46664660 na@drweb.no
Vi har byttet navn tilFjordweb Solutions AS

For å bedre sikkerheten på dine WordPress sider er ett av de mest vanlige tipsene i sikkerhetsartikler, å skjule versjonen av WordPress. Dette gjør også de fleste av WordPress sikkerhet plugins. Men gjør det at du skjuler versjonen av din WordPress deg virkelig beskyttelse mot hackerangrep? Eller er dette bare en sikkerhets «gimmick»? Svaret er nei.. I de aller fleste tilfeller vil det ikke beskytte dine WordPress sider fra angrep.

Denne WordPress sikkerhet artikkelen forklarer hvorfor det og skjule versjon av WordPress ikke beskytter deg mot automatiserte hackerangrep. De to mest vanlige og vellykkede måtene hackere har brukt og fortsatt bruker for å hacke seg inn i WordPress er:

Å utnytte en kjent sårbarhet på en gammel versjon av WordPress, plugin eller tema. Gjette på WordPress administrator (eller en annen konto) passord for å logge inn i WordPress.  Det er til dags dato tusenvis av kjente sårbarheter som har blitt rapportert om i eldre versjoner av WordPress, plugins og temaer.

For å utnytte disse kjente sårbarhetene og hacke seg inn på WordPress sider bruker de automatiserte verktøy for å skanne et stort antall nettsteder. Slike automatiserte verktøy bryr seg ikke om hvilken versjon av WordPress du bruker. De skanner nettsteder tilfeldig, og sjekker om målet er sårbare for ett bestemt angrep eller ikke. De nettsidene som er sårbare vil bli flagget ut og angrepet.

Det vil ikke hjelpe deg om du skjuler versjonen av din WordPress installasjon. Den beste måtene å beskytte din WordPress side på fra slike type angrep er: Kjør alltid den nyeste versjonen av WordPress, plugins og tema. Slett ubrukte/deaktivert plugins, temaer og andre filer som inneholder koding. Før du installerer en plugin eller tema, foreta en skikkelig bakgrunns sjekk for å sikre at det ikke er sårbart. Ett eksempel fra nyere tid er RevSlider, denne har over 45,000 salg på envato, i tillegg til at den er inkludert i veldig mange temaer. Les mer om RevSlider sårbarhetene her.

WordPress Brute Force angrep er den andre populære metoden hackere bruker. Under slike automatiserte angrep har de verktøy som skanner et stort antall nettsteder og sjekker om et nettsted har en /wp-admin/katalog (WordPress dashboard). Prøver og logge inn med de mest vanlige og brukte WordPress brukernavn og passord, som «admin» og «password». Som med den forrige metoden trenger ikke angriperne å sjekke WordPress nettsider spesifikt, de bare skanner tilfeldige sider.

For å beskytte din WordPress side mot brute force-angrep og andre lignende angrep bør du bruke sterke brukernavn og passord. Du bør aldri bruke standard WordPress kontoer som admin-brukernavn. Tips: Et sterkt passord bør bestå av minst åtte tegn, og bør ikke være ett ord som står i ordboken. Det bør inneholde en blanding av store og små bokstaver, tall og spesialtegn som,, -!?. Du kan også implementere to-faktor autentisering og/eller reCAPTCHA i WordPress for ekstra beskyttelse. Eller du kan beskytte din WordPress innloggingsside med HTTPS-godkjenning for å forbedre sikkerheten.

Så hvorfor er det så mange som anbefaler å skjule versjonen av WordPress? Ideen om å skjule hvilken versjon av programvaren du kjører stammer fra sikkerhetsbransjen. Fordi mange organisasjoner ikke kan alltid bruke den nyeste versjonen av webserveren, eller annen programvare på grunn av inkompatibilitet. Ved å skjule versjonen av webserveren reddet det dem fra hackerangrep. Spesielt tilbake i de dager da automatisert sikkerhetsverktøy, som også brukes for hacking ikke var så populært eller ikke kunne identifisere de fleste av sårbarhetene.

Konklusjon: Å skjule WordPress versjonen din hjelper ikke. Etter å ha sett på den siste tids angrep mot WordPress, kan man konkludere med at å skjule versjonen ikke forbedrer sikkerheten. For eksempel ved å bruke WPScan, en automatisert WordPress «black box scanner» kan man identifisere hvilke plugins, temaer og WordPress versjon som brukes. Så man kan like godt ikke bry seg om det, og heller se på andre mer nyttige måter for å forbedre sikkerheten i WordPress på.