WordPress sikkerhet og trygge nettsider

Sikkerheten er et forsømt område på norske nettsider.

Dette er en artikkel som du neppe fant i Google – rett og slett fordi du trolig ikke har lett etter temaet. Sikkerhet på nettsider er et underfokusert område i norsk næringsliv.

Om du er en av de få som faktisk har søkt etter WordPress sikkerhet eller trygge nettsider – så gratulerer, du har tatt et viktig steg.

Hvorfor er trygge nettsider viktig?

I en undersøkelse fra 2019, skriver Accenture at det har vært en økning på 67 % i sikkerhetsbrudd, de siste 5 årene. Web-baserte angrep har steget med 13 % fra 2018 – 20191.

Dette er ikke noe som Norge eller norske bedrifter er skånet for. Det rammer heller ikke nødvendigvis bare store nettsider, men også små og gjerne ubetydelige nettsider. Hackingen er ikke nødvendigvis målrettet, men utnytter svakheter for sabotasje.

1https://www.accenture.com/us-en/insights/security/cost-cybercrime-study

I dag begynner nettsider å bli verdifulle både til informasjon, salg og leads – en hacket nettside fører oftere til direkte tap. Løsningene for å hindre uønsket nedetid er ofte rimeligere enn reparasjonen.

Nettsideeiere investerer også mer i søkemotoroptimalisering. En side som da plutselig begynner å distribuere skadelig programvare vil raskt bli blokkert av Google – og må i verste fall bygges helt opp på nytt på, nytt domene.

Prisen for å sikre en nettside er liten i forhold til den mulige nedsiden.

Ifølge IBM tar det i snitt 280 dager før noen oppdager og løser problemet2. På den tiden kan ditt digitale ettermæle være ødelagt.

2https://www.ibm.com/security/data-breach

WordPress sikkerhet

WordPress er tidenes mest populære CMS og står i en egen klasse – mye på grunn av en høy brukervennlighet og lav terskel for å produsere egne nettsider. I følge Sucuri sine egne rapporter så er WordPress både mest brukt og følgelig mest utsatt.3

En stor andel av brudd skjer grunnet manglende oppdatering og vedlikehold.

Hackere fisker oftest med brede fiskegarn og utnytter kjente svakheter for et bredt angrep. Dette gjør at nettsiden din i seg selv trenger ikke å være målet. Utdaterte nettsider har dermed en tendens å bli utsatt.

Jevnt vedlikehold og sikkerhetsløsninger

Jevnt vedlikehold og sikkerhets-løsninger

Vi har tidligere skrevet 12 grunner til at du trenger en webmaster. Punkt #1 i den listen er nettopp sikkerhet.

Det å kjøpe en nettside er egentlig ganske likt det å kjøpe en firmabil. Du må regne med en investeringskostnad, servicer, forsikring og midler til drivstoff. På samme måte må du budsjettere inn driftskostnader til sikkerhetsløsninger og rutiner rundt vedlikehold av din nettside.

Det går også bedre om den som kjører har førerkort.

Sikkerhetsansvar og personvern

Med ny lovgivning og innføring av GDPR så har sikkerhet rundt persondata kommet mer i fokus. Norske reglement fra tiden før GDPR var gode på dette området. Forskjellen ligger i strengere håndheving og bøter.

Nettsider som lagrer persondata, herunder innsending av skjema og brukerdata har derfor også en forpliktelse til å ha rutiner på hvordan disse dataene beskyttes. Ved å jevnlig oppdatere sikkerheten vil du være i tråd med regelverket.

De største sikkerhetsfeilene vi gjør er:

Når det kommer til sikkerhet så er det en del feil som har blitt observert igjennom en lang karriere. Her skal jeg gå igjennom de mest vanlige:

1. Uerfarne produsenter.

Det er fristende å bruke selvlærte, eller finne ut av det selv. Det kan fort bli en dyr variant, selv om den er rimelig ut utgangspunktet.

For all del, så er det mulig å lære selv – men kanskje ikke på en nettside som er vesentlig for din inntekt. Vi har alle startet et sted – derfor bør sider hvor man tenker «selvgjort er velgjort» – gjerne være ikke-kritiske nettsider. Selv med over 20 års erfaring som webmaster benyttes fortsatt sandkasse-sider til «lek og moro» for egen læring.

2. Slapp brukerkontroll

Folk kommer, folk slutter. Standardpassord på tvers av mange sider. Dette er en av de største synderne vi møter i hverdagen. Bedrifter har i enkelte tilfeller ingen kontroll på domener, hvem som gjør hva, internettleverandører m.m. Det fører til at tidligere ansatte og andre utenforstående kan tilegne seg tilgang. Den enkleste måten å hacke en nettside på, er å kjenne passordet.

Selv om du har tidligere lojale ansatte, som selvsagt ikke ville utnyttet kunnskapen, så vil en ubetjent bruker muligens utgjøre en sikkerhetsrisiko, når gamle passord hackes.

3. Ingen vedlikehold

Av en eller annen grunn ser mange på sin nettside som en avisannonse, som lages og glemmes. Der ligger den fine nye nettsiden som en digital plakat.

Ingen har ansvar for, eller kompetanse til å drive vedlikehold. Sikre at ting er oppdatert. Passe på at javascript følger nye og sikrere standarder osv. Eldre utdatert kode eller plugins er en sikkerhetsrisiko.

4. Ingen sikkerhets-installasjoner.

Det er raskt, selv for nybegynnere å få en tilsynelatende fin nettside i WordPress, eller ved hjelp av andre visuelle editorer. Vi som ofte tar over slike prosjekt, ser at sikkerhetsinstallasjoner ikke benyttes.

Det finnes gratisløsninger som gir litt sikkerhet. Det i seg selv er bedre enn ingenting. Men vi anbefaler at besparelsene ikke går ut over sikkerhet. 100 – 400 dollar i året for å hindre tap av alt, reproduksjon og timevis med feilretting kan fort bli et kostbart regnestykke.

5. Utdaterte servere

Denne er heldigvis ikke så vanlig når du benytter etablerte og kjente leverandører. Men det finnes løsninger hvor ansvaret for oppdatering og vedlikehold er dyttet over på kunden. Vi ser av og til servere som kjører eldre versjoner av PHP eller har andre sårbarheter.  En god webmaster har kontroll på dette, uavhengig av serverleverandør. Og får man ikke den sikkerheten man ønsker, så bytter vi løsning for deg. 

Vi tilbyr også webhotell fra 399,- pr måned med pro sikkerhetsplugin installert.

6. Ingen backup

Vi følger en del «nerdeforum» på nett. Et vanlig spørsmål er: Det har skjedd en feil på siden min/siden min har blitt hacket. – Det første spørsmålet som kommer i retur er: «Har du tatt backup»?

Svaret er ofte – nei. Vi forventer av en eller annen grunn at nettsiden vår skal bare fungere – men de beste nettsidene fungerer godt av en grunn.

En god rutine for backup er alltid anbefalt. Selv tar jeg en backup nå, mens jeg skriver denne artikkelen. Bare sånn fordi, av og til er ironi noe som kan bite hardt.

Det finnes ingen sikkerhetsgaranti

Sikkerhetsløsninger er en katt og mus lek, hvor hackere ofte ligger et «hack» foran. Og flere kjente hackere uttaler at det ikke finnes gode sikkerhetssystemer om de vil inn et sted.

Sikkerheten er først og fremst mot de som fisker bredt og utnytter kjente sikkerhetshull for å spre ugagn eller skadelig programvare. Ut over det handler dette om å avskrekke, forsinke og som med boligalarmer – sørge for at det er enklere å gå til naboen.

Sikkerhet handler først og fremst om å gjøre hverdagen så krevende at man ikke blir et lett bytte i en «masseproduksjon»  og at om en skade skjer – så er den minimal.

Egon Olsen åpner en hvilken som helst safe, men gleden er kortvarig om den er tom.

 

Om du virkelig vil gå i dyben på WordPress sikkerhet, så kan du lese denne ultimate wordpress-sikkerhetsguiden. (engelsk – fra wpbeginner.com)

Våre WP-Webhotell installeres med Wordfence Pro. 

Til en verdi av $99 pr år – fordi vi bryr oss om din sikkerhet.

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn