum og öðrum merkjum). Ekki nota sama lykilorð og þú notar fyrir aðrar síður né póst, netbanka eða aðra staði. Þú getur einnig stillt tveggja þrepa innskráningu með öryggisviðbótum. Skiptu reglulega um lykilorð, sérstaklega ef þú sérð að það er ítrekað reynt að komast inn.
- Uppfærðu grunnkerfið og viðbætur (í þessari röð). Gakktu úr skugga um að allt sé eins og það eigi að vera eftir uppfærslur. Áður en þú uppfærir skaltu athuga hvort PHP útgáfan sem er sett upp á vefþjóninum styðji uppfærsluna. Ef ekki þarftu að biðja hýsingarþjónustuna þína að uppfæra PHP.
- Eyddu viðbótum (plugins) og þemum (themes) sem eru ekki í notkun eða uppfærðu þau í nýjustu útgáfu. Hafðu nýjasta grunnþema frá WordPress samt inni, í nýjustu útgáfu.
- Vertu viss um að hýsingaraðilinn þinn eigi afrit af vefnum þínum. Kannaðu hversu oft afrit eru tekin og hversu mikið mál er að fá gögnin upp aftur. Notaðu backup viðbót, t.d. UpdraftPlus, sem sendir reglulega skrárnar þínar yfir á annað svæði, t.d. skýjalausnir. Þannig geturðu komið síðunni fljótt upp aftur ef eitthvað hendir vefþjóninn.
- Fylgstu með tilkynningum, t.d. í gegnum Wordfence. Gerðu viðeigandi ráðstafanir ef þú sérð að viðbætur eða þemu sem þú ert að nota eru talin varhugaverð.
Leitaðu að sjálfum þér
Ef þig grunar að vefsvæðið þitt sé að fá óeðlilega traffík geturðu skoðað SEO ranking tól (t.d. frá theHoth) þar sem þú sérð vinsælustu leitarniðurstöðurnar tengdar vefnum þínum og stöðu þína gagnvart þeim. Þar geturðu séð hvort þú sért fórnarlamb Phishing scam sem lýsir sér í að á vefþjóninum þínum hefur verið komið fyrir möppum og skrám sem innihalda hvimleitt efni og tengla á óviðeigandi síður. Það er ákveðin tegund af innrás þó svo vefurinn þinn líti eðlilega út á yfirborðinu. Ef þú sérð óeðlilegar “leitarniðurstöður” í listanum skaltu hafa samband við hýsingaraðilann þinn, þar sem þetta kemur WordPress kerfinu yfirleitt í sjálfu sér ekki við en opinberar ákveðinn veikleika.
Hjá Blek er yfir 20 ára reynsla af hönnun fyrir vefinn og við höfum unnið með WordPress síðan árið 2007 (þar áður með Movable Type). Við getum séð um uppfærslur á vefnum þínum, sendu okkur línu: blek@blekhonnun.is .