10 enkle trin til at holde dit WordPress hjemmeside sikkert i 2025 (ingen plugins)

Vidste du, at holde en sikker wordpress site behøver ikke at være svært eller fuld af fancy værktøjer eller ekstra plugins?

Nogle gange kan plugins, der skal hjælpe, gøre dit websted langsomt eller endda åbne døre for hackere. Så vi hos Hostious er her for at vise dig nogle super nemme måder at beskytte dit websted uden disse plugins. Lad os springe ud i det!

Indholdsfortegnelse

1. Brug sikre WP-Admin-loginoplysninger

En af de nemmeste døre for hackere til dit WordPress hjemmeside er gennem almindelige brugernavne som “admin”, “administrator” eller “test”.

Disse typiske valg kan efterlade dit websted åbent for brute force-angreb, hvor angribere prøver forskellige adgangskodekombinationer for at få adgang.

Sådan kan du øge din loginsikkerhed:

• Gå til Brugere → tilføje nyt i dit WordPress-dashboard.

• Lav et unikt brugernavn, der ikke er let at gætte. Undgå almindelige navne, og medtag en blanding af tegn.
• Vælg en stærk adgangskode – tænk på en blanding af tal, symboler og både store og små bogstaver. Sigt efter mere end 12 tegn. En god adgangskode er som et hårdt puslespil; Jo mere komplekst det er, jo bedre.

• Log ind med dine nye administratoroplysninger.
• Gå over til Brugere → Alle brugere.

• Find og vælg din gamle administratorkonto, vælg derefter ‘Slet’ i rullemenuen Massehandlinger, og klik på Anvend.

Vigtige sikkerhedstips:

• Når du logger ind, skal du sørge for, at du er på et sikkert netværk. Offentlig Wi-Fi som på en skole eller café kan være risikabelt, da hackere kan opfange dine data.
• Brug en VPN, når du er på offentlige netværk for et ekstra lag af sikkerhed. Det krypterer din forbindelse, hvilket gør det sværere for hackere at smugkigge på dine loginoplysninger.

2. Slip af med unødvendige temaer og plugins

At holde ubrugte plugins kan gøre mere skade end gavn. Hvis de ikke vedligeholdes regelmæssigt, øger plugins og temaer risikoen for et potentielt cyberangreb. Hvis du vil fjerne ubrugte plugins, skal du gøre det sådan:

1. Gå til Plugins > installerede plugins
2. Markér afkrydsningsfeltet til venstre for pluginnavnet
3. Klik på Slet fra under navnet
4. Et opfølgningsvindue skal vises med plugin-detaljerne. Klik på Slet

3. Eksporter regelmæssigt dit indhold

For en blomstrende WordPress-blog er dit indhold – der omfatter indlæg, sider, billeder og forskellige medier – ubestrideligt dit mest værdifulde aktiv. I lyset af cybertrusler, der kan bringe dit indhold i fare, er det afgørende at have en robust backupstrategi på plads.

Regelmæssig sikkerhedskopiering af dit indhold til et lokalt drev eller en sikker cloud storage-løsning er en smart praksis. Denne forholdsregel sikrer, at dit værdifulde indhold forbliver intakt og kan gendannes i tilfælde af et angreb eller en teknisk fejl.

Eksport af dit indhold fra WordPress er ligetil:

1. Naviger til WordPress-adminområdet, og vælg Værktøjer > eksport.
2. Klik på knappen “Download eksportfil”. WordPress genererer og tilbyder dig en XML-fil, der indeholder dit websteds indhold.
3. Gem denne fil sikkert. I tilfælde af at du har brug for at gendanne dit indhold, kan denne fil nemt importeres tilbage til WordPress via Værktøjer > Import i adminområdet.

Denne metode giver en enkel, men effektiv måde at bevare din WordPress-blogs integritet på, hvilket sikrer, at dit indhold forbliver sikkert og hurtigt kan gendannes, hvis det er nødvendigt.

4. Forståelse og styring af .htaccess-filen i WordPress

Hvad er .htaccess-filen?

Filen .htaccess er en kraftfuld konfigurationsfil, der bruges til at administrere serverindstillinger for individuelle mapper på en webserver. I WordPress spiller det en afgørende rolle i at styre URL’ernes adfærd og sikre, at de er SEO-venlige. Afgørende kan denne fil redigeres uden fuld administratoradgang til serveren.

Lokalisering af .htaccess-filen

Du kan finde denne fil i rodmappen på din webhosting. Få adgang til det via FTP ved hjælp af klienter som Total Commander, WinSCP eller FileZilla. Hvis det ikke umiddelbart er synligt, skal du sikre dig, at din FTP-klient er indstillet til at vise skjulte filer.

En mere nem måde er at gøre det via dit hostingpanel / Cpanel ved at gå til Indstillinger > Kontroller vis skjulte filer.

Redigering af .htaccess-filen

Rediger filen .htaccess ved hjælp af en hvilken som helst teksteditor, fra grundlæggende notesblok til mere avancerede som PSPad Editor. Sikkerhedskopier altid filen, før du foretager ændringer for at undgå utilsigtede forstyrrelser på dit websted.

5. Lås din admin-side

Overvej at bruge en tjeneste som Cloudflare til at konfigurere en WAF (Web Application Firewall) for ekstra beskyttelse:

• Med Cloudflare kan du for eksempel oprette en zonelåsningsregel. Det giver dig mulighed for at bestemme, hvem der kan få adgang til din login-side baseret på deres IP-adresse.

• Du kan også manuelt justere dit websteds .htaccess-fil for at begrænse adgangen til din wp-login.php-fil. Sørg for at sikkerhedskopiere din .htaccess-fil først!

Her er et eksempel på en .htaccess-regel for Apache-servere:

Til Apache 2.2:

order deny,allow
allow from DIN_IP
deny from all

eller Apache 2.4:

Require all denied

• Placer denne kode efter # BEGIN WordPress og # END WordPress kommentarer i din .htaccess-fil.

6. Omdiriger HTTP til HTTPS uden et plugin

Før du foretager ændringer, skal du sikre dig, at du har en fuld sikkerhedskopi af dit WordPress hjemmeside. Dette inkluderer din database og alle dine WordPress-filer.

• Kontroller, at din hostingudbyder understøtter SSL, og at du har et SSL-certifikat installeret. Mange værter tilbyder et gratis SSL-certifikat via Let’s Encrypt.

• Gå til dit WordPress Dashboard.
• Naviger til Indstillinger > Generelt.
• Opdater din WordPress-adresse (URL) og webstedsadresse (URL) fra https:// til https://.

• Gem ændringerne.

• Opret forbindelse til dit websted ved hjælp af en FTP-klient eller via filhåndteringen i dit hostingkontrolpanel.
• Find filen .htaccess i rodmappen på din WordPress-installation.
• Hvis du ikke kan finde det, skal du sørge for at aktivere muligheden for at vise skjulte filer (dotfiles).
• Download en kopi af denne fil til din computer som sikkerhedskopi.
• Rediger filen, .htaccess og tilføj følgende linjer i begyndelsen af filen for at konfigurere omdirigeringen:

   RewriteEngine On
   RewriteCond %{HTTPS} off
   RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

• Få adgang til phpMyAdmin fra dit hostingkontrolpanel.
• Vælg din WordPress-database.
• Klik på fanen SQL for at køre en SQL-forespørgsel.
• Hvis du vil opdatere alle webadresser i indlægstabellen, skal du bruge følgende SQL-kommando (erstat ”wp_ med tabelpræfikset, hvis det er anderledes):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'https://yourdomain.com', 
"https://yourdomain.com'); 

Udfør forespørgslen. Gentag processen for alle andre tabeller, der indeholder URL-adresser, f.eks. “” eller “wp_optionswp_postmeta“.

Når du har foretaget disse ændringer, skal du besøge dit websted ved hjælp af https:// og sikre, at det automatisk omdirigerer til https://.

Hvis du bruger Google Analytics eller Search Console, skal du opdatere dit websites webadresse, så den afspejler ændringen til HTTPS.

Brug browserens inspektionsværktøj til at kontrollere, om der er advarsler om blandet indhold. Opdater eventuelle interne links, billeder, scripts eller typografiark, der stadig indlæses via HTTP, for at bruge HTTPS i stedet.

7. Deaktiver browsermapper

For at forhindre angriberne i at se, hvilke filer der er på din webhosting, kan du deaktivere offentlig visning af mapper. Dette trin anbefales af de fleste sikkerhedseksperter.

Hvis du vil aktivere, skal du tilføje følgende kodelinje et vilkårligt sted i filen:

Options -Indexes

Denne linje fortæller webserveren at deaktivere katalogbrowsing. Det forhindrer serveren i at liste indholdet af mapper.

Gem og upload (hvis relevant):

• Når du har føjet Options -Indexes til din .htaccess fil, skal du gemme ændringerne.
• Hvis du downloadede filen for at redigere, skal du sørge for at uploade den tilbage til rodmappen i din WordPress-installation.

8. Blokering af uautoriserede brugerscanninger i WordPress

En udbredt taktik blandt angribere, der er målrettet mod WordPress hjemmesideer, er brute force-angrebet. Dette involverer ofte scanning efter brugernavne, især forfatterbrugernavne, som derefter kan udnyttes til at forsøge adgangskodebrud. Sikring af dit websted mod sådanne scanninger er afgørende for at forhindre uautoriseret adgang.

Implementering af brugerscanningsblok via .htaccess:

Formål: Målet er at forhindre ondsindede bots og angribere i at scanne dit websted for at finde bruger- eller forfatternavne, som ofte bruges i brute force-angreb.

Rediger og tilføj brugerdefinerede regler:

• Åbn filen .htaccess med en teksteditor.
• Indsæt forsigtigt følgende kodelinjer. Dette kodestykke blokerer effektivt scanningen af forfatterbrugernavne:

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans

Når du har opdateret filen .htaccess , skal du teste dit websted for at sikre, at det fungerer korrekt, og at legitim adgang ikke påvirkes.

Ved at implementere denne blok forbedrer du dit WordPress hjemmesides sikkerhed betydeligt, hvilket gør det mere modstandsdygtigt over for en af de mest almindelige typer cyberangreb rettet mod brugeroplysninger.

9. Sikring af dit WordPress hjemmeside ved at deaktivere filredigering

En væsentlig sikkerhedsforanstaltning for ethvert WordPress hjemmeside er at deaktivere filredigeringsfunktionen. Dette forhindrer uautoriserede ændringer af dit websteds kernefiler og beskytter det mod potentielt misbrug eller ondsindede aktiviteter, selvom adgangsoplysninger falder i de forkerte hænder.

For at deaktivere filredigering inden for WordPress-rammen skal du ændre filen wp-config.php , som er en kritisk konfigurationsfil til din WordPress-installation. Sådan kan du gøre det:

1. Få adgang til filhåndteringen via dit hostingkontrolpanel, eller opret forbindelse til dit websted via en FTP-klient.
2. Naviger til rodmappen i din WordPress-installation, normalt navngivet public_html.
3. Find filen, og åbn den wp-config.php ved hjælp af en teksteditor efter eget valg, f.eks. Notesblok, Notesblok++, Visual Studio Code eller Sublime Text.

4. Indsæt følgende kodelinje øverst i filen lige før linjen, der siger /* That's all, stop editing! Happy blogging. */:

define( 'DISALLOW_FILE_EDIT', true ); 

5. Gem ændringerne i filen, wp-config.php og upload den tilbage til serveren, hvis du bruger FTP.

Ved at implementere denne ændring forbedrer du sikkerheden på dit WordPress hjemmeside, hvilket gør det mere modstandsdygtigt over for uautoriserede ændringer og potentielle overtrædelser.

10. Brug et pålideligt og sikkert hostingfirma

Det er afgørende at styrke dit websteds forsvar, især hvis det allerede er blevet målrettet mod et brute force-angreb. Implementering af yderligere lag af sikkerhed såsom sikkerhedsspørgsmål og tofaktorautentificering (2FA) er afgørende for at forhindre yderligere uautoriseret adgang og afbøde potentiel skade.

Hostious tilbyder en platform designet til at hæve dit websteds ydeevne med robuste sikkerhedsforanstaltninger og intuitive administrationsværktøjer, hvilket sikrer et næsten uhackbart miljø.

Hvis du overvejer en overgang til Hostious, kan du være sikker på, at processen er problemfri. Vi yder omfattende support og vejledning i alle faser for at sikre en problemfri migrering. For detaljerede instruktioner og support, besøg venligst vores hostious dokumentation.

Ofte stillede spørgsmål om WordPress-sikkerhed