Jag har använt WordPress i flera år nu och det är onekligen ett fantastiskt verktyg för att sköta en webbplats eller blogg. Många tusentals teman och plugins finns fritt tillgängliga för att lösa i princip alla utmaningar du behöver lösa till din webbplats.
De många möjligheterna och den öppna källkoden öppnar dock för en del risker som man måste tänka på, främst om man har en egen WordPress-installation. Fram till för några månader sedan hade jag använt WordPress utan några större problem. Då fick jag meddelande från webbhotellet att min webbplats var nedstängd på grund av skadlig kod. Jag började gräva i problemet och upptäckte att det berodde på en säkerhetslucka i thumbs.php kopplat till mitt tema från WooThemes.
Jag åtgärdade det och allt var frid och fröjd fram till i går. Av en slump upptäckte jag att Google listat min sajt som potentiellt skadlig (något som aldrig är bra). Detta ledde till några timmars fixande och jag tänkte dela med mig av några tips hur man kan gå tillväga för att säkra sin blogg/webbplats i WordPress igen. Steg som jag själv gick igenom och letade upp på olika sajter. Flera av tipsen är basic för en avancerad användare men eftersom det är en så vanlig plattform att bygga en sajt på i dag hoppas jag kunna hjälpa i alla fall någon som råkat ut för det.
Så här kommer mina fem tips på åtgärder om din WordPress-blogg blivit hackad:
- Byt dina lösenord!
Ändra dina lösenord, både i WordPress och på din FTP (kanske även din SQL). Tänk på att välja två olika lösenord och gärna så säkra som möjligt. Jag brukar använda generate-password.com för att skapa säkra lösenord. - Kolla användarna!
I WordPress administrationsgränssnitt, kontrollera att inte hackarna skapat användare på din blogg/sajt. Jag hade en Lucy och en Fiona, två personer som jag definitivt INTE känner till. Ta bort dem direkt! - Sök på din sajt på Google!
För att ta reda på mer om vad som kunde finnas på min webbserver som inte borde finnas där använde jag mig av Google. Om du på Google skriver in site:dindomän.se och därefter valfritt nyckelord (exempelvis site:dindomän.se viagra) så kommer du kunna se ungefär var infektionen skett och var filerna ligger på din server. Får du inga träffar så testa något annat ”spammigt” ord. Detta gjorde att jag hittade filer i både mappen wp-includes och i ett par inaktiverade(!) teman. - Ta bort inaktiva teman och plugins!
Eftersom jag upptäckte hundratals potentiellt skadliga HTML-filer i ett av mina inaktiverade teman tog jag bort samtliga jag inte använder. Jag tog dessutom bort alla plugins som jag inte använder för tillfället. Ett onödigt tilltag måhända men i det här fallet vågade jag inte riskera något. Alternativet är att uppdatera även inaktiva plugins. Mer om det nedan. - Uppdatera!
Jag kan inte trycka på detta tillräckligt, men jag menar det verkligen. Uppdatera! Det kommer så gott som varje vecka nya uppdateringar till både plugins och teman och även WordPress släpper uppdateringar på regelbunden basis. Och numera är det dessutom extremt smidigt i WordPress. Se till att du hänger med i uppdateringarna. Detta gäller även temat, om ditt tema stödjer det. Jag själv kör WooThemes där de släpper buggfixar då och då och jag är inte sen med att uppdatera. Även om det kan innebära lite merarbete med layout och annat. (Ska jag vara helt ärlig hade jag slarvat med uppdateringarna för både WordPress och plugins under hösten och det är förmodligen därför jag hamnade i det här).
Bonustips
- Installera ett plugin för att övervaka ändrade och/eller tillagda filer
Ett tips jag fick från webbhotellet var att installera ett plugin för att övervaka min installation och leta efter nya filer som lagts till utan mitt godkännande. Ett sådant plugin är WordPress File Monitor men det finns säkert andra med samma uppgift. - Installera Google Webmaster Tools
Jag har sedan länge använt mig av Google Webmaster Tools både privat och professionellt (något annat vore tjänstefel) och därigenom kunde jag be Google-bot att kolla min sajt igen, efter att jag åtgärdat felen. Nu, mindre än 48 timmar senare, är min sajt ”säker” igen enligt Google. Allt tack vare att jag kunde anmäla det därigenom. - Byt ut defaultprefixet på tabellnamnen i databasen (tack @dannibig!)
Via @dannibig fick jag ett kompletterande tips och det är att byta ut defaultprefixet på databasen (wp_) eftersom det försvårar att skjuta in saker i databasen då. Detta är dock ett lite mer avancerat ingrepp och inget man gör alltför enkelt i efterhand. För dig som gör en nyinstallation kan de dock vara en bra idé. Detta fixar du i wp-config.php i så fall.
Vad som fortfarande ligger kvar i min databas är jag dock osäker på och det ska jag ta reda på vid tillfälle. Jag är ingen extrem tekniker heller så om något är felaktigt eller behöver kompletteras får ni gärna kommentera.
Om din sajt/blogg i WordPress blivit hackad så är det långt från kört (i de flesta fall) och WordPress själva har en massa nyttig dokumentation också som kan vara till hjälp. Lycka till!
Uppdaterat: Jag har fortsatt att läsa om hur man kan säkra sin blogg och har hittat ett flertal bra bloggposter på ämnet som jag kan tipsa om.
- Nikke Lindqvist går mer på djupet kring site:-söket och hur man kan använda det
- Jajja Magazine har en samlingspost med bra resurser för att lösa problem man stött på
- Jonathan Sulo på FS Data tipsar om hur man säkrar (och snabbar upp) sin WordPress-installation
Har ni fler lästips så skriv i kommentarerna.