Anders spurte meg:
I det siste har jeg tenkt litt på hvordan man sikrer nettsiden sin. Jeg ser på nettsiden som en inntektskilde, og da vil jeg gjerne forhindre at noen utenfra skal ødelegge, enten via hakking, Google-klikking eller andre måter gå til “angrep” på nettsiden for å skade inntektskilden. Er dette noen vurdering som du gjør? Hvilke sikkerhetsrutiner har du? Eller er det egentlig ikke så mye man har å frykte bare man gjør noen enkle grep?
Jeg tror ikke det er hacking man først og fremst trenger å være bekymret for, men at det kan oppstå en hardwarefeil. For la oss innse det; det HADDE vært kjipt å miste alt, absolutt alt, fordi vi ikke har giddet å ta oss det lille ekstra bryet med å sørge for at bloggen er så sikker som mulig… Eller hva?
Jeg kommer derfor til å dekke noen måter man kan gjøre WordPress-bloggen sin mer trygg på. Dette utgjør likevel ingen garanti for at du ikke kan miste alt eller deler av bloggen din, men det er uhyre sjeldent at slikt skjer. Jeg har ikke hørt om et eneste tilfelle med WordPress. Likevel er det bedre å være på den sikre siden, altså.
Noen av disse tipsene sendte jeg ut via Glabladets VIP-nyhetsbrev i mai. Dette er likevel så viktig at jeg gjør et unntak og poster det på bloggen også:
1. Backup, backup, BACKUP!
Det sier seg jo selv, men det er ikke alle som har sørget for å ta regelmessige backups av bloggen enda. Dette er VIKTIG!
Det sies i nerdegeek-miljøer, at hvis noen virkelig vil bryte seg inn på siden din, vil de klare det, med nok tid og innsats. Med andre ord kan egentlig ingen nettside gjøres 100% sikker.
Hvis dette er sant, vil backups være den første, beste og mest selvfølgelige, opplagte måten å «forsvare» seg på.
Med en funksjonell backup kan noen bryte seg inn, rane, gjøre hærverk, voldta, stjele og slette ALT innholdet… og du kan likevel være tilbake online i løpet av få timer, fordi du har en BACKUUUUP!!! 
Det anbefales at du tar backup så ofte som mulig, og helst daglig. Bruk gjerne gratis-pluginen WordPress Database Backup til dette.
NB: Denne pluginen tar kun backup av databasen din. Du beholder innlegg og kommentarer, men themes og plugins kan likevel gå tapt. Jeg skal snart skrive om en metode som gir full og sikker backup, samt enkel gjenopprettelse av hele bloggen, inkl. themes og plugins. Følg med!
2. BYTT UT «ADMIN» SOM BRUKERNAVN!!
En av de vanligste måtene å gjøre innbrudd på en nettside, er «rå kraft»-måten. Det vil si at sniken vil prøve å gjette seg frem til brukernavnet ditt, og deretter bruke scripts for å sette det opp mot tusenvis av passordkombinasjoner.
Hvis admin-brukeren på bloggen din heter «Admin», gjorde du akkurat hackeren sin jobb myyyyyye enklere. Så omtenksomt av deg!! 
Det er lett å gjøre noe med dette. Bare lag en ny bruker i WordPress og gi den administratorrettigheter. Deretter logger du inn med den nye brukeren og sletter «Admin»-brukeren. Hvis du har publisert innlegg under «Admin»-brukeren, vil WordPress spørre deg om du ønsker å flytte disse innleggene til en ny bruker.
3. Gjem WordPress-versjonen!
Jo mindre en psycho-snik med seriøse fritidsproblemer vet om bloggen, jo bedre er det! Som en hovedinnstilling i WordPress, kringkaster den til hele verden hvilken versjon du bruker. Denne informasjonen kan bli brukt mot deg fordi hackerne vet om sikkerhetshullene i enhver versjon.
Sagt på en annen måte: Ikke kle opp bloggen din i dyp utringning og kort miniskjørt som sier «kom og ta meg baby», men kle den opp i en skikkelig OnePiece av en kjeledress som sperrer all tilgang. Veldig turn-off og usexy for enhver hacker, med andre ord.
(PS. Dette innlegget er IKKE sponset av OnePiece!)
On with the story…
Å skjule WordPress-versjonen er heldigvis ikke vanskelig. Først og fremst bør du pulverisere «generator»-meta-tagen. Okey, ikke få panikk hvis du ikke har peiling på hva jeg snakker om. Du kan gjøre dette ved å legge til følgende kode i ditt themes functions.php-fil:
Men det finnes fortsatt et sted hackere kan få snerten i hvilken versjon av WP du bruker, som mange glemmer å tenke på: Readme-filen som kommer med alle WordPress-installeringer. Bare logg deg på serveren din via FTP for å få tilgang til å slette denne.
4. Sikre deg mot mappesnoking!
En annen ting du bør gjemme på siden din er innholdet i mappene dine. Hvis folk kan gå gjennom mappene dine og sjekke innholdet, kan de samle inn bøttevis med informasjon, inkludert hvilke plugins du bruker, hvilke themes du har installert osv. Jeg trenger vel ikke si at slik informasjon kan bli brukt til å finne sikkerhetshull på siden.
Hvis hostingen din er basert på Linux kan du enkelt fjerne muligheten for mappesnoking med en .htaccess-fil plassert i roten av serveren din. Du kan enten lage denne filen eller åpne en den eventuelt eksisterende og legge inn følgende linje:
Options -Indexes
That’s it. Hvis hostingen din ikke er basert på Linux kan du fortsatt sikre innholdet i mappene ved å laste opp en blank index.html-fil inni hver mappe.
Usikker på hva hostingen din er basert på? Kontakt hosten din. (Noen hoster tilbyr allerede «ingen mappesnoking» så det er ikke sikkert du trenger å følge dette tipset. Ta kontakt med hosten din hvis du lurer. Eller bare følg tipset anyway, så er du i verste fall bare «dobbelt» sikret).
5. Oppdater ALLTID…
WordPress er open source software, noe som betyr at kildekoden er offentlig og alle kan ha tilgang til den. Det betyr at hackere kan gjennomsøke kodene etter sikkerhetshull.
Noen ganger finner de dem, men WordPress-teamet reagerer vanligvis kjapt, og slipper en oppdatert versjon som beskytter mot de nye truslene.
Hvis du alltid kjører den siste utgaven av WordPress vil du minimere sjansene for å støte på problemer.
——————————————————————————————————
NB. Hvis du ikke er så teknisk avansert og dette hørtes vanskelig ut, anbefaler jeg at du søker råd hos noen som har peiling på det tekniske. Følg disse instruksene på eget ansvar – jeg har ikke mulighet til å tilby «ettersupport» til alle som leser dette innlegget.
Hvis du er usikker på fremgangsmåten gjør du klokt i å la vær, inntil videre. Det kan nemlig oppstå problemer underveis hvis du ikke vet hva du gjør.
F.eks. da jeg skulle legge inn koden i functions.php som fjerner WordPress-versjonen, oppsto det problemer med en av mine plugins.
Løsningen min, etter litt mer søking på nettet, ble å installere følgende plugin: Secure WordPress.
Denne tar seg av punkt 3 og 4 i denne guiden, samt flere ting som ikke er gjennomgått her, og kan derfor være verdt å installere.
Glabladet beklager å ha spredt denne fryktpropagandaen og gjort deg mer bekymret over alt som kan skje med din WordPress-installasjon. Jeg lover at det ikke skal gjenta seg altfor ofte, men når sant skal sies så er det bedre å være føre var, bla bla bla.
