WordPress driver drygt 40% av webben. Det gör det till ett attraktivt mål för automatiserade attacker. Men de flesta intrång beror inte på sofistikerade hack utan på grundläggande misstag som hade kunnat undvikas.
Uppdatera, uppdatera, uppdatera
Det viktigaste du kan göra. WordPress core, plugins och teman. De flesta sårbarheter som utnyttjas har redan en patch tillgänglig. Att inte uppdatera är som att lämna ytterdörren olåst.
Byt login-URL
/wp-admin och /wp-login.php är kända av alla botar på internet. Ett plugin som WPS Hide Login byter URL med ett klick. Eliminerar inte risken, men reducerar bruset avsevärt.
Tvåfaktorsautentisering
Google Authenticator eller liknande. Det tar 30 sekunder extra per inloggning men stoppar i princip alla brute force-attacker. Om du bara gör en sak på den här listan bör det vara detta.
Begränsa inloggningsförsök
Limit Login Attempts Reloaded är gratis och blockerar IP-adresser efter upprepade misslyckade försök. Simpelt och effektivt.
Lösenord
"admin" med lösenord "admin123" är fortfarande bland de vanligaste kombinationerna som botar testar. Låter absurt, men statistiken ljuger inte. Använd lösenordshanterare och generera starka lösenord.
Fem till i snabbformat
Inaktivera XML-RPC om du inte vet att du behöver det. Dölj WordPress-versionen (ta bort generator-taggen). Sätt rätt filrättigheter: 755 för mappar, 644 för filer, aldrig 777. Installera Wordfence eller Sucuri för övervakning. Och kör regelbundna backups med UpdraftPlus, inte för att förhindra intrång utan för att kunna återställa snabbt när det händer.
Ingen av dessa åtgärder är komplicerad. Var och en tar kanske fem minuter. Tillsammans gör de en enorm skillnad.