Hvordan beskytter du din Wordpress-blog?

Wordpress er verdens mest populære CMS i brug på internettet [1], og personligt har jeg også en lille række af sites der kører Wordpress. Tilbage i 2007-2008 blev en hel del sårbarheder opdaget, vendt, drejet og lappet, og siden da, har grundsystemet været rimeligt. Men med populariteten følger også et enormt antal af moduler, som ikke alle er sikkerhedstestede lige godt. Som en del af mit job, følger jeg dagligt med i hvad der opdages af sårbarheder, og hvad der bygges af exploits til at udnytte sårbarhederne med. Den sidste måned, er der kommet 60 exploits til moduler i Wordpress. Det er 2 om dagen, og det er et enormt højt tal.

Så udover at følge med i, hvilke moduler der opdages sårbarheder i, har jeg følt det nødvendigt, at finde muligheder for at sikre mine sites, uden selv at skulle holde øje med opdateringer i tide og utide. Jeg har kravlet bjerget af plugins til Wordpress igennem, i forsøg på at komme rundt i de fleste aspekter af sikkerhed.

Her er hvad jeg har fundet anvendeligt, og pt. benytter:

• Secure Wordpress [2]: En all-round-forhøjning af sikkerheden på sitet. Det blokerer underlige forespørgsler, fjerner informationer om versionsnumre og detaljerede fejlbeskeder, der typisk gør det nemmere for hackere at finde informationer om hvilke exploits der er brugbare.

• Mute Screamer [3]: En implementation af PHP-IDS, et Intrusion Detection System til PHP-applikationer. Mute Screamer inspicerer de forespørgsler brugerne, og angriberne, sender til Wordpress. Det er nemt at skrue på forskellige tærskelværdier, for f.eks. hvor meget der skal til for at sende en angriber til en fejlside, eller direkte på en blacklist. Det er også til at få tilsendt emails ved forsøg på angreb.

• Akismet [4]: Et meget kendt modul, der tjekker alle kommentarer for spam. Det er ikke direkte beskyttende mod hacking, men det er effektivt til at forhindre at der ender en masse spam på dit site. Hvis en angriber ser et site fyldt med spam i kommentarerne, virker det oplagt at sitet måske er mindre vedligeholdt, og dermed mere sårbart overfor alvorligere angreb.

• Update Notifier [5]: Tjekker dagligt alle dine installerede moduler (og eventuelt temaer) for opdateringer, og sender dig en email, hvis der er opdateringer du endnu ikke har installeret. Det er en nem måde at vedligeholde Wordpress på, uden selv aktivt at skulle holde øje hele tiden.

• WordPress Database Backup [6]: dækker det backup-mæssige aspekt af sikkerheden. De flade filer i Wordpress laver jeg backup af via FTP. Men databasen synes jeg det var lidt mere bøvlet at få jævnlig backup af. Da det typisk er databasen der ryger, ved et SQL Injection angreb, er det vigtigt at tage backup af denne. WordPress Database Backup kan indstilles til f.eks. at sende en databasebackup afsted pr email, hver uge.

Herudover bruger jeg en række andre plugins til bl.a. kontaktform, Search Engine Optimization, automatiske Google-oversættelser, caching og XML-sitemaps. Men de har væsenligt mindre med sikkerhed at gøre.

Hvad gør du for at beskytte din Wordpress?

Har du andre gode Wordpress-moduler, eller har du gode tips til at sikre Wordpress-serveren andre steder? - F.eks. et IDS/IPS til databasen eller lignende.

• [1]: http://en.wikipedia.org/wiki/WordPress
• [2]: http://www.websitedefender.com/secure-wordpress-plugin/
• [3]: https://github.com/ampt/mute-screamer
• [4]: http://akismet.com/
• [5]: http://lionsgoroar.co.uk/wordpress/update-notifier/
• [6]: http://austinmatzko.com/wordpress-plugins/wp-db-backup/