För Triggerfish är trygghet och säkerhet en viktig aspekt av vår verksamhet. Då vi jobbar med WordPress som är opensource ställer det en hel del krav på oss som byrå. Många pratar om att WordPress inte är säkert, vi menar på att det är tvärtom – om man jobbar på rätt sätt.

En av de stora fördelarna med WordPress popularitet är det totala antalet granskande ögon och utvecklare som tillsammans bidrar till att kontinuerligt förbättra funktion och användarupplevelse men framförallt också säkerheten. Detta har bidragit till att WordPress i sin nuvarande version är extremt säker från vanliga intrångsmetodiker.

Att WordPress som plattform är säker i sig självt betyder dock tyvärr inte att alla installationer av WordPress är det.

Det är väldigt många installationer som består av Teman och Plugins med dålig kvalitet i koden avseende säkerhet. Detta leder till att gamla versioner av teman och plugins utgör stora säkerhetsrisker och öppnar för intrång. Det är detta vi läser om i media.

Några saker att ta hänsyn till för att markant öka säkerheten i en WordPress installation är bland annat;

  • Installera alltid senaste versionen
  • Använd unika tabellprefix i databasen
  • Radera förinstallerade plugins
  • Radera förinstallerade teman
  • Radera användaren med id 1
  • Använd inte ”admin” som användarnamn
  • Använd komplexa/långa/unika lösenord
  • Generera dina ”secret keys” i wp-config
  • Stäng av möjligheten att redigera filer
  • Byt namn/plats på wp-content mappen
  • Installera aldrig Teman som är gratis
  • Använd endast professionella teman som har bra support
  • Läs på ordentligt om- och kodgranska plugins
  • Ladda inte hem plugins med dålig rating eller lågt antal nedladdningar
  • Lös inte enkla uppgifter med plugins, skriv egen kod
  • Utför- och kontrollera regelbundna backuper
  • Använd säkerhetsplugin
  • Uppgradera WP, teman och plugins kontinuerligt

Listan ovan gör mycket för den grundläggande säkerheten i en förvaltning av WordPress men givetvis kan man (och vi gör) mycket annat. .

På Triggerfish lägger vi mycket arbete på att även säkerställa att vår driftsmiljö är säker. Den består av ett antal virtuella linuxmaskiner som bygger på avancerad behörighetskontroll av samtliga processer som körs när en webbplats besöks. Varje enskild webbplats tillåts endast att utföra de processer på servern som dess funktionalitet kräver isolerat i sin egen katalogstruktur. Detta minimerar skaderiskerna då en enskild installation blir attackerad.

På Triggerfish står säkerhetsaspekterna kring WordPress drift högt på dagordningen.