4 gode råd til at beskytte dit website mod ransomware

Hvad er ransomware?

Ransomware krypterer alt indholdet på din hjemmeside, det vil sige at alt dit indhold bliver utilgængeligt for dig. Ransomware vil give dig en mulighed for at få dit indhold tilbage, mod betaling. Din hjemmeside er altså taget til gidsel, og den eneste løsning virker til at være betaling. Hos w-produktion fraråder vi dette på det kraftigste. Det gør vi fordi du på den måde støtter kriminaliteten, men også fordi det overhovedet ikke er sikkert du får filerne tilbage.

Et websted inficeret med ransomware

Hvis uheldet er ude

Hvis du er blevet inficeret med ransomware på din hjemmeside, er der kun få ting du kan gøre. Du må aldrig betale løsesummen, selvom det kan virke fristende. Det er nemlig langt fra sikkert du får koden til at låse din side op, og hvis du endelig får den, kræver det en PHP udvikler mange timer at få låst dine filer op igen.

Det bedste at gøre, er at kontakte dit hosting selskab, for at høre om de har en backup af din side fra før angrebet. Hvis de har det, kan de muligvis genskabe din side som den var før. Det er dog langt fra sikkert dit hosting selskab har den løsning, og du kan muligvis skulle acceptere at starte forfra på din side.

Hvad kan jeg gøre for at forbygge?

Der er 4 step du selv kan gøre, for at sikre du altid har en mulighed for at få din hjemmeside igen, og næsten sikre dig imod et angreb.

  1. Vælg et hosting selskab der har styr på backup, og hvor sikkerheden er i top.
  2. Få en firewall
  3. Hold din WordPress opdateret
  4. Tag selv backup

Når hosting vælges, er det oftest prisen og hastigheden der bliver set på, men det er mindst lige så vigtigt at se på sikkerheden. Du kan selv undersøge følgende ved dit hosting selskab:

  1. Kører I daglig backup? Og hvor langt tilbage kan jeg genskabe min side, samt koster det mig noget?
  2. Er jeres server software fuldt opdateret og vedligeholdt?
  3. Har I firewall på min side?
  4. Er jeres backup placeret på jeres egne servere?

Den sidste er især vigtig, hvis det er selve serveren der bliver ramt af ransomware. For så hjælper det ikke noget din backup ligger på den server, den vil være krypteret sammen med resten af din side.

Hos w-produktion kører vi daglige backup af alle vores kunders hjemmesider til eksterne servere, for altid at være sikre på at kunne genskabe. Vi sørger for at vores samarbejdspartnere altid har en opdateret løsning, og at en firewall bliver implementeret på siden.

Få et uforpligtende tilbud på hosting ved at kontakte os her.

Få en firewall

Du kan faktisk helt selv installere en firewall på din WordPress side, der findes mange gratis plugins der tilbyder denne funktion heriblandt WordFence og iTheme Security. Det kræver lidt opsætning for at sikre din side optimalt, men de er meget brugervenlige.

Hold din WordPress opdateret

Som oftest er det sider der ikke er opdateret, der bliver ramt af angreb. Det skyldes at angreb udnytter svagheder i plugins, der ikke er blevet lukket grundet manglende opdatering. Hos w-produktion tilbyder vi at opdatere alle vores kunders sites, som led i en opdateringsaftale. Kontakt os her, for at høre om den.

Tag selv backup

Du kan selv tage backup af din side, og have kopien liggende andre steder end på serveren. Læs vores store guide op backup lige her.

Konklusion

Konklusionen kan gøre meget kort: Vælg en sikker hosting, hold din side opdateret og tag backup jævnligt. Sørg for at gøre noget ved det inden det bliver for sent, det kan komme til at koste dig mange penge, at skulle genskabe en hel side. Samtidig skal du også tænke på, at din side vil være offline indtil du får en ny online, offline tid der kan koste mange penge.

 

WordPress sikkerhed – guide til sikkerhed


Hos w-produktion prioriterer vi WordPress sikkerhed højt. Vi oplever stadig i stigende grad, at nye kunder kontakter os, da deres WordPress site er blevet hacket. Det er som oftest de samme fejl, der går igen på alle sider, og som på den måde har givet hackeren fri adgang til sitet. Vi vil i denne guide gennemgå de fejl vi er støt oftest på, og hvordan man som bruger kan forbedre WordPress sikkerhed på eget site.


1. Det usynlige WordPress hack

Dit site kan se ud som normalt, og du har måske ikke oplevet noget har forandret sig. Du er derfor i god tro om, at sikkerheden i WordPress er i top. Det er også det hackerne gerne vil have dig til at tro, for på den måde kan de arbejde videre i fred. Hackeren kan bruge dit domæne som zombie-robot, til at sende spam ud til hele verdenen, eller hackeren kan sprede virus til de kunder der besøger dit site.

Hvorfor er det vigtigt for mig..? Hvis en hacker får held af at bruge dit site til at sende spam, vil dit domæne blive stemplet som værende spam og ondsindet. Det betyder, at når du fremtidigt sender nyhedsbreve ud, vil det som oftest lande i spam indbakken hos potentielle kunder. Du vil altså ikke kunne nå ud til dine besøgende på samme måde som tidligere. Hvis du samtidig har skadeligt kode på din hjemmeside, som inficerer dine besøgende, vil du opleve at forsvinde fra Google, da Google stempler din side som værende ondsindet. Dine besøgende med Chrome og Firefox vil yderligere blive oplyst om farer på din side, og blive rådet til at forlade den.

Løsning

Der findes flere forskellige tools, hvor du få et billede af, om din WordPress hjemmeside kan være hacket.
Hvis du vil se om din side er stemplet som værende ondsindet hos Google, kan du bruge Googles test tool.

Du kan yderligere scanne din hjemmeside for kendte malware/virus med Sucuri. Sucuri giver dig et billede af, om WordPress sikkerheden er i top på din WordPress hjemmeside.

Hvis du får følgende resultat, har dit site ikke været udsat for kendte angreb, men dermed ikke sagt du kan læne dig tilbage og se på. Derimod er det netop nu du skal bygge dit forsvar. Læs videre her i guiden, og se hvordan du proaktivt kan forbedre din WordPress sikkerhed.

 

Hvis du derimod får følgende svar, er der grund til bekymring. Du er muligvis endnu ikke hacket, men din hjemmeside er mere modtagelig overfor angreb. Det første du kan gøre, hvis dit svar ser præcis ligesådan ud, er at opdatere din hjemmeside, for at forøge din WordPress sikkerhed.

 

2. Opdaterer WordPress, temaer og plugins og forøg din WordPress sikkerhed

Det er altid vigtigt at være på den seneste version af WordPress, og holde dine plugins og tema opdateret. Hvis din side ikke er opdateret med de seneste sikkerhedsrettelser fra WordPress og plugin udviklerne. Kan din WordPress side stå åben for potentielle hackere. Næsten hver gang WordPress teamet udgiver en opdatering, er der vitale sikkerhedsrettelser med.

Løsning

Det er for det meste forholdsvist nemt at opdatere din WordPress installation og tilhørende plugins. Log ind på din WordPress side. Du vil nu blive mødt af følgende forside, der kan variere efter hvilken version af WordPress du bruger:

 

I dette tilfælde er der én opdatering til WordPress. Klik på ”opdateringer” og følg WordPress guidning til opdatering af siden og plugins. Det er vigtigt inden at have taget en backup af sitet, så hvis der sker fejl, kan det gendannes. Du kan læse vores guide til backup her.

Når du har taget backup, kan du klikke på “opdater nu”

 

Du skulle nu gerne blive mødt af følgende side, der bekræfter en succesfuld opdatering af din WordPress installation.

 

Det er nu tid til at klikke rundt på dit site, for at se om opdateringen skulle have ødelagt noget. Hvis det er tilfældet, kan du altid rulle din backup tilbage. Hvis alt er som det skal være, er din WordPress sikkerhed nu forøget. Vi oplever efterhånden, at det er yderst sjældent at en WordPress opdatering ødelægger et site. Så der er ingen grund til at holde tilbage.

3. Den simple, men almindelige fejl

Den mest almindelige sikkerhedsfejl er samtidig også en af de mest alvorlige. Vi oplever på flere af de sites vi blev bedt om at tjekke igennem, at fejlen optræder.:

Brug ikke admin som brugernavn

Det kan virke banalt, men det er yderst vigtigt for at din WordPress sikkerhed er i top. Det gør det langt sværere for hackere at få adgang til siden, da de både skal gætte brugernavn og adgangskode.

Løsning

Inden du starter på nedstående løsning, så tag en backup. Du kan læse hvordan, i vores guide her.

Hvis du har en admin bruger, er det heldigvis nemt at ændre. Du skal logge på WordPress, gå til menuen ”Bruger” og derefter tilføje en ny bruger. Den nye bruger giver du administrator rettigheder, og kalder noget andet end ”admin”, ”administrator” eller ”user”. Når du har oprettet den nye bruger, kan du slette den gamle. Du behøver ikke bekymre dig om, at dine indlæg oprettet med admin brugeren forsvinder. Når du vælger at slette admin brugeren spørger WordPress, hvad den skal gøre med indholdet. Her kan du vælge at slette alt indholdet, eller tildele det til en anden bruger. Her vælger du så den bruger, du lige har oprettet. Du har nu forøget din WordPress sikkerhed.

Udover ikke at bruge admin som brugernavn, er det også vigtigt at have en stærk adgangskode. Her kan du bruge WordPress egen adgangskode generator, den generere en lang og unik adgangskode med både tal, tegn og bogstaver.

4. Krypter trafikken til dit site med et SSL certifikat

Kryptering er en effektiv måde, at forøge sikkerheden i WordPress. Udover en bedre sikkerhed, rangere Google også sider der bruger https højre.

Hvad er kryptering

Lad os sige du eksempelvis vil dele nogle hemmelige oplysninger med en ven eller veninde på nettet. Du vælger at sende en besked via internettet, og regner med det fungerer som gammeldags post, og at kun dig og din ven læser beskeden. Det er også tilfældet, hvis du sender beskeden krypteret. Hvis du derimod sender den ukrypteret, kan alle i princippet læse din besked.

Hvis din besked er krypteret, bliver den undevejs omdannet til ulæselig tekst, og det er først når den når modtageren, den bliver dekrypteret til læseligt tekst igen. Der er altså ingen på vejen, der kan opsnuse data fra din personlige besked.

Adgangskoder i klartekst

Hvis din forbindelse til WordPress ikke er krypteret, sendes alle formular som udgangspunkt i klartekst. Dvs. evt. følsomme detaljer om dine kunder, deres brugernavn og adgangskoder til din platforme, sammen med deres personlige oplysninger. Derudover sendes også dine adgangskoder til WordPress i klartekst, så hackere omkring dig, vil kunne komme ind i din WordPress admin.

Nedenfor ses en illustration, der viser, hvad en eventuel hacker vil kunne se, hvis paypal.com besøges med hhv. en sikker forbindelse og en usikker forbindelse.

Løsning

Få et SSL certifikat. Et SSL certifikat beskytter ikke alene din hjemmeside bedre mod hacking, det beskytter også dine kunder mod at få opsnappet data og hacket deres brugerkontis. Et SSL certifikat er en klar forbedring af sikkerheden i WordPress.

Et SSL certifikat bekræfter, at kommunikationen mellem brugeren og serveren er krypteret, så ingen udefrakommende kan se trafikken, og opsnappe eventuelle følsomme data.
Det betyder for jeres brugere, at de ikke skal være bekymret for at overføre deres personlige data til jer. Dette vil brugeren kunne orientere sig om i browserens adressebar som vist i eksemplet nedenfor.

 

Opsætning af SSL

Det første du skal gøre, er at tjekke med din hosting udbyder om de understøtter SSL certifikater. Det gør de fleste udbydere heldigvis, og nogle tilbyder det endda som gratis løsning inklusiv certifikat.

Hvis din udbyder ikke understøtter SSL certifikat, er der desværre ikke så meget at gøre. Jeg vil personligt anbefale at komme væk fra den givende udbyder, for hvis de ikke er opdateret til SSL, hvor de ellers ikke opdateret..? Hos w-produktion tilbyder vi mulighed for SSL certifkat, og opsætning af certifikatet på din WordPress installation.

Hvis din udbyder understøtter SSL certifikat, men du selv skal købe certifikatet, vil jeg anbefale at købe et RapidSSL. Vi har god erfaring med understøttelse på de fleste devices med RapidSSL. Vi køber dem på cheapsslsecurity.com, hvor de findes til en pris fra ca. 100 kr.

I forbindelse med køb af et SSL certifikat, vil du støde ind i følgende begreber:


CSR (certificate request)
CSR er en kodestrimmel der bekræfter din virksomheds domæne, navn, og land. Denne kode oprettes af serveren, hvor dit domæne er hostet. Du finder typisk CSR oplysningerne under et menu punkt der hedder SSL ved din hosting udbyder

En CSR kodelinje ser ud som nedstående eksempel, blot med en masse kode i midten.

[snippet id=”64″]

CRT (approved certificate)
CRT er dit certifikat, der er oprettet på baggrund af den indsendte CSR kode. Den bekræfter den sikre forbindelse mellem klient og server. Denne kode bliver typisk sendt til dig på mail, og har samme syntaks som CSR filen. Du skal typisk uploade denne til din hosting løsning, under samme menu punkt, hvor du fandt CSR filen
Intermediate certificate
Du får yderligere typisk et intermediate certifikat med, som er roden af dit certifikat. Jeg vil ikke komme længere end på det tekninske. Intermediate certifikat, skal uploades til din hosting løsning på samme måde som CRT certifikatet

Opsætning af https i WordPress

Den nemme vej

Hvis du ikke er så inde i det bagvedliggende kode i WordPress, og ikke ved hvad en .htaccess fil er, findes der heldigvis en nem måde at opsætte dit WordPress site. Du kan hente plugin’et Really Simple SSL, som varetager de samme indstillinger, som jeg gennemgår herunder.

Plugin’et er meget nemt at sætte op, og kræver ikke meget viden om WordPress. Jeg vil stadig anbefale dem der ved lidt mere om WordPress, at ændre indstillingerne manuelt, da du på den måde har mere styr på opsætningen, og nemmere kan fejlsøge, samt sikre at et nedbrud af plugin’et ikke skader siden.

Den manuelle vej

Når du har sat dit SSL certifikat korrekt op, er det tid til at få din WordPress installation til at bruge dit ny anskaffet certifikat.
For at bruge https protokollen på alle dine sider, skal du opdatere din URL. Det gøres under Indstillinger >> Generelt, her skal du opdatere følgende indstillinger:

 

Husk at ændre “dinside.dk” til dit domæne navn.

For at videresende http forespørgsler til https forespørgsler kræver det en videresendelsesregel i .htaccess filen, der ligger i roden af dit domæne når du tilgår med ftp

[snippet slug=ssl-send-videre lang=abap]

Husk at erstatte “dinside.dk” med dit eget domæne.

Check for fejl i opsætningen

Det er nu tid til at fejlsøge, det gælder både hvis du er gået den nemme vej, eller den manuelle vej.

Du skal sikre dig, at alle dine sider har den grønne hængelås. Hvis du får et udråbstegn eller et spørgsmålstegn hvor den grønne hængelås skal være, er der noget galt med din opsætning. Det kan skyldes elementer der stadig hentes over http protokollen. Hvis du bruger Chrome, kan du nemt få et overblik over problemet, hvis du højre klikker et sted på din side, og tilgår “Undersøg” og går til fanen “security”

 

Tryk på knappen “View x request in Network Panel”, du bliver nu dirigeret til “Network” fanen. Hvis fanen er tom, så genindlæs siden. Her vil du blive mødt med de elementer, der ikke indlæses over https

 

Her er det 4 billeder, der istedet for at blive hentet med https, bliver hentet usikkert over http. Hvis det er billeder du selv har tilføjet, så prøv at redigere siden og tilføj dem igen. Hvis det er et logo eller andet du ikke selv har tilføjet, så prøv i dine tema indstillinger, og sikre at der står https foran alle adresser der er angivet.

Når du har rettet alle fejlene, har du nu en hjemmeside med krypteret forbindelse.

5. Bekæmp spam kommentar

Spam kommentar er i sig selv ikke farlige, men det kan skade din website omdømme, hvis du ikke gør noget ved det.

Løsning

Heldigvis findes der et effektivt gratis værktøj til at bekæmpe spam. Det er et plugin kaldet Akismet, og er som standart installeret med WordPress, så det eneste du skal gøre, er at sætte det op.
Gå til Indstillinger >> Akismet.
Her bliver du mødt af en simpel oversigt over funktionerne. Det vigtige her, er at du skal bruge en API-nøgle. For at få den, skal du oprette dig som bruger på Akismet.com, herefter vil du få adgang til API nøglen. API nøglen skal du kopiere fra Akismet hjemmeside over i feltet i indstillinger og tryk gem. På den måde er du allerede godt på vej til at bekæmpe spam på din side.

6. Begræns antal login forsøg

Et tiltag der er yderst effektivt overfor systematisk hackerangreb, er en begrænsning af loginforsøg. Det er derved ikke muligt bare at skyde en masse gæt efter din adgangskode. Det forøger din WordPress sikkerhed betragteligt.

Løsning

Der findes et godt plugin, der kan klare lige præcis denne opgave, den hedder: “WP Limit Login Attempts“. Aktiver plugin’et og følg den nemme opsætning.

Afrunding af WordPress sikkerhed

Hvis du har fulgt denne guide, er du allerede langt med at forøge WordPress sikkerhed på din hjemmeside. Jeg vil anbefale alle, at tage sikkerheden meget seriøst, da automatiske hacker robotter bliver mere og mere udbredt.

Vi hos w-produktion oplever flere og flere hjemmesider der er blevet hacket. Det betyder dog ikke at WordPress brugerne er blevet bedre til sikkerhed tværtimod. Vi oplever flere og flere ikke opdateret sider, med dårlig WordPress sikkerhed integreret.

Hvis du har spørgsmål til guiden eller generelle kommentar, hører vi gerne fra dig i kommentarfeltet herunder. 🙂

Hvad er WordPress?


Hvad er WordPress? Det hører vi tit hos SearchPilots, og vi kan godt forstå forvirringen. For WordPress startede oprindeligt som et nemt system til bloggere, men har spredt sig til både webshops og store unikke websites løsninger. Den store udbredelse bunder i systemet utrolig nemme interface, som de fleste med lidt kendskab til Windows/Mac/Office kan håndtere.


1. Indholdsstyring

WordPress er et indholdsstyring system, eller som det i branchen kaldes; et CMS.

WordPress kan i grove træk sammenlignes med et styresystem som Windows/Mac. WordPress giver dig en simpel brugerflade, som er nem at navigere rundt i. Når WordPress er sat op skal du blot koncentrere dig om at skrive indlæg, oprette produkter eller oprette simple ændringer.

Vi anbefaler WordPress til de fleste af vores kunder, som et simpelt system at starte næsten alle projekter på.

2. Hvem bruger WordPress?

Vi har erfaring med, at både store og små nyhedsbureauer, webshop, virksomheds-profiler og bloggere bruger WordPress. Godt 27% af verdenens websites anvender WordPress, og vi ser en tendens til at det tal kun vil stige. Så du er altså ikke alene, hvis dit valg falder på WordPress.

3. Fordele og ulemper ved WordPress?

Hvad er fordelen ved brugen af WordPress, jeg har ridset nogle enkelte fordele op herunder, men listen strejker sig meget længere.

3.1 Fordele

  • Nem brugerflade de fleste kan benytte.
  • Tusindevis af temaer lige til at installere.
  • Tusindevis af plugins, for at give dit website den funktionalitet du ønsker, uden at skulle kode noget.
  • Opret og driv en webshop.
  • Kræver som udgangspunkt ingen viden om kode, men basal viden vil hjælpe.
  • WordPress er helt gratis.

Men er der så overhovedet nogen ulemper ved WordPress? Det hurtige svar må være ja! Vi ser desværre mange WordPress site der er opsat uhensigtsmæssig, og er stoppet med så mange plugins, at de tager evig tid at indlæse. Jeg vil i samme stil som før herunder liste enkelte ulemper op. Ulemperne i WordPress hænger som oftest sammen med dårlig opsætning. For hvis først WordPress er blevet opsat korrekt, er der nærmest ingen ulemper. Hvis du ønsker hjælp til opsætning kan du kontakte os her.

3.2 Ulemper

  • Kan hurtig blive en langsom løsning.
  • SEO, WordPress sørger ikke automatisk for en god SEO opsætning, der skal en del opsætning til, men så kan den til gengæld også blive rigtig god.
  • Webshop er ikke som standart indbygget i WordPress, det kræver et plugin som eksempelvis WooCommerce.
  • Unikke løsninger kræver viden om kodning i Javascript, CSS, HTML og PHP.
  • Mange plugins og temaer koster penge.

4. Hvordan kommer jeg igang med WordPress?

WordPress er helt gratis og kan downloades på wordpress.org. WordPress kræver at du har en hosting løsning, hvor du kan uploade installationen. De fleste hosting udbydere tilbyde at du kan installere WordPress med et enkelt klik.

5. Opsummering

WordPress er den allround løsning der kan tilfredsstille de fleste behov, for nemt at sætte en website op. Hvis du efter denne guide har fået mod på at sætte WordPress op, kan du kontakte os, så kan vi klagøre hosting og installationen for dig. Hvis du gerne vil have alt opsætningen klaret, så systemer er klar til du selv kan styre din blog, hjemmeside eller webshop klarer vi også det.

Jeg håber du med den information om WordPress, er blevet klogere på hvad WordPress kan tilbyde samt fordele og ulemper.

Hvis du har yderligere spørgsmål, skal du være velkommen til at skrive en kommentar, så svarer vi 🙂