dekode

Kontakt oss

WordPress + sikkerhet = sant

Det Hvite Hus, BBC og The New York Times har valgt WordPress. Spør du oss, er det bevis nok i seg selv på at WordPress er sikkert. Men skulle du trenge flere argumenter har du dem her.

Henning Hovland
Posted on
Gjort riktig så er WordPress like sikkert som alle andre CMS.

Det er ikke uten grunn at verdens største bedrifter og organisasjoner velger WordPress. For WordPress gjort riktig er like sikkert som alt annet der ute.

Men vi skjønner at det er lett å anta at WordPress – med åpen kildekode – kan være mer sårbart enn lukkede, proprietære systemer. Realiteten er heldigvis mer nyansert og langt mer positiv.

WordPress kombinerer brukervennlighet med robuste sikkerhetstiltak, noe som gjør det til et ideelt valg for bedrifter som verdsetter både fleksibilitet og sikkerhet.

Et populært mål for hackere

WordPress er verdens mest brukte CMS. Med en markedsandel på over 60% på verdensbasis er det uten tvil en het kandidat å finne sikkerhetshull hos, bare av den grunn alene.

WordPress har noen av verdens største organisasjoner og selskaper blant sine brukere. Enorme siter som i løpet av sitt livsløp garantert vil utsettes for angrep. Det er helt enkelt prestisje å hacke dem. Eller så kan innholdet deres være så verdifullt, eller ha så stor definisjonsmakt, at det er viktig for noen å hacke dem.

Ordforklaring:

Release: Programvareutgivelse som er en oppdatering

Security patch: Sikkerhetsoppdatering som tetter et hull

Penetrasjonstest: Forsøk på å finne sikkerhetshull

Code review: Systematisk gjennomgang av kildekoden for å finne feil

Størrelsen i seg selv er en trussel

Hackere kan ønske å se hvem som er brukerne på siden, eller skrive og publisere feilaktig innhold for å forme en opinion. Eller helt andre aktiviteter som direkte skader eiere, brukere eller andre interessenter.

Størrelsen til slike organisasjoner i seg selv er altså en trussel. Dette gjør at de blir hovedmål for dataangrep, alt fra datainnbrudd til tjenestenekt-angrep (DDoS). Det sier seg selv at sikkerhet er en absolutt nødvendighet for slike kunder. Og de velger fortsatt WordPress.

WordPress gjør kontinuerlige forbedringer i sikkerhet

WordPress gjort riktig er svært sikkert. Det krever som med alt annet kunnskap, riktig konfigurering, infrastruktur og ikke minst vedlikehold. I de rette hender er det et av de sikreste CMS-alternativene et nettsted kan bygges på.

Mye er takket være WordPress-fellesskapet. Det svært engasjerte nettverket av utviklere, brukere og entusiaster som aktivt bidrar til å forbedre og sikre WordPress-plattformen. Slik at den holder tritt med de stadig skiftende truslene i det digitale landskapet.  

Dekode har mange gode råd for hvordan du kan sørge for at nettsiden din i WordPress er sikker.

Ikke kjøp temaer i WordPress

Noen forholdsregler og sikkerhetsråd er det lurt å ta med på veien. Svake passord, manglende oppdateringer og dårlige plugins er de tre rotårsakene til manglende sikkerhet på alle CMS’er. Og de bør du unngå. I tillegg er det både enkelt og veldig sikkert å ta i bruk tofaktorautentisering.

Les mer om tofaktorautentisering her.

Vær veldig varsom med alt du installerer. Her går mange i fella, og dette er en av grunnene til at vi i Dekode aldri kjøper temaer i WordPress. Vi lager dem heller selv. Det er for stor risiko knyttet til alt du laster ned fra internett – enten det er til WordPress eller noe annet.

Dekode jobber aktivt med å skrive sikker kode. Det minimerer risikoen for sikkerhetstrusler og gjør koden mer motstandsdyktig mot angrep. I tillegg er vi kontinuerlig oppdatert på sikkerhetstrusler og beste praksiser.

Vis varsomhet med plugins

Tredjeparts plugins kan inneholde sikkerhetshull som kan utnyttes. Disse kan tillate hackere å få uautorisert tilgang til nettstedet ditt, infisere det med malware, eller stjele sensitiv informasjon.

Noen plugins blir ikke oppdatert regelmessig av utviklerne. Slike plugins kan bli sårbare for nye sikkerhetstrusler og gi kompatibilitetsproblemer med den nyeste versjonen av WordPress.

Det finnes også flere eksempler på plugins med dårlig kode. Disse kan også føre til sikkerhetsproblemer, ytelsesproblemer, eller konflikter med andre plugins og temaer på nettstedet ditt.

Dekodes whitelist for plugins er kort

Hvis en kunde av oss ønsker å bruke en tredjeparts plugin, så må vi gjennomgå og godkjenne den før bruk. Og vi kan være helt åpne om at vår whitelist med sikre tredjeparts plugins er svært kort. 

Vi gjør alltid en grundig vurdering før vi eventuelt godkjenner en tredjeparts plugin. Det er viktig å gjennomgå koden og sjekke sikkerhet og ytelse, men vi stopper ikke med det. Vi sjekker også grundig hvem som står bak, hvor godt vedlikeholdt pluginen er og hvor mange aktive installasjoner den har. Om det er en enkeltperson som står bak eller om pluginen ikke har vært vedlikeholt på lenge, så bør den ikke slippe til i løsningen din.

Din sikkerhet er vår førsteprioritet

Vi tar ofte over driften av en del nettsider med varierende sikkerhetskvalitet. Når det skjer så har vi gode rutiner. Er du usikker på kvaliteten på din WordPress site, så kan vi gjøre en gjennomgang og vurdering for deg. En såkalt «code review», på stammespråket.

Ved en code reivew går vi gjennom nettsiden, bytter ut plugins som ikke passerer våre sikkerhetskriterier, og prosessen med å rydde her er viktig. For hvis WordPress fungerer godt, så blir driftsmiljøet bra. 

Vi har også laget en sikkerhetsplugin som scanner etter oppdateringer og installerer dem automatisk på serveren. Denne tjenesten ruller vi nå ut for alle eksisterende kunder, helt gratis. Andre brukere kan kjøpe den av oss.

Ta sikkerheten på alvor

Ha sikkerhet i bakhodet, alltid og uansett. Det er vårt beste råd. Her får du en huskeliste over hva du må sørge for å ha orden på:

  • Ha god kvalitetskontroll på plugins og temaer
  • Benytt kun sikre plugins, vår shortlist er veldig kort
  • Kontinuerlige sikkerhetsoppdateringer
  • Bruk Cloudflare for god Ddos-beskyttelse
  • Gode kvalitetsrutiner
  • Gode utviklingsrutiner for å sørge for at koden blir sikker
  • Kontinuerlig overvåkning
  • Vi anbefaler alle kunder å gjøre en penetrasjonstest
  • Sikre passord
  • Bruk tofaktorautentisering (2FA)
  • Ikke tillat publisering via WordPress App eller andre tredjeparts-apper
  • Ha et bevisst forhold til hva dere publiserer på internett
  • Ha et forhold til websikkerhet på egen maskin
  • For ytterligere sikkerhet anbefaler vi at dere har en web application firewall (WAF)
  • Alle bilder og nedlastbart innhold bør ligge på cdn (content delivery network)

Er du usikker på om din WordPress-løsning er trygg nok?

Book en sikkerhetsgjennomgang nå!

Be om et møte
Portrettfoto André
André Øien Langvand
DevOps Manager