Sikkerheden på din hjemmeside er de senere år blevet et endnu større fokusområde. Hackere forsøger mere end nogensinde før at hacke sig ind på hjemmesider via sikkerhedshuller. Det er altid bedre at forebygge end at rydde op, derfor tilbyder vi hos Pandi Web også en sikkerhedspakke, hvor vi løbende opdaterer, monitorerer og virusscanner din hjemmeside så du kan sove trygt om natten. Er du mere gør-det-selv typen har vi dog samlet en række ting forneden, som du bør få styr på, hvis du ikke allerede har det.

SSL-certifikat på din hjemmeside

SSL-certifikat er efterhånden en nødvendighed ikke alene for sikkerheden, men også for din rangering på søgemaskiner mv., der er begyndt at kategorisere din side som usikker, hvis der ikke er SSL-certifikat installeret på din side. I praksis krypterer et SSL-certifikat forbindelsen mellem din server og din besøgende, hvilket gør, at udefrakommende ikke kan læse trafikken og dataen der udveksles.

Du kan se om din hjemmeside har installeret et SSL-certifikat i forvejen ved at se på adressen på din hjemmeside. Hvis din adresse starter med https:// så har du et certifikat installeret. Hvis den starter med http:// har du ikke (eller bruger det i hvert fald ikke).

Husk 301-redirects
Hvis du skal i til at installere et certifikat for første gang, så vær opmærksom på, at du skal fortælle søgemaskiner, at din adresse er ændret. Ellers vil du miste rangering og dermed besøgende. Helt konkret skal du lave det, som man kalder 301-redirects. Det er en form for redirects, der fortæller søgemaskinerne, at en adresse er flyttet. I forbindelse med SSL-certifikater fortæller vi altså, at adressen er flyttet fra http:// til https://. Det betyder også, at du i tiden efter skiftet (hvor siden er indekseret på den gamle adresse på søgemaskinerne) ikke vil miste besøgende. Dem der rammer http://-versionen af din side bliver viderestillet til den nye version.

Opdatering af plugins og system
Hvis du bruger et open-source system til din hjemmeside (eksempelvis WordPress eller Magento) er det vigtigt, at installationen er up-to-date. Årsagen til, at de fleste af disse sider bliver hacket er nemlig, at der ikke er taget de nødvendige forholdsregler. At holde installationen og dine plugins opdateret er derfor et nødvendigt skridt i kampen mod hackere.

Sikkerhedsplugins
Det er ofte også en god idé at installere sikkerhedsplugins. Disse kan både hjælpe med at afværge angreb, men også til at fortælle dig, hvis der er en trussel mod din side. Det er vigtigt, at du lærer at bruge dem korrekt for at sikre dig bedst muligt. De plugins vi anbefaler til WordPress i skrivende stund er Wordfence, Anti-Malware og Sucuri Security.

Husk backup
Når du skal lave opdateringer til dit system og plugins er det vigtigt, at du altid tager en backup på forhånd. Der vil altid være en risiko for, at plugins ikke er kompatible med resten af siden og derfor vil ødelægge noget i forbindelse med opdateringen. Sker dette skal du derfor have en frisk backup på hånden. I den forbindelse bør det også understreges, at opdateringer altid først skal laves på en testside inden det rykkes på live.

Opdatering af PHP-version
Et vigtig, men tit overset parameter er, at få din PHP-version opdateret til den nyeste. I skrivende stund er der fortsat et overvejende antal PHP-sider (WordPress, Magento, Prestashop etc.), som benytter PHP 5.x, hvilket er en forældet version. PHP-versionen bør opdateres til 7.x snarest muligt for disse. Efter nytår 2018 har folkene bag PHP meldt ud, at man ikke længere vil udgive sikkerhedsopdateringer til PHP 5.x. Det sætter en lang række sider i farezonen for hackerangreb, hvis de ikke foretager sig noget.

Derfor er det vigtigt, at du får opdateret din PHP-version til 7.x snarest muligt og i øvrigt for fremtiden får opdateret til de seneste versioner for at undgå lignende problemstillinger. Som med alt andet gælder det selvfølgelig, at du får taget en backup og tester af på en testside inden det forsøges på live.

Sikring af din hjemmeside

Der findes en lang række forholdsregler du kan tage for at gøre din side så sikker som mulig. Nedenfor har vi listet en række af disse.

Virus-scanning af din hjemmeside
I Sucuri Security (WordPress) kan du opstille en lang række parametre for, hvordan og hvornår dine filer skal scannes af pluginnet. Du får derefter en rapport, som du kan gennemgå og efterse for problemer.

Udover dette giver Sucuri dig også en lang række optimeringsforslag til, hvad du kan foretage dig for at sikre din side yderligere.

Sikring af brugere
Det er vigtigt, at du rydder op i brugere, som ikke længere skal have adgang til hjemmesiden. I mange installationer ser vi brugere, som har fået oprettet adgang for mange år siden, men som ikke længere bruger siden aktivt. Alle legacy-brugere er et sikkerhedshul, som bør lukkes.

Det er også vigtigt, at du bruger stærke kodeord så såkaldte brute-force angreb ikke er mulige i samme grad. Dertil bør du ikke have en admin bruger, som hedder “admin”, “administrator” eller lignende.

Hvis du er i tvivl om, hvordan du skal holde styr på et stærkt kodeord kan du med fordel bruge Last Pass. Last Pass kan både generere og holde styr på dine koder for dig.

Automatisk backup løsning
Sørg altid for, at der tages automatisk backup af din hjemmeside løsning og at denne er eksternt fra din normale hjemmesideplacering. Har du en hostingløsning hos os tager vi automatisk backup af hele din side og gemmer den 14 dage tilbage.

Brug de rigtige plugins og slet resten
Hvis du bruger plugins så sørg for at de er pålidelige. Tjek efter, hvor mange gode anmeldelser de har i den store du henter dem. Tjek også efter, hvornår der sidst er kommet en opdatering. Hvis der senest kom en opdatering for 5 år siden er det nok ikke det rigtige plugin at bruge.

WordPress og andre open-source systemer kommer også ofte med en række preinstallerede temaer og plugins. Hvis du ikke bruger disse bør du slette dem. Både for performance og sikkerhed.

Sæt to-faktor login op

Med to-faktor login skal du have adgang til din telefon når du logger ind. Du vil efter du har skrevet adgangskoden skulle indtaste en genereret kode, som du modtager via mobilen. Dette sikrer, at det kun er dig, der kan logge på.

Deaktiver kodeeditor

WordPress kommer som standard med muligheden for at ændre temafiler mv. direkte fra adminpanelet. Det er en feature, som kan være nyttig, hvis den bliver brugt, men i de fleste tilfælde ikke er nødvendig. Funktionen gør det samtidig muligt for hackere at ændre direkte i dit tema mv., hvis de får adgang til dit adminpanel. Det kan derfor i langt de fleste tilfælde bedst betale sig at slå funktionen fra.

Sæt Cloudflare op

Cloudflare kan på navneserver niveau filtrere mistænkelig trafik fra. Det betyder, at denne trafik aldrig når din server og din hjemmeside. Udover denne funktion kan Cloudflare også optimere en række ting så din hjemmeside performer bedre. Cloudflare har en gratis version, som er tilstrækkelig på langt de fleste hjemmesider.

Hvis din hjemmeside bliver hacket

Oprydning af filer
Hvis først din side er hacket er der en del oprydningsarbejde du skal i gang med. Afhængigt af, hvilket hack der er tale om, kan det være en længere proces. Det første, som skal gøres, er at køre en eller flere scanninger. Sådan får du overblikket over, hvor omfangsrigt et hack du er blevet udsat for. Når du har et overblik over, hvilke filer der er inficeret, starter arbejdet med at rense dem. Dette gøres rent lavpraktisk ved at åbne filerne og fjerne den inficerede kode fra denne. Når alle filerne er renset bør du udføre alle steps fra “Sikring af din hjemmeside” ovenfor.

Hvis du er heldig at vide præcis, hvornår din side blev hacket kan du eventuelt rulle en backup ud fra lige før det skete og så sikre hjemmesiden derfra. På den måde undgår du at skulle rense alle filerne. Det er dog vigtigt at du er sikker på siden ikke var hacket på det tidspunkt backuppen køres ud fra. Ellers vil det være spildt arbejde.

Ændring af kodeord
Det er meget vigtigt, at du efter endt rensning og sikring sørger for at ændre kodeord på alle brugere til systemet. Hvis dit hack eksempelvis er sket via brute-force vil det være nytteløst at rense siden og ikke skifte kodeord. Hackerne kan nemlig blot logge ind via dit system og gøre det hele forfra fordi de har koden.

Hvad hvis jeg bruger et andet system end WordPress?

Hvis du ikke bruger WordPress er det vigtigste at vide, hvorvidt det system du anvender er open-source eller ej. Langt de fleste sider ligger i dag på open-source systemer som WordPres, Magento osv.. Hvis dit website er placeret på en open-source løsning bør du have gang i opdateringsgrejet med det samme og få sat struktur på opdateringen af dit site. Sikkerhedshuller lukkes løbende af udviklerne bag disse platforme, og derfor er det godt givet ud lige at bruge den ekstra tid på rent faktisk at tage imod disse løbende opdateringer.

Hvis du ikke bruger et open-source system er risikoen for, at din side bliver hacket formentlig ikke så stor. Årsagen er, at hackeren ikke kender kodebasen, som dit website består af, og det er derfor ofte ikke umagen værd. Der er andre fisk, der er lettere at fange for hackeren. Når det er sagt vil der være helt basale sikkerhedsforanstaltninger, som din udvikler bør have taget bl.a. i forbindelse med indsendelse af formularer.

Er det ikke noget du skal bekymre dig om?

Hvis du synes ovenstående lyder lige lovlig langhåret og ikke noget du gider bruge tid på er du ikke alene. Vi står til dagligt for at vedligeholde og sikre en lang række hjemmesider i både WordPress og Magento. Er du indehaver af et af de to systemer og ønsker at sikre dig mod hackere kan du tage fat i os på [email protected]. Du kan læse mere omkring, hvad vi kan hjælpe med vedrørende sikkerheden her.