Att lansera din egen WordPress- webbplats nuförtiden är ganska enkelt. Tyvärr tar det inte lång tid för hackare att börja rikta in sig på din webbplats.

Det bästa sättet att göra en WordPress- webbplats säker är att förstå varje sårbarhet som kommer från att driva en WordPress- webbplats. Installera sedan lämplig säkerhet för att blockera hackare på var och en av dessa punkter.

I den här artikeln kommer du att lära dig hur du bättre säkrar din domän, din WordPress - inloggning och de verktyg och plugins som finns tillgängliga för att säkra din WordPress- webbplats.

Skapa en privat domän

Det är alltför lätt nu för tiden att hitta en tillgänglig domän^{(find an available domain)} och köpa den till ett mycket billigt pris. De flesta köper aldrig några domäntillägg för sin domän. Ett tillägg som du alltid bör tänka på är integritetsskydd^{(Privacy Protection)} .

Det finns tre grundläggande nivåer av integritetsskydd med GoDaddy , men dessa matchar också erbjudanden från de flesta domänleverantörer.

Grundläggande^(Basic) : Dölj ditt namn och din kontaktinformation från WHOIS- katalogen. Detta är endast tillgängligt om din regering tillåter dig att dölja domänens kontaktinformation.
Fullständig^(Full) : Ersätt din egen information med en alternativ e-postadress och kontaktinformation för att dölja din faktiska identitet.
Ultimate : Ytterligare säkerhet som blockerar skadlig domänskanning och inkluderar webbplatssäkerhetsövervakning för din faktiska webbplats.

Vanligtvis kräver att uppgradera din domän till en av dessa säkerhetsnivåer bara att du väljer att uppgradera från en rullgardinsmeny på din domänsida.

Grundläggande^(Basic) domänskydd är ganska billigt (vanligtvis runt $9,99/år), och högre säkerhetsnivåer är inte mycket dyrare.

Det här är ett utmärkt sätt att stoppa spammare från att skrapa bort din kontaktinformation från WHOIS- databasen, eller andra med uppsåt som vill få tillgång till din kontaktinformation.

Dölj^(Hide) filerna wp-config.php och .htaccess

När du först installerar WordPress^{(install WordPress)} måste du inkludera det administrativa ID och lösenord för din WordPress SQL -databas i filen wp-config.php.

Den informationen krypteras efter installationen, men du vill också blockera hackare från att kunna redigera den här filen och bryta din webbplats. För att göra detta, hitta och redigera .htaccess-filen i rotmappen på din webbplats och lägg till följande kod längst ned i filen.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

För att förhindra ändringar av själva .htaccess, lägg till följande längst ner i filen också.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Spara filen och avsluta filredigeraren.

Du kan också överväga att högerklicka på varje fil och ändra behörigheterna för att ta bort skrivåtkomst^(Write) helt för alla.

Även om du gör detta på filen wp-config.php borde det inte orsaka några problem, om du gör det på .htaccess kan det orsaka problem. Speciellt om du kör några WordPress- plugins för säkerhet som kan behöva redigera .htaccess-filen åt dig.

Om du får några fel från WordPress kan du alltid uppdatera behörigheterna för att tillåta skrivåtkomst^(Write) på .htaccess-filen igen.

Ändra din WordPress-inloggningsadress

Eftersom standardinloggningssidan för varje WordPress -webbplats är yourdomain/wp-admin.php, kommer hackare att använda denna URL för att försöka hacka sig in på din webbplats.

De kommer att göra detta genom så kallade "brute force"-attacker där de skickar varianter av typiska användarnamn och lösenord som många ofta använder. Hackare hoppas att de ska ha tur och landa rätt kombination.

Du kan stoppa dessa attacker helt och hållet genom att ändra din WordPress-inloggningsadress^{(WordPress login URL)} till något icke-standardiserat.

Det finns massor av WordPress- plugins som hjälper dig att göra detta. En av de vanligaste är WPS Hide Login .

Detta plugin lägger till ett avsnitt på fliken Allmänt under ^(General)Inställningar^(Settings) i WordPress.

Där kan du skriva in vilken inloggnings- URL du vill och välja Spara ändringar^{(Save Changes)} för att aktivera den. Nästa gång du vill logga in på din WordPress- webbplats, använd den här nya webbadressen^(URL) .

Om någon försöker komma åt din gamla wp-admin- URL kommer de att omdirigeras till din webbplats 404-sida.

Obs^(Note) : Om du använder ett cache-plugin, se till att lägga till din nya inloggnings- URL till listan över webbplatser som inte^(not) ska cachelagras. Se sedan till att rensa cachen innan du loggar in på din WordPress- webbplats igen.

Installera ett WordPress-säkerhetsplugin

Det finns många WordPress-säkerhetsplugins^{(WordPress security plugins)} att välja mellan. Av alla är Wordfence den mest nedladdade, av goda skäl.

Den kostnadsfria versionen av Wordfence inkluderar en kraftfull skanningsmotor som letar efter bakdörrshot, skadlig kod i dina plugins^{(malicious code in your plugins)} eller på din webbplats, MySQL- injektionshot och mer. Den innehåller också en brandvägg för att blockera aktiva hot som DDOS- attacker.

Det låter dig också stoppa brute force-attacker genom att begränsa inloggningsförsök och låsa ut användare som gör för många felaktiga inloggningsförsök.

Det finns en hel del inställningar tillgängliga i gratisversionen. Mer än tillräckligt för att skydda små till medelstora webbplatser från de flesta attacker.

Det finns också en användbar instrumentpanelsida som du kan granska för att övervaka senaste hot och attacker som har blockerats.

Använd WordPress Password Generator och 2FA

Det sista du vill är att hackare enkelt ska kunna gissa ditt lösenord. Tyvärr använder alltför många väldigt enkla lösenord som är lätta att gissa. Några exempel inkluderar att använda webbplatsens namn eller användarens eget namn som en del av lösenordet, eller att inte använda några specialtecken.

Om du har uppgraderat till den senaste versionen av WordPress har du tillgång till kraftfulla lösenordssäkerhetsverktyg för att säkra din WordPress- webbplats.

Det första steget för att förbättra din lösenordssäkerhet är att gå till varje användare för din webbplats, scrolla ner till avsnittet Kontohantering^{(Account Management)} och välj knappen Skapa lösenord .^{(Generate Password)}

Detta kommer att generera ett långt, mycket säkert lösenord som innehåller bokstäver, siffror och specialtecken. Spara detta lösenord på ett säkert ställe, helst i ett dokument på en extern enhet som du kan koppla från din dator medan du är online.

Välj Logga ut överallt^{(Log Out Everywhere Else)} för att se till att alla aktiva sessioner är stängda.

Slutligen, om du har installerat Wordfence säkerhetsplugin, ser du knappen Aktivera 2FA^{(Activate 2FA)} . Välj detta för att aktivera tvåfaktorsautentisering för dina användarinloggningar.

Om du inte använder Wordfence måste du installera någon av dessa populära 2FA-plugin.

Google Authenticator
Tvåfaktorsautentisering^{(Two Factor Authentication)}
Rublon tvåfaktorsautentisering^{(Rublon Two-Factor Authentication)}
Duo tvåfaktorsautentisering^{(Duo Two-Factor Authentication)}

Andra viktiga säkerhetsöverväganden^{(Important Security Considerations)}

Det finns några fler saker du kan göra för att helt säkra din WordPress- webbplats.

Både WordPress-plugins och själva versionen av WordPress bör alltid uppdateras. Hackare försöker ofta utnyttja sårbarheter i äldre versioner av kod på din webbplats. Om du inte uppdaterar båda dessa, riskerar du att lämna din webbplats.

1. Välj regelbundet Plugins och Installed Plugins i din WordPress adminpanel. Granska^(Review) alla plugins för en status som säger att en ny version är tillgänglig.

När du ser en som är inaktuell väljer du uppdatera nu^{(update now)} . Du kan också överväga att välja Aktivera automatiska uppdateringar för dina plugins.

Vissa människor är dock försiktiga med att göra detta eftersom pluginuppdateringar ibland kan bryta din webbplats eller ditt tema. Så det är alltid en bra idé att testa pluginuppdateringar på en lokal WordPress-testwebbplats^{(local WordPress test site)} innan du aktiverar dem på din livesajt.

2. När du loggar in på din WordPress- instrumentpanel kommer du att se ett meddelande om att WordPress är inaktuellt om du kör en äldre version.

Återigen, säkerhetskopiera webbplatsen och ladda den till en lokal testsida på din egen dator för att testa att WordPress - uppdateringen inte bryter din webbplats innan du uppdaterar den på din livewebbplats.

3. Dra nytta av ditt webbhotells kostnadsfria säkerhetsfunktioner. De flesta webbhotell erbjuder en mängd gratis säkerhetstjänster för de webbplatser du är värd för där. De gör detta eftersom det inte bara skyddar din webbplats, utan det håller hela servern säker. Detta är särskilt viktigt när du har ett delat värdkonto där andra klienter har webbplatser på samma server.

Dessa inkluderar ofta gratis SSL-säkerhetsinstallationer^{(free SSL security)} för din webbplats, gratis säkerhetskopior^{(free backups)} , möjligheten att blockera skadliga IP-adresser och till och med en gratis webbplatsskanner som regelbundet skannar din webbplats efter skadlig kod eller sårbarheter.

Att driva en webbplats är aldrig så enkelt som att installera WordPress och bara lägga upp innehåll. Det är viktigt att göra din WordPress - webbplats så säker som möjligt. Alla ovanstående tips kan hjälpa dig att göra det utan alltför mycket ansträngning.

How to Make a WordPress Site Secure

Launching your own WordPrеss site these days is prеtty easy. Unfortunаtely, it won’t take long for hackers to start targetіng your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file.

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks.

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site.

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins.

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Kurt Bergström

About the author

Jag är en datorexpert med över 10 års erfarenhet inom mjukvaru- och webbläsarindustrin. Jag har designat, byggt och hanterat hela installationer av mjukvaruprogram, samt utvecklat och underhållit webbläsare. Min erfarenhet ger mig förmågan att ge tydliga, koncisa förklaringar av komplicerade ämnen – oavsett om det är hur Microsoft Office fungerar eller hur man får ut det mesta av Mozilla Firefox. Utöver mina datorkunskaper är jag också en skicklig skribent och kan kommunicera effektivt online och personligen.

Hur man gör en WordPress-webbplats säker

Skapa en privat domän

Dölj^(Hide) filerna wp-config.php och .htaccess

Ändra din WordPress-inloggningsadress

Installera ett WordPress-säkerhetsplugin

Använd WordPress Password Generator och 2FA

Andra viktiga säkerhetsöverväganden^{(Important Security Considerations)}

How to Make a WordPress Site Secure

Create a Private Domain

Hide wp-config.php and .htaccess Files

Change Your WordPress Login URL

Install a WordPress Security Plugin

Use the WordPress Password Generator and 2FA

Other Important Security Considerations

Kurt Bergström

About the author

Related posts

3 sätt att komma på det säkraste lösenordet

Är din meddelandeapp verkligen säker?

3 sätt att ta ett foto eller en video på en Chromebook

Hur man upptäcker dator- och e-postövervaknings- eller spionprogram

Plattskärmsteknik avmystifierad: TN, IPS, VA, OLED och mer

Hur man tystar någon på Discord

Hur man castar till Roku TV från PC eller mobil

Startar din dator slumpmässigt av sig själv?

DVI vs HDMI vs DisplayPort - Vad du behöver veta

Hur man åtgärdar ett Steam "Pending Transaction"-fel

Hur man hittar minnen på Facebook

Hur man använder VLOOKUP i Google Sheets

Hur man ändrar språket på Netflix

Kan du inte schemalägga en Uber i förväg? Här är vad du ska göra

Hur man använder Discord-spoilertaggar

Hur man hittar de bästa Discord-servrarna

Kan du ändra ditt Twitch-namn? Ja, men var försiktig

7 snabba lösningar när Minecraft fortsätter att krascha

Så här delar du skärmen på en Chromebook

Hur man infogar Emoji i Word, Google Docs och Outlook

Hur man gör en WordPress-webbplats säker

Skapa en privat domän

Dölj(Hide) filerna wp-config.php och .htaccess

Ändra din WordPress-inloggningsadress

Installera ett WordPress-säkerhetsplugin

Använd WordPress Password Generator och 2FA

Andra viktiga säkerhetsöverväganden(Important Security Considerations)

How to Make a WordPress Site Secure

Create a Private Domain

Hide wp-config.php and .htaccess Files

Change Your WordPress Login URL

Install a WordPress Security Plugin

Use the WordPress Password Generator and 2FA

Other Important Security Considerations

Kurt Bergström

About the author

Related posts

3 sätt att komma på det säkraste lösenordet

Är din meddelandeapp verkligen säker?

3 sätt att ta ett foto eller en video på en Chromebook

Hur man upptäcker dator- och e-postövervaknings- eller spionprogram

Plattskärmsteknik avmystifierad: TN, IPS, VA, OLED och mer

Hur man tystar någon på Discord

Hur man castar till Roku TV från PC eller mobil

Startar din dator slumpmässigt av sig själv?

DVI vs HDMI vs DisplayPort - Vad du behöver veta

Hur man åtgärdar ett Steam "Pending Transaction"-fel

Hur man hittar minnen på Facebook

Hur man använder VLOOKUP i Google Sheets

Hur man ändrar språket på Netflix

Kan du inte schemalägga en Uber i förväg? Här är vad du ska göra

Hur man använder Discord-spoilertaggar

Hur man hittar de bästa Discord-servrarna

Kan du ändra ditt Twitch-namn? Ja, men var försiktig

7 snabba lösningar när Minecraft fortsätter att krascha

Så här delar du skärmen på en Chromebook

Hur man infogar Emoji i Word, Google Docs och Outlook

Dölj^(Hide) filerna wp-config.php och .htaccess

Andra viktiga säkerhetsöverväganden^{(Important Security Considerations)}