Når du har laget dit oppsett av nettside er det lett å glemme sikkerhet, som er et tema under stadig endring. I dette innlegget skal vi peke på hvorfor det er svært viktig å ha sikkerheten på plass på sin nettside, og gi noen gode tips og råd til hvordan man kan implementere dette selv på sin egen WordPress-nettside.
Å sikre sin egen WordPress-nettside er faktisk lettere enn mange tror. Ved å bare sette av et par timer, kan man drastisk forbedre sikkerheten på sin nettside.
Det er viktig å ikke ta lett på nettside-sikkerheten
Mange som eier en egen nettside tar dessverre ofte lett på nettside-sikkerheten. Dette kan ofte få svært store og uante konsekvenser. Slike konsekvenser kan være at hackere får tilgang på sensitive data om kunder, eller at du mister alt innholdet ditt enten gjennom et angrep eller ved å være uheldig.
Et hackerangrep og tap av kunders sensitive data kan risikere i et stort omdømmetap, og at kunder slutter å ta bedriften din seriøst. I noen tilfeller, kan man også risikere å bli bøtelagt eller oppleve å bli straffet av statlige instanser, ettersom det faktisk kan være lovstridig og ikke behandle sensitive data om privatpersoner på en sikker og fornuftig måte.
Dersom du lurer på hva som skal til for å ha en sikker nettside, og hvilke konkrete tiltak du kan gjøre selv, så bør du lese avsnittene nedenfor.
Hva skal til for å ha en sikker nettside?
Å ha en sikker nettside er faktisk ikke så vanskelig, og det er relativt få krav som må oppfylles. De kravene som vi synes er spesielt viktige, og relativt enkle å oppfylle på egenhånd, er nevnt i dette avsnittet.
Trygg håndtering av sensitive data
Som et selskap og en aktør i økonomien, så er det svært viktig å opprettholde tilliten fra kundene. At kunder opplever å få sine sensitive data lekket grunnet et dataangrep, er et alvorlig tillitsbrudd som kan skade bedriftens relasjoner.
For å ivareta tilliten på en best mulig måte, og ikke minst påse at både egne bedrift-sensitive og ikke minst at kundens sensitive data ivaretas og holdes trygt, så er det viktig å ha gode rutiner på håndtering og lagring av sensitive data.
Tofaktor-autentisering
Tofaktor-autentisering er svært lett å implementere, og kan mangfoldige ganger øke sikkerheten til nettsiden. Med tofaktor-autentisering mener vi primært her at administrator-brukeren og andre brukere med rettigheter på siden, har tofaktor-autentisering.
Du kan også tilby dette til kunder, men det er ofte ikke lurt å påtvinge kundene denne innlogginsmuligheten, ved mindre du driver en bank eller håndtering av verdier som kan gå tapt hvis en kunde opplever å bli hacket.
Med tofaktor-autentisering, så må en potensiell hacker i tillegg til å vite ditt passord og brukernavn, også ha kontroll over mobiltelefon, epost-adresse eller lignende. Dette gjør det mye vanskeligere å hacke seg inn på din konto, noe som igjen gjør at blir vanskeligere for utenforstående å misbruke administratorkontoen.
Automatisk sikkerhetskopiering
Til tross for at man er svært forsiktig og gjør alt rett, så kan man aldri sikre seg helt mot ulykker og uforutsette hendelser. Nettopp derfor, er det svært viktig å være forberedt på at ting ikke alltid går som man ønsker. For å være best mulig forberedt er det lurt å ha automatisk sikkerhetskopiering av sin nettside.
Med en automatisk sikkerhetskopiering, så tas det automatisk kopier av nettsiden som lagres på en ekstern harddisk eller cloud-tjeneste som Onedrive, Google Drive, Mega, Dropbox eller lignende. Dersom uhellet skulle være ute, og kanskje serveren er blitt ødelagt, eller at du har opplevd et skadende hackerangrep, så kan du når som helst bare bruke den siste sikkerhetskopien for å få nettsiden tilbake slik den var når du tok kopien.
TLS/ SSL
SSL, secure socket eller TLS, Transport Layer Security som er mest brukt i dag, er en sikkerhetsprotokoll som gjør at trafikken krypteres når den sendes fra serveren og frem til klienten. Dette bidrar til at utenforstående ikke kan lese av sensitive data mens det sendes fra server til klient, og tilbake.
Anti DDOS
DDOS-angrep, eller tjenestenektangrep skjer når det sendes svært mange forespørsler til en server fra en angriper, med det formål å gjøre så serveren blir overarbeidet, og at nettsiden blir utilgjengelige. Slike angrep kan ofte forhindres relativt lett.
Slik gjør du det selv på din egen WordPress-nettside
Det er som regel svært lett å iverksette lette sikkerhetstiltak som har forholdsvis stor positiv påvirkning på nettside-sikkerheten. Følg disse trinnene for å gjøre din egen wordpress-nettside tryggere.
Slik sikrer du sensitive data
Den enkleste måten å sikre sensitive data på, er å ikke innsamle data som ikke strengt tatt er nødvendige. Ved å benytte seg av eksterne betalingsløsninger som Vipps, eller Klarna, fremfor å benytte en egen løsning, så slipper man å måtte håndtere kredittkortinformasjon og lignende.
Videre, så sikrer man annen sensitiv data om kunder og besøkende på nettsiden ved å ha en sikker tofaktor-autentisering for administrator-kontoer, og ikke minst ved å ha lange og avanserte passord for mysql-server og server. Det er også viktig å sørge for at webhotellet har et eget privat nettverk som ikke deles med andre, ettersom at dette kan gjøre det lettere for utenforstående å hacke seg inn eller å lese av data fra serveren som driver nettsiden.
Aktiver tofaktor-autentisering
Tofaktor-autentisering er lett å aktivere på WordPress. Wordfence er en gratis plugin som blant annet hjelper til mot DDOS-angrep, spam, hacking og en rekke andre sikkerhetstrusler. Wordfence har også en god tofaktor-autentiseringsfunksjonalitet som kan aktiveres på ønskede brukere.
Automatiske sikkerhetskopier med plugin
Updraft er en flott plugin til WordPress, som finnes i både gratis-versjon og premium. Med updraft kan man lett aktivere automatiske sikkerhetskopier som tas ved ønskede intervaller. Man kan også gjøre så sikkerhetskopiene automatisk lagres i Google drive, Onedrive, Dropbox, FTP-server eller i deres egen skylagrings-plattform.
Pluginene er lett å ta i bruk, og det finnes mye informasjon om hvordan man kommer i gang og setter opp alt riktig på YouTube og på deres egne nettsider.
TLS/ SSL
TLS kan være litt vanskeligere å gjøre på egenhånd, og man trenger ofte hjelp fra webhosting-tjenesten. Heldigvis, så finnes det en rekke webhoster i Norge som tilbyr dette helt gratis, og setter alt opp raskt, gratis og automatisk. Blant annet host1.no og domene.shop tilbyr TLS gratis. Ta kontakt med din webmaster eller webhotell, så kan de hjelpe deg med dette.
Hold siden oppdatert!
WordPress er i utgangspunktet en av de tryggeste publiseringssystemene og rammeverkene man kan benytte for å drive sin egen nettside. Dette forutsetter dog at alt er oppdatert. Dersom det blir funnet et sikkerhetshull, så er WordPress og plugin-utviklere raske med å komme med plugins som tetter sikkerhetshullene, og da er det viktig å oppdatere siden/ pluginene raskt etter at oppdateringen er kommet ut.
Wordfence hjelper blant annet til med å påminne deg om eventuelle plugins/ programvare som er utdatert.
