Hur säkert är Wordpress?
Vad är det som hackas?
75% är via WordPress-plugins
14% är via kärnan av WordPress-systemet
11% är via WordPress-teman
Strukturen för Wordpress är lika tilltalande som den är riskfylld. Den positiva sidan är att det finns mängder av utvecklare runt om i världen som bidrar och utvecklar systemet. Men detta är också en stor nackdel för att få ett långsiktigt och driftsäkert system. För när varje plugin utvecklas av en extern och ofta ganska okänd part finns det också en mängd säkerhetsrisker och driftproblem. För varje gång du installerar ett externt plugin eller tema tar du in extern kod i din hemsida där någon annan garanterar säkerheten och den långsiktiga utvecklingen. Givetvis kan det kännas frestande när det ofta finns ett plugin som löser just det problem man upplever, t.ex. ett bildgalleri eller optimering av bilder. Men resultatet blir ofta att dessa separata aktörer slarvar med säkerheten eller den långsiktiga utvecklingen. Så därför kan det vara ”dumsnålt” att välja denna väg istället för att utveckla sin egen lösning inom ramen för CMS:et. Men varför blir Wordpress så ofta hackat? Nedan sammanställer vi några av de vanligaste anledningarna:
- Många externa plugin: Wordpress bygger på externa plugin där det kan vara svårt att bedöma hur bra säkerheten sköts. Om du har många externa plugin på din hemsida utsätter du dig för en större risk och då gäller det att du är extra noga med säkerhetsuppdateringar.
- Många installationer innebär stor exponering vilket är attraktivt för hackare. Om de lyckas komma in i någon av de mest vanligt förekommande pluginen får det enormt genomslag på väldigt många sidor.
- Svaga lösenord. Det gäller förvisso alla system, men kanske extra viktigt hos Wordpress då det med sin omfattning har så stor exponering mot hackare. Speciellt uppmärksam ska du vara om du har ”Admin” som användarnamn, då är det lättare för hackarna att bryta igenom ditt lösenord.
- Eftersatt uppdatering. Då Wordpress ofta består av många plugin och teman krävs det regelbunden uppdatering eftersom det relativt ofta uppdagas säkerhetsluckor. Detta gäller även kärnan av systemet.
- Oskyddad tillgång till Wordpress admin. Genom att inte skydda denna del av din Wordpressida ger du hackarna möjlighet att försöka tränga sig in här. Grunden är att lösenordsskydda denna del. Finns det flera användare av installationen bör du tvinga alla användare till svåra lösenord och gärna tvåstegsverifikation.
- Generell teknisk säkerhet. Det finns en rad tekniska åtgärder som kan förstärka säkerheten för din Wordpressida. Det kan handla om korrekt webbhosting, användning av SFTP/SSH istället för klassisk FTP och säker struktur för konfigureringsfilen wp-config.php.
Summering
Även om Wordpress har en rad fördelar finns det också många nackdelar när det kommer till säkerhet. Vi som webbyrå kan bara titta på de ”säkerhetscase” kunder kontaktar oss för, och där är Wordpress extremt överrepresenterat. Det finns även många fall där kunder råkat klicka på ”uppdateringsknappar” vilket sedan lett till att hela hemsidan slutat fungera. För visst kan även andra CMS bli hackade men få av dem har en lika känslig struktur som Wordpress. Så innan man väljer CMS bör man göra en analys kring hur affärskritisk ens hemsida är och om fördelarna väger upp nackdelarna med Wordpress. I vissa fall kan det vara så, i andra inte. Om du väl väljer Wordpress är det viktigt att du har en plan för detta och säkerställer de säkerhetsåtgärder som löpande måste följas upp.