Du ved, at det er en ond verden derude med ondsindede aktører, der kun venter på at få deres beskidte hænder på dit WordPress-websted. Du ved også, at du sandsynligvis bør gøre “noget” for at holde dit WordPress-websted sikkert fra alle disse skurke.
Det, du måske ikke ved, er, hvad dette “noget” er.
Du skal ikke bekymre dig – sikring af dit WordPress-websted kræver ikke, at du er en programmeringsguru, som du ser i tv-shows. Men du vil have nogle WordPress-sikkerhedsplugins og værktøjer til at få arbejdet gjort.
Det er det, jeg vil dele med dig i dette indlæg.
Jeg vil dække otte af de bedste WordPress-sikkerhedsplugins og værktøjer, sammen med hvert værktøjs fordele og ulemper. Til sidst vil jeg så forsøge at hjælpe dig med at vælge det rigtige sæt værktøjer baseret på din egen unikke situation.
Men lad mig først starte med en hurtig advarsel…
- WordPress-sikkerhed handler ikke kun om plugins og værktøjer
- Et par vigtige sikkerhedstermer forklaret, før vi går i dybden
- MalCare
- Wordfence
- iThemes Security
- Sucuri
- Sucuri-plugin
- WebARX
- VaultPress (en del af Jetpack)
- Cloudflare
- Login No re
- Hvilket af disse WordPress-sikkerhedsplugins og værktøjer er det rigtige for dine behov?
WordPress-sikkerhed handler ikke kun om plugins og værktøjer
Alle sikkerhedsplugins og værktøjer på denne liste vil hjælpe dig med at gøre WordPress mere sikker. Men de fjerner ikke behovet for handling fra din side.
Tænk på dem lidt ligesom at bære en motorcykelhjelm. Selvfølgelig – motorcykelhjelme vil hjælpe dig med at beskytte dig i et styrt, men de er ikke et kørekort til at gå ud og køre hensynsløst.
Disse værktøjer er sådan. De giver dig noget tiltrængt beskyttelse, men du skal stadig køre sikkert, hvis du vil være sikker og tryg.
Så hvad er “sikker kørsel” i WordPress-verdenen? Jeg taler om virkelig enkle ting som f.eks:
- Prompt opdatering af din WordPress-software, plugins og temaer
- Brug en sikker adgangskode til din WordPress-administratorkonto og webhostingkonto
- Kun at bruge temaer og plugins fra velrenommerede udviklere/kilder
- Grundlæggende sikkerhedskopiering af dit websted regelmæssigt
Disse tips kan virke alt for simple, men alene ved at gøre disse fire ting vil du kunne beskytte dig mod de fleste WordPress-sikkerhedsproblemer.
For at beskytte dit websted mod alt andet kan du derefter bruge disse WordPress-sikkerhedsplugins og værktøjer.
Et par vigtige sikkerhedstermer forklaret, før vi går i dybden
Selv om disse plugins og værktøjer gør tingene ret enkle, omfatter WordPress-sikkerhed stadig en masse termer, som du måske ikke er bekendt med.
For at hjælpe dig med at forstå, hvad disse værktøjer faktisk gør, vil jeg gerne forklare nogle af de mest almindelige udtryk, som du vil se i resten af indlægget.
Først vil du se ordet firewall komme meget op (også kaldet WAF: web application firewall). For dit WordPress-websted sidder en firewall dybest set mellem dit websteds server og al indgående trafik. Fordi den indtager denne position, er den i stand til at inspicere og filtrere skadelige aktører fra, før de overhovedet når din server.
Alle firewalls er dog ikke lige gode. Og effektiviteten af den firewall, du vælger, afhænger af de regler og konfigurationer, som firewalludbyderen sætter på plads.
Et andet begreb er malware-scanning, som du sikkert er mere bekendt med. Ligesom du ville scanne din egen computer for virus og malware, kan mange af disse værktøjer scanne dit WordPress-websteds server for malware.
Slutteligt vil jeg kaste meget rundt med begrebet sikkerhedshærdning. Det er grundlæggende små tweaks, der, når de sættes sammen, hjælper med at gøre dit websted mere sikkert.
Med denne viden i hånden, lad os grave ind i plugins.
MalCare
MalCare er et WordPress-sikkerhedsplugin, der, som du sikkert kan gætte ud fra navnet, fokuserer på malware-detektion og -fjernelse.
En af de ting, jeg godt kan lide ved MalCare i forhold til noget som Wordfence, er, at MalCare foretager sin scanning på sine egne servere. Scanning for malware er en ret intensiv proces, så hvis et plugin udfører scanningerne på din live-server, kan det gøre dit websted langsommere, mens scanningen kører.
MalCare løser dette ved at bruge sine egne servere til at udføre scanningen.
Det er også bare generelt bygget til at fange malware, som andre plugins ikke gør. Og hvis den fanger noget, tilbyder den fjernelse af malware med et enkelt klik for at slippe af med den ulovlige fil.
MalCare indeholder også en firewall, men jeg synes ikke, at den er af lige så høj kvalitet som den, du får med Sucuri, så jeg vil stadig anbefale at bruge Sucuris firewall i stedet, hvis du kan svinge prisen.
Ud over det tilbyder den også nogle grundlæggende sikkerhedshærdninger som:
- til din login-side
- Begræns login-forsøg
- Disable file editing
- Disable file execution in uploads folder
Generelt synes jeg dog, at det unikke salgsargument for MalCare er off-server malware-scanning. Det giver dig også mulighed for at administrere flere websteder fra et enkelt dashboard, hvilket er en anden god bonus.
Pris: Starter ved $99/år
Wordfence
Wordfence er det største navn inden for WordPress-sikkerhed, især når det kommer til alt-i-en-løsninger. Det er aktivt på over to millioner websteder, mens det opretholder en imponerende 4,8-stjernet rating på over 3.000 anmeldelser.
Det er nok at sige, at mange mennesker kan lide det.
Så hvorfor er det så populært?
For det første kommer det i en generøs gratis version (samt en premium-version).
For det andet tilbyder det en alt-i-en-tilgang til WordPress-sikkerhed.
På et bredt niveau indeholder den en webapplikationsfirewall til at filtrere og blokere ondsindet trafik samt en indbygget malware-scanner til at kontrollere dine filer for malware, bagdøre og andre ondsindede injektioner.
Både den gratis og Pro-versionen indeholder disse to kernefunktioner, men Pro-versionen tilbyder mere af en realtidstilgang til begge. F.eks. får firewallen i Pro-versionen opdateringer af firewallregler i realtid, mens den gratis version kun opdateres hver 30. dag.
Sådan opdaterer Pro-versionens malware-scanning sine signaturer i realtid, mens den gratis version er forsinket med 30 dage.
Så hvis du vil have beskyttelse mod de mest banebrydende exploits, er du bedre tjent med Pro-versionen.
Bortset fra disse brede beskyttelser foretager den også en masse små justeringer, der kan hærde dit websted yderligere. Jeg taler om ting som:
- To-faktor-godkendelse for at sikre dit login
- Opdateringsmeddelelser
- E-mailadvarsler for vigtige handlinger, som f.eks. at en administratorkonto logger ind
- Begræns login-forsøg (blokér automatisk brugere, der indtaster forkerte adgangskoder/brugernavne for mange gange)
- Forsøg stærke adgangskoder
Pris: Pris: Gratis på WordPress.org. Pro-versionen starter ved 99 dollars om året, men du får rabat ved køb af flere år ad gangen.
iThemes Security
iThemes Security er en anden populær alt-i-en-sikkerhedsløsning, der findes i både en gratis og en premium-version.
iThemes Security indeholder ikke en firewall som Wordfence, men den tilbyder malware-scanning.
Bortset fra malware-scanning leveres den også med en hel bunke mindre sikkerhedsjusteringer for at hærde dit WordPress-websted.
Først gør den en række ting for at beskytte din login-side som:
- Midde login-siden.
- Blokerer værter/brugere med for mange mislykkede login-forsøg for at beskytte mod brute force-angreb.
- Forcering af stærke adgangskoder til alle brugerkonti.
- Omdøbning af “admin”-kontoen, hvis du stadig bruger admin som brugernavn.
- Fjernelse af fejlmeddelelser om login.
- Oplysning af to-faktor-godkendelse (Pro).
Så er der masser af andre små justeringer, hvoraf du kan se mange i WordPress-sikkerhedsguider:
- Disablering af filredigering i dashboardet.
- Fjern opdateringsmeddelelser for uautoriserede brugere.
- Forsøg WordPress-databasepræfiks.
- Forsøg wp-content-stien.
- Log brugerhandlinger.
Hvis du gerne vil bruge iThemes Security, anbefaler udviklerne at parre det med Sucuris WordPress-firewall, som vi vil dække næste gang.
Pris: Gratis på WordPress.org. Pro-versionen starter ved 80 dollars om året.
Sucuri
Sucuri er en populær sikkerhedsløsning til hjemmesider, der har to forskellige produkter, der hjælper med WordPress-sikkerhed:
- Et gratis plugin
- En betalt firewall-tjeneste
Du kan parre dem begge sammen, eller du kan vælge kun at bruge en af dem (eller parre firewallen med et andet plugin, som iThemes security).
Sucuri-plugin
Sucuris sikkerhedsplugin er gratis tilgængeligt på WordPress.org. Det omfatter ikke firewallfunktionaliteten, men det gør meget for at holde dit websted sikkert (og det kan hjælpe dig med at integrere firewallen, hvis du vælger at betale for den).
For det første omfatter det aktivitetsauditering og overvågning af filintegritet. Dybest set hjælper disse to funktioner dig med at overvåge, hvad der sker på dit websted. For eksempel kan aktivitetsrevisionen vise dig mislykkede loginforsøg, og filintegritetsovervågningen kan fortælle dig, om nogen af dine centrale WordPress-filer er blevet ændret.
Ud over det omfatter plugin’et grundlæggende malware-scanning. Denne funktionalitet er hovedsagelig en in-dashboard implementering af Sucuri’s gratis SiteCheck-scanner. Som sådan er den mere begrænset end mange andre løsninger og vil ikke være i stand til at fange al malware.
Endeligt indeholder Sucuris plugin også nogle grundlæggende WordPress-sikkerhedshærdningsjusteringer, som f.eks. blokering af PHP-filer i uploads-mappen og deaktivering af filredigering i dashboardet.
Pris: Hvor Sucuris plugin handler om overvågning og grundlæggende hærdning, blokerer Sucuri’s Firewall-tjeneste proaktivt trusler, før de opstår, og beskytter dig også mod DDoS-angreb.
Og ud over at blokere ondsindede bots og kendte exploits bruger Sucuri også sit store netværk og maskinlæring til konstant at forbedre sine firewallregler og beskytte dit websted mod nyopdagede exploits.
Dertil kommer, at Sucuri lader dig oprette dine egne firewallregler. Du kan f.eks. få Sucuri til at begrænse adgangen til dit WordPress-dashboard til et bestemt sæt af whitelisted IP-adresser.
Som en fin lille bonus inkluderer Sucuri Firewall også et CDN til at fremskynde dit websted, selvom det ikke rigtig har noget med WordPress-sikkerhed at gøre!
Pris: 199,99 $/år for Basic, Pro-plan 299,99 $/år.
WebARX
WebARX er en relativt ny tjeneste, der tilføjer en sikker firewall til dine websteder, samt et par andre funktioner.
Den er ikke specifik for WordPress, men den indeholder et WordPress-plugin, der gør opsætningen nem.
En af de gode ting ved WebARX er, at den gør det nemt at overvåge alle dine websteder fra et enkelt instrumentbræt. Så hvis du har en masse mindre websteder spredt ud, er dette en praktisk måde at holde øje med dem alle fra ét sted.
Bortset fra firewallen, der beskytter dit websted mod angreb og ondsindede bots, indeholder WebARX også overvågning af oppetid og defacement. Hvis dit websted går ned eller bliver defaced, kan du få en meddelelse via e-mail eller Slack. Igen er dette nyttigt, hvis du har en masse små websteder, som du ikke tjekker så ofte.
Pris: Starter ved 14,99 $/måned, spar 15 % med et årsabonnement.
VaultPress (en del af Jetpack)
VaultPress er en backup- og sikkerhedstjeneste fra Automattic, det samme firma som står bag WordPress.com. Den er en del af de betalte Jetpack-planer, så du får også adgang til alle de andre Jetpack-præmiefunktioner, hvis du vælger VaultPress.
Lige MalCare er en af de smarte ting ved VaultPress, at den foretager sin sikkerhedsscanning på sine egne servere, hvilket sikrer, at der aldrig er noget ydelsesmæssigt problem for dit websted.
Sådan fungerer det:
Her er hvordan det fungerer:
Hver dag sikkerhedskopierer VaultPress automatisk dit websted til sine sikre servere. Derefter scanner den de filer, som den lige har sikkerhedskopieret, for malware eller andre infiltrationer.
På det højeste plan kan VaultPress også automatisk rette alle sikkerhedsproblemer, som den opdager (det billigste plan understøtter dog kun “manuel løsning”).
Overordnet set er VaultPress et godt valg, hvis du vil have noget, der kombinerer sikkerhedsscanning med sikkerhedskopiering. Du vil dog muligvis stadig have en separat firewall-løsning.
Pris: Security Daily-planen koster 11,40 £/måned eller 9,55 £/måned (faktureres årligt).
Cloudflare
Cloudflare er almindeligvis tænkt som et værktøj til forbedring af ydeevnen på grund af dets CDN-funktionalitet. Og misforstå mig ikke – det er en god mulighed for at fremskynde dit WordPress-websted.
Men fordi Cloudflare fungerer som en reverse proxy, er det også et godt værktøj til at sikre dit WordPress-websted. I bund og grund sidder en reverse proxy mellem dine besøgendes browsere og dit websteds server og dirigerer trafikken, hvilket gør det muligt at filtrere skadelige aktører fra.
Cloudflares gratis abonnement tilbyder grundlæggende sikkerhed i form af DDoS-beskyttelse og beskyttelse mod trusler baseret på omdømme (blokerer kendte skadelige trusler fra at få adgang til dit websted).
Hvis du er villig til at betale, gennem, Cloudflares betalte planer omfatter en webapplikationsfirewall samt IP whitelisting-regler.
Hvis du allerede bruger Cloudflare på grund af dens præstationsfremmende funktioner, bør du måske overveje at opgradere til de betalte planer for at drage fordel af webapplikationsfirewallen.
Pris: Gratis med grundlæggende sikkerhed. Betalte abonnementer med firewall starter ved 20 dollars om måneden
Login No re
Login No re er en meget mindre løsning end alle de andre plugins. Mens de andre værktøjer alle er fokuseret på firewalls, malware-scanning og andre store tweaks, gør Login No re virkelig kun én ting:
Føj Google re-beskyttelse til din loginside.
Det er en nem måde at beskytte din loginside mod brute force-angreb og holde uautoriserede brugere ude.
Nogle alt-i-en-sikkerhedsplugins tilføjer allerede denne funktionalitet (f.eks. iThemes Security). Men hvis du vælger ikke at bruge en af disse alt-i-en-løsninger, bør du stadig overveje Login No re for at låse din login-side.
Pris: 100% gratis
Hvilket af disse WordPress-sikkerhedsplugins og værktøjer er det rigtige for dine behov?
Du ønsker helt sikkert ikke at bruge alle disse sikkerhedsplugins og værktøjer på dit websted. Så hvilke af dem skal du vælge? Hvordan opbygger du din sikkerhedsstack?
Inden du træffer dit valg, anbefaler jeg, at du tjekker, hvad din WordPress-vært allerede gør. Nogle værter – især administrerede WordPress-værter – implementerer måske allerede firewalls og malware-scanning for dig på serverniveau. Så hvis det er tilfældet, er der ingen grund til at duplikere deres indsats.
Når du ved, hvad din vært allerede gør, er her nogle tips til at vælge dine løsninger.
Hvis du ønsker en firewall til dit websted, er Sucuri Firewall den bedste løsning til missionskritiske websteder, mens MalCare tilbyder en mere overkommelig version med et dashboard, der gør det nemt at administrere flere websteder.
Hvis du ønsker malware-scanning, er MalCare og VaultPress gode muligheder, fordi de ikke kører scanninger på din server.
Du kan også kombinere en firewall og et plugin til malware-scanning. Du kan f.eks. bruge WebARX til firewalls og MalCare til malware-scanning. Selv om Malcare teknisk set tilbyder en firewall, er det ikke tjenestens stærke side. Derfor er du bedre tjent med at deaktivere Malcares plugin-baserede firewall og kombinere den med noget som WebARX eller Sucuri.
Hvis din vært allerede har implementeret firewalls og malware-scanning for dig, kan du springe disse plugins over, men jeg vil stadig anbefale at tilføje noget som Login No re for at låse din login-side. Wordfence og WebARX har dog denne funktion indbygget, så de kræver ikke et ekstra plugin.
Til sidst har du alt-i-en-sikkerhedsplugins som Wordfence og iThemes Security. Disse plugins gør sikkerheden virkelig enkel, hvilket er godt. Men fordi de altid er tændt og kører på din server, kan de også gøre dit websted langsommere, hvilket er dårligt.
Derfor bruger jeg personligt ikke dem og foretrækker at vælge og vrage de specifikke sikkerhedsfunktioner, som jeg ønsker.
Det sagt, anerkender jeg deres fordel ud fra et simplicitetssynspunkt.
Note: Wordfence og iThemes Security bør ikke bruges sammen. Hvis du vælger at gå ned ad “alt-i-et sikkerheds-plugin”-ruten – brug kun ét.
Så hvis du føler dig overvældet af alle disse muligheder og bare vil have noget, der er nemt at bruge lige ud af boksen, er disse to helt sikkert solide muligheder. Men vær meget opmærksom på dit websteds indlæsningstider før og efter for at sikre dig, at der ikke er nogen mærkbar nedsat hastighed.
Oplysning: Dette indlæg indeholder affilierede links. Det betyder, at vi kan få en lille provision, hvis du foretager et køb.