Hvor bra er egentlig wordpress sikkerheten?

Dseller

Medlem
Ikke meningen å være frekk og ubehøvlet eller noe, men er egentlig WordPress en god nettbutikkløsning? Har sett flere oppslag i det siste om ondsinnede server-angrep spesiellt rettet mot WordPress. Bare lurer om det er noen som bruker det i Norge som har vært utsatt for dette, eller om det bare er blåst opp. Her er en av mange artikler om emnet i det siste fra NakedSecurity:

Dette fikk meg til å tenkte :eek:

Jeg har nå brukt ca 4-5 måneder på å sette opp en woocommerce butikk, Jeg har brukt veldig mye tid på få den "perfekt"
Jeg angrer nesten på at jeg valgte wordpress, nettopp pga sikkerheten (som jeg TROR er veldig dårlig)

1: Er wordpress mer utsatt for hacking enn f.eks magento, opencart, zencart osv..?

2: Er det mulig å flytte hele siden min til en tryggere platform?

3: Er det mulig å gjøre så man ikke ser at det er en Wordpress side?

4: Hvilke tiltak burde jeg gjøre for at siden min ikke skal bli hacket?

;)
 
Sist redigert av en moderator:

Dseller

Medlem
1: De mest brukte plattformene vil alltid være mest utsatt.
2: søk etter " export database from <gammel> to <ny>" evt "migrate"
4: Ikke bruk admin som brukernavn. Det hjelper litt.
Ikke ha mye plugins installert som du ikke bruker, det samme med themes.

Bruker ikke admin som brukernavn.

Jeg har også gjort at jeg må legge til ip adresse i .htaacess for at man skal få tilgang til /wp-admin og wp-login

men dette hjelper jo lite da man bare kan gå rett inn på siden og trykke logg inn (der kunder logger inn) om jeg skriver inn brukernavn og passord der så kommer jeg rett til admin panelet.....
 

Bjørnar

Gründer
Jeg har valgt å htaccess-beskytte wp-login.php (altså, selve filen)

Det har resultert i to ting:
  • Mindre serverlast
  • Ingen uønskede pålåggingsforsøk
 

Dseller

Medlem
Jeg har valgt å htaccess-beskytte wp-login.php (altså, selve filen)

Det har resultert i to ting:
  • Mindre serverlast
  • Ingen uønskede pålåggingsforsøk

Det hjelper lite for meg når man kan logge inn via selve siden :(

Er det noen måte å fikse dette på?

5d5KP.png
 

Bjørnar

Gründer
Det ligger noe JS som selve siden bruker, så å passordbeskytte hele wp-admin er ingen god ide, med mindre man lager unntaksregel for de aktuelle filene. Er en del poster om dette rundtforbi, ved litt søk.
 

Travellingman

Nettgrunder
Innstikket "limit login attempts" WordPress › Limit Login Attempts « WordPress Plugins hjelper også en del. Har ikke hatt problemer etter at denne ble lagt inn for en liten stund siden. De aller, aller fleste kommer seg jo tross alt inn vha brute-force.

Det hjelper en del og jeg bruker også dette innstikket på nesten alle sider. Men kommer det et kraftig angrep går det også ut over andre sider som ligger på samme server. Treghet osv...
 

Travellingman

Nettgrunder
Jeg har valgt å htaccess-beskytte wp-login.php (altså, selve filen)

Det har resultert i to ting:
  • Mindre serverlast
  • Ingen uønskede pålåggingsforsøk

Dette har jeg også nå innført på 2 av mine webhotell, kopierte denne filen til Host1 Securing your Wordpress installation - Host1 Documentation og genererte et passord her Htpasswd Generator - Create a htpasswd password

Har et webhotell til men det får jeg ta i morgen ;)

Men når man har htaccess beskyttet wp-login.php kan man da egentlig bare fjerne Limit Login innstikket?
 

Linux

New Member
Man må ikke ha et passord som: &KLur176#!gLKJL for at man skal lage et trykt passord.

En god regel er at man kan lage en setning slik som Jeg_Bor_I_Tromsø! Lettere også huske også. Dette er like sikkert som det over.
 
Topp