Er Wordpress "trygt"?

[Dan Åsen Hansen]

Så ble en stor nettside her nede hacket (TV Lolland), og da den var basert på Wordpress, må jeg nesten stille noen spørsmål om sikkerheten rundt dette.

Selv kjører jeg Wordpress 3.3.1 med Arras Theme 1.5.1.2 pluss enkelte innstikk av ymse art, hvor jeg har valgt å holde meg til de mest brukte. Dette av to grunner, jeg håper og tror de vil videreutvikles også i fremtiden, og nettopp fordi jeg tror de vil oppdateres relativt raskt dersom det oppdages sikkerhetsbrister.

Men så er spørsmålet; hvor trygt er dette egentlig? Er dette en kombinasjon man kan kjøre "viktige" løsninger på? Selv prøver jeg å stable en liten nettavis på beina, og jeg ser for meg det ville være svært uheldig om denne gikk ned om et års tid. Eller enda verre, alle skrevne artikler forsvant ...

Mvh Dan

 

[Ole Avranden]

Nei WordPress er ikke sikkert. Det er det ingen CMS-systemer som er. Men det er ikke verre enn andre CMS-systemer lenger.

Så bruk WordPress, ta backup ofte og kjør på.

 

[Dan Åsen Hansen]

Hmm - kanskje en god ide. Noen forslag til hvordan man best gjør det?

Mvh Dan

 

[Dan Åsen Hansen]

... forutsetter man da kanskje må sikkerhetskopiere både nettsider (php-filene) og databasen?

 

[zapotek]

Det hjelper veldig å ikke ha brukernavn "admin" og passord "1234".
Det hjelper veldig å oppdatere til siste versjon av plugins og WP.
Det hjelper veldig å ta regelmessig backup.
Det hjelper veldig å ikke bruke alle verdens merksnodige plugins som er fulle av sikkerhetshull.

Desverre er det sånn at om de aller beste hackerne i verden virkelig går inn for å hacke deg, kan det godt hende de klarer det uansett.

 

[Dan Åsen Hansen]

Ja, har hørt at det kan være lurt å simpelthen slette "admin" og bare opprette brukere fortløpende med andre navn, initialer, etc. Og ja, bruker betraktelig "vanskeligere" passord enn "1234".

Bruker også siste oppdateringer av de få plugins og sånn jeg bruker. Prøver som sagt også å holde meg til de mest brukte som finnes "der ute".

Backup må jeg finne ut av - hva anbefales? Og hvorfor?

Ellers tror jeg neppe en liten lokal nettavis er det største "terrormålet" akkurat, men det finnes jo alltids noen lokale "helter" som vil demonstrere hva de kan for å hevde seg i kameratflokken. Sånn er det bare, dessverre ...

Mvh Dan

 

[Dag Frogner]

Bruk BackupBuddy til backup. Tar backup av filer og database på ett klikk. Kan ta regelmessig backup og f.eks sende dette på epost, Dropbox, FTP-server etc...

 

[Dan Åsen Hansen]

Så ikke dum ut den nei. Hvis man setter den opp til å sikkerhetskopiere automatisk, lagrer den da i "nummererte" filer? Tenker da på at hver sikkerhetskopi lagres spesielt for seg (kommer en ny hver gang). Slik at dersom noe skulle skje, kan man alltids gå tilbake og tilbakeføre fra en satt dato ...

Mvh Dan

 

[Dag Frogner]

Du kan velge hvor mange backuper som skal beholdes. Selv tar jeg vare på de tre siste i adminpanelet, og får alltid den nyeste på epost.

En annen ting som er genialt er at dersom siden din blir hacket f.eks, sletter du alt innholdet på serveren og i databasen, laster opp en php-fil og backupen også fikser programmet alt slik at det ser nøyaktig likt ut som sist du tok backup.

Du slipper altså å rote med å tilbakeføre alt manuelt.

Har testet det et par ganger og det fungerer veldig bra!

 

[Dan Åsen Hansen]

Høres veldig bra ut. Men hvis man blir hacket, da er det vel en viss fare for at det er en svakhet i systemet et sted. Hvordan unngår jeg at det skjer igjen? Hjelper vel lite å tilbakeføre en sikkerhetskopi, hvis det samme skjer igjen?

Tilbakeføre, og så skynde seg å endre passordene?

Mvh Dan

 

[TorsteinO]

Backupbuddy har jeg dessverre aldri blitt helt kompis med, har et par sider der den ikke vil funke ordentlig.

Her er to enkle løsninger som jeg og mange andre her har brukt i årevis, den ene tar backup av databasen, den andre av filer. Begge gjør dette tidsstyrt, så du ikke trenger å tenke mer på det når du først har satt det opp:

» Wordpress Backup tar backup av themefiler, plugins og uploads

WordPress › WP-DB-Backup « WordPress Plugins tar backup av databasen, og kan f.ex. maile den til deg (jeg får den sendt til en gmail-konto)

 

[TorsteinO]

Hvis man blir hacka er det vanligvis fordi man

1: har vært sløv med oppdateringer av wp eller plugins
2: man bruker en plugin (eller et theme) som ikke lenger blir oppdatert, og der det finnes et sikkerhetshull
3: noen har klart å lure seg til passordet ditt, til serveren eller noe liknende
4: Du har feil rettigheter på f.ex. wp-config, så du lar uvedkommende lese den. Samme problem har vel også vært kjent med themefiler

De eneste gangene jeg har vært borti wp-installasjoner som har blitt hacka, har de der vært grunnene.

Her er et søk med noen nyttige guider til "hvordan sikre wordpress":
https://www.google.com/search?q=har...s=org.mozilla:nb-NO:official&client=firefox-a

 

[Dan Åsen Hansen]

Ok, rent teoretisk holder det da å kjøre sikkerhetskopi av databasen, samt laste ned alle filene fra domenet med et ftp-program? Eller blir det bare tull, med tanke på rettigheter og sånn?

Ellers valgte jeg Wordpress for å ha noe å "vokse" med. Så vidt jeg forstår kommer ikke WP til å forsvinne med det første, men derimot kan jeg være litt i tvil angående themet jeg har valgt. Riktignok er Arrastheme ikke for noen "smågutt" å regne, men man vet jo aldri med disse gratisleverandørene. Dessuten har jeg planer om å gjøre visse endringer selv etterhvert, og hva da? Kan hele greia eventuelt flyttes til en annen plattform/cms?

Forhåpentligvis vil denne løsningen holde noen år før jeg må begynne å tenke annerledes, men hvis alt går som det skal, vil det jo skje på ett eller annet tidspunkt.

Takk for linken. Har allerede gjort enkle grep i så måte

Mvh Dan

 

[bjornfix]

Wordpress er blant de aller største aktørene innen CMS, og i likhet med Windows som er størst på operativsystemer, vil alltid de største aktørene bli angrepet mest. Dette har både gode og dårlige sider. Men, jeg tviler på at WP forsvinner med det første.

De WP-hackene vi har vært utsatt for, har nesten alltid vært vår egen feil. De har i hovedsak ikke hatt noe med WP å gjøre, men filsikkerhet på serverne våre. Har også hatt et tilfelle av en utro tjener som la inn en rekke backdoors i systemene før han fikk sparken.

Rådene over om å oppgradere ofte, og ta backup er viktige. Filsikkerhet er også avgjørende.

Etter min erfaring er WP noe av det tryggere du kan velge der ute - nettopp fordi de er så store og ofte utsettes for angrep. De er derfor veldig på hugget med å tette hull.

 

[Pong]

1. Ta en off-site backup, titt og ofte
2. Bruk en sikker tilkobling til servere, så heller ftps fremfor ftp
3. Begrens antallet plugins - de er av en annen sikkerhetsgrad enn core WP
4. Hold WP og pluginsene oppdatert til siste versjon
5. 777 er farlig
6. Unngå admin som bruker, unngå passord som inneholder ord
7. Bruk en annen prefiks enn wp_ for tabellene
8. Flytt wp-config til en annen plass
9. Ikke logg på WP fra shared datamaskiner

Det er også noen plugins som visstnok er bra for å tette sikkerheten; Bulletproof Security, Exploit Scanner, Theme Authenticity Scanner, Limit Login Attempts..
Jeg har ikke noe erfaring med disse. Kanskje noen andre her har?