Hjemmeside Sikkerhed: Hvordan du holder dit websted sikkert i 2023
I denne vejledning til webstedets sikkerhed giver vi dig den viden, du har brug for for at holde dit websted sikkert. Vi gennemgår almindelige trusler, hvad du kan gøre for at beskytte dit websted mod dem og de mest sikre webhosts.
Webstedssikkerhed tales ikke meget om, men det er et ekstremt vigtigt emne. Selv små websteder bliver målene for malware, spam og distribueret angreb på benægtelse af tjenester, der bruges til at stjæle private brugerdata eller distribuere grimme malware.
Lad os starte med en forklaring af, hvordan data flyder fra en bruger til webserveren, og hvordan denne dataoverførsel udsætter dit websted for angreb.
Webstedssikkerhedsprimer
Før du går ind på, hvordan dit websted udsættes for, og hvad du kan gøre for at beskytte det, skal du i det mindste på overfladen forstå, hvordan data rejser gennem internettet.
Webhosting betyder, at dit websteds filer gemmes på en server, der er bygget til hurtige overførselstider. Du kan være vært for dit eget websted, men uden den sofistikerede netværks- og top-notch-serverhardware, som de bedste webhostingudbydere bruger, er det ikke praktisk for hastighed eller sikkerhed.
Når nogen åbner dit websted, opretter de forbindelse til den server og begynder at downloade filerne midlertidigt, så oplysningerne kan vises i deres browser. Dataoverførslen til og fra din server sker i pakker, små bunter med data, der indeholder oplysningerne om overførslen.
Det åbner sårbarheder. En aflytning kan give væk, hvem der opretter forbindelse, samt hvilken server de opretter forbindelse til, og en spoof-pakke kan indlæse malware på computeren eller serveren.
Disse to scenarier er usandsynlige, især med en krypteret forbindelse, men processen viser, hvorfor webstedets sikkerhed er så vigtig. Web-baserede trusler udgør ikke kun et problem på dit websted, men også til dine personlige filer og besøgende ‘information.
Der skal være beskyttelse på alle trin i processen. Nogle kommer fra din webhost, nogle kommer fra brugeren og nogle kommer fra dig. Først vil vi se på truslerne på dit websted og derefter måder, du kan afværge dem fra.
Trusler på webstedet
Nedenfor er nogle af de mest almindelige trusler, du vil blive udsat for efter oprettelse af et websted.
Spam
Spam er irriterende, og for det meste er det det værste ved det. Nogle spam-bots har dog mere ondsindede intentioner og kan overbelaste din server eller tjene en plads på Googles sortliste. Vi vil tale om sidstnævnte senere i dette afsnit.
I de fleste tilfælde bruges kommentarspam af bots til at placere backlinks til andre websteder på dit domæne. Det bruges til at øge søgerangeringer, da backlinks er gode i Googles øjne. Google har taget højde for denne form for kommentarspam og nedgravede webadresser, der deltager i den. Problemet vedvarer dog.
Spam har to konsekvenser. Den første er hastighed. Hvis brugere skal registrere sig for at kommentere, kan databasen over brugere, som dit websted bærer, let blive samlet. WordPress lider især af en masse kommentarspam, så der er plugins, du kan bruge til at afhjælpe problemet.
Links, der er sendt af spam-bots, kan være ondsindede, hvilket er et mere alvorligt problem. Andre brugere klikker muligvis på disse links og installerer malware på deres maskiner. Derudover kan Googles crawlbots genkende ondsindede webadresser og vurdere dit websted som usikkert.
For at holde dit websted kørende så hurtigt som muligt og for at beskytte dine brugere og organisk søgetrafik er det vigtigt at undgå spam som pesten.
DDoS-angreb
DDoS-angreb har modtaget meget mere presse i de senere år, hovedsageligt på grund af Operation Payback, der målrettede større kreditkortudbydere som Visa og Mastercard i protest mod den amerikanske regerings forsøg på at censurere Wikileaks.
DDoS-angreb er beregnet til at nægte andre brugere adgang til et bestemt websted. Angribere overbelaster en webserver med trafik for at tage den offline og holder ofte presset på, så værten har svært ved at få serveren op igen.
Angreb udføres normalt med forfalskede IP-adresser eller botnet, som er store netværk af slavecomputere, som angriberen har fjernadgang til. Efterhånden som hysteri omkring DDoS-angreb er steget, skal du også have beskyttelsesforanstaltninger.
Selvom DDoS-angreb typisk er målrettet mod et bestemt websted, hvilket betyder, at de fleste ikke vil blive berørt, kan de være et trin i en mere uærlig plan, hvor angriberen følger op med malware.
Vira og malware
Malware er den største trussel mod websteder. Malware er en forkortelse for ondsindet software, og mange mennesker betegner det som en “virus.” Uanset hvilken moniker du bruger, udgør den en alvorlig trussel for dig og dine besøgende.
Websteder, endnu mere end din personlige computer, er vigtige mål for malware af mange grunde. De kan bruges til at få adgang til private brugerdata, spise webserverressourcer eller vise en meddelelse til hacker, især hvis du har et websted med høj trafik.
I andre tilfælde bruges malware til økonomisk gevinst. En hacker kan få dybe brugertilladelser og bruge det til at placere annoncer eller tilknyttede links. I værste fald bruger en hacker et websted som en distributionsplatform for malware ved at indlejre links i det hele, der henter en ondsindet pakke på den besøgende maskine, når det klikkes.
Den bedste beskyttelse er at bruge en malware-overvågningstjeneste, som vi vil tale om i et senere afsnit. Omhyggelig overvågning af dit websteds belastningstider, filer og trafik kan også hjælpe dig med at se, om der er malware i dine filer.
WHOIS domæneregistrering
Hvert websted har brug for et domæne, og når du registrerer dit, er dine personlige oplysninger knyttet til det. Det kræver heller ikke en smart hacker at finde ud af, hvordan man finder disse oplysninger, som maler et virtuelt mål på ryggen for spam og anmodning.
WHOIS-information er påkrævet for at registrere et domæne. Tænk på det som at købe ejendom. Virksomheden, der udsteder ejendommen, skal vide, hvem der ejer den, og hvordan man når dem, og det gør også offentligheden. Det land, du bor i, kan muligvis spille en rolle i, hvor meget information du har brug for at aflevere for at registrere.
Uden for din e-mail, navn, adresse og telefonnummer indeholder WHOIS-data oplysninger såsom URL-adressen til navneservere, som alene ikke vedrører. Navneservere bruges til at rute domæneanmodninger til de servere, der er vært for webadresserne. I mange tilfælde opretholder webhost flere navneservere for deres forskellige typer hosting.
Mens en hacker ikke burde være i stand til at fastlægge nøjagtigt, hvilken server du bruger, kan det give dem en anelse om, hvilket område du befinder dig i. Det er blevet bevist gang på gang, at alle data, en hacker har, vil blive brugt udtømmende, så selv den lille skiver kunne give en gateway til din webserver.
sortlistning
Sortimentlister med søgemaskiner er en underadresseret trussel mod dit websted. I de fleste tilfælde har sortlister en positiv indflydelse, idet de lukker websteder, der deltager i søgeordssvampning eller er blevet kompromitteret. Selv med gode intentioner kan dit websted imidlertid gøre det på en sortliste, og når du først er der, er det svært at komme af.
Søgemaskiner skal beskytte brugere, der klikker gennem søgeresultaterne. På grund af dette, hvis Googles crawlbots bemærker noget mistænkeligt i din kode, bliver du sortlistet.
Selvom det ikke er en direkte sikkerhedstrussel, har det at være sortlistet stadig konsekvenser for din organiske søgetrafik. Det er et biprodukt af elendige sikkerhedsforanstaltninger, der kan ødelægge dit websteds omdømme og trafikflow i øjnene på en søgemaskine.
Nu hvor du kender de almindelige trusler, der udgør dit websted, så lad os se på de trin, du kan tage for at beskytte det.
Sådan holder du dit websted sikkert
Her er et par enkle tip, der beskytter dit websted. Alle af dem er lette nok til at implementere, skønt ikke alle er gratis.
Brug en firewall
Internettet er på et ord upålideligt. Den server, som dit websted er vært på, er tillid til, eller i det mindste håber vi det. Det bruges dog til at forbinde resten af det upålidelige internet til dine online filer. Når man kigger på det ubeskyttet, især med webhosting, kan potentielle vira komme for tæt på komfort. Det er her en firewall kommer ind.
Forestil dig, at der er en brand, og du har en mur til at beskytte dig mod den. Det er i bund og grund hvad en firewall gør. Der er to former, som webværter bruger til at beskytte dit websted.
Hardware firewalls sidder mellem din server og resten af internettet. De mærker pakker, når de kommer ind på serveren for at bestemme, hvor dataene kommer fra. Når denne proces fortsætter, kan firewall finde ud af, hvad overførsler der skal ske, og blokere dem, der ikke burde være.
De fleste mennesker er fortrolige med software firewalls, især hvis de bruger Windows. Software firewalls overvåger ting som indgående IP-adresser, downloadhastigheder og overførselstider. Trafik, der ikke passer ind i de linjer, softwaren tegner, er blokeret for at forhindre skade.
Hvis du har installeret software på Windows, der opretter forbindelse til internettet, har du set en software-firewall i funktion.
Hardware- og software-firewalls giver den bedste sikkerhed, når de bruges sammen. Der skulle ikke være nogen større sikkerhedsforskel mellem de to, så brug af begge giver to overvågningstrin for at sikre, at trafikken, der flyder til og fra dit websted, er sikker.
Aktivér DDoS-beskyttelse
Firewalls hjælper med DDoS-angreb ved at lægge mærke til IP-spoofing godt, før et simuleret angreb kan udføres. I tilfælde af et botnet er dog alle IP-adresser unikke. En firewall kan ikke følge med, da trafikken, der flyder til og fra dit websted, virker legitim, bare med en øget hastighed.
Derfor findes DDoS-beskyttelse eller, mere præcist, DDoS-begrænsning. DDoS-angreb forsøger at nedbryde en webserver ved at oversvømme den med trafik. Med et indholdsleveringsnetværk som Cloudflare kan trafikken opdeles for at rejse gennem et distribueret netværk af servere og absorbere hit.
Ved at dirigere trafikken intelligent kan CDN beskytte dit websted mod nedetid uden at blokere for legitime brugere. Det er fordelagtigt, da softwarebaseret DDoS-beskyttelse kan blokere en pludselig stigning i trafikken, selvom det er berettiget, f.eks. Efter lancering af et nyt produkt eller vises i en større medieindgang.
Der er mange webhosts, der samarbejder med Cloudflare for at beskytte dit websted mod DDoS-angreb og fremskynde levering af statisk indhold under processen. Bluehost og A2 er to, der kommer til at tænke på (læs vores A2 Hosting-anmeldelse).
Installer en Antivirus og rens dit websted
Du kan ikke installere AVG på dit websted og komme på arbejde (husk dog at læse vores AVG-anmeldelse for at rense din lokale maskine), men der er dedikerede overvågnings- og rengøringsværktøjer til websteder. Brug af en kan være forskellen mellem et kompromitteret websted og et sundt websted.
Normalt vil de koste dig, og gebyret vil være heftigt, hvis dit websted allerede er kompromitteret. Der er dog nogle værter, såsom HostGator og iPage, der inkluderer beskyttelse med din hosting-pakke, dog med tilladelse af SiteLock. Læs vores HostGator-gennemgang og iPage-gennemgang for at lære mere om disse udbydere.
Hvis din vært ikke inkluderer beskyttelse, er der mange andre muligheder. SiteLock er et godt valg, men du kan også bruge Sucuri eller Cobweb Security. Begge tilbyder også gratis scanninger på dit websted.
Det kan være dyrt at købe et program som dem, men de tilbyder meget opside. Du får konstant overvågning og fjernelse af malware, fuld gendannelse af hack, overvågning af sortliste, virtuel programrettelse, DDoS-begrænsning, CDN-ydelse og mere. Hvis det ligger i dit budget, skal det at få en beskyttelsespakke være alt hvad du behøver for at holde dit websted sikkert.
Registrer dit domæne privat
Når du registrerer et domæne hos WHOIS, bindes dit navn, adresse, telefonnummer og mere til det og vises offentligt. Nogle gange kan du komme forbi med mindre information, men det afhænger af hvilket land du registrerer fra.
Privat domæneregistrering er desværre en betalt tjeneste, der er vigtig for at beskytte dig selv og dit websted. Domæneregistratoren erstatter dine oplysninger med deres, så ingen kan se, hvem du er i online databasen.
Hvis du f.eks. Registrerer et domæne hos GoDaddy (læs vores GoDaddy-anmeldelse) og vælger at gøre det privat, vises GoDaddys navn, postadresse, telefonnummer og e-mail i stedet for dit.
Installer et SSL- eller TLS-certifikat
Brug af et SSL-certifikat på dit domæne er en af de mest praktiske måder at beskytte dit websted og dets brugere. Ikke-krypteret dataoverførsel er en gave til snoopere, da det giver dem mulighed for at stjæle, aflytte eller kompromittere dine data.
Det er især vigtigt, når du overfører personlige oplysninger. Hvis du for eksempel driver en online butik, er et SSL-certifikat vigtigt. Hvis du ikke har en, sendes dine købers kreditkortoplysninger, adresser, navne og mere tusinder af miles uden beskyttelse. Desuden er salg af produkter online uden et SSL-certifikat en sikker måde at gøre Googles sortliste på.
Når du har et certifikat installeret, opretter din webserver forbindelse til din besøgende for at udføre et TLS-håndtryk. Hvis alt er som det skal være, åbnes en sikker forbindelse mellem brugeren og webserveren for at kryptere data, der kører mellem dem.
Det tilføjer belastningstid til dit websted, hvorfor nogle SSL-certifikater er dyrere end andre. Nogle giver mere sikkerhed med langsommere belastningstider og vice versa. Det SSL-certifikat, du har brug for, afhænger af dit websteds formål.
Mange webværter, såsom Dreamhost, bundter SSL-certifikater gratis i deres pakker. Vi vil tale mere om Dreamhost i afsnittet med den bedste sikre webhosting nedenfor.
Du kan også se disse kaldet TLS- eller SSL / TLS-certifikater. SSL er som en protokol erstattet af TLS, i øjeblikket i version 1.2. SSL-certifikater fungerer dog stadig med TLS-protokollen. Det er forvirrende, så sørg for at læse vores SSL vs TLS stykke for at lære mere.
Andre websteds sikkerhedstips
Lad os se på nogle forskellige tricks, der hjælper dig med at holde dig sikker med de bærende elementer ude af vejen.
Opdater din software
Opdateringer er ikke altid til forbedring af ydelsen og tilføjelse af nye funktioner. Nogle gange er de beregnet til at løse sårbarheder, der var ukendt. På grund af dette er det vigtigt at opdatere din software regelmæssigt for at sikre dig, at du har de nyeste trusler dækket.
Det gælder især WordPress, da platformen og ethvert plugin, du bruger, er potentielle sikkerhedstrusler. Installation af WordPress-plugins, der ikke længere understøttes af deres udviklere, er ikke en god idé af den grund. De er ikke konfigureret til at beskytte mod de nyeste udnyttelser.
Desværre er opdatering med det samme ikke den bedste mulighed, da nye versioner af plugins kan være uforenelige med andre. Det er vigtigt at sikkerhedskopiere dit websted regelmæssigt ved hjælp af online backup-tjenester, så du kan vende tilbage til en tidligere version i tilfælde af en inkompatibilitet.
Hvis du bruger WordPress og vil vide mere, kan du læse vores tredelte serie om brug af indholdsstyringssystemet.
- Begyndervejledning til brug af WordPress
- Mellemvejledning til brug af WordPress
- Avanceret guide til brug af WordPress
Overvåg din sikkerhed
Det kan virke indlysende, men konstant overvågning af dit websteds sikkerhedsstatus er vigtig for at afværge potentielle angreb. Sørg for at bemærke spam rullende igennem, uberettigede pigge i trafikken og mistænkelig opførsel.
Der er mange WordPress-plugins, der hjælper med overvågning. Jetpack og Akismet Anti-Spam er de facto mulighederne, men du kan gå dybere med plugins som Securi. Hvis du ikke bruger WordPress, bør sund fornuft og hyppige sikkerhedskontroller gøre susen.
Vælg din server omhyggeligt
Så længe din webhostingudbyder implementerer de samme sikkerhedsforanstaltninger på alle dens servere, skal du i teorien have det samme beskyttelsesniveau. Det er dog ikke tilfældet, og at bruge ekstra penge på en mere robust server kan medføre utilsigtede sikkerhedsfordele.
Bekymringen er delt hosting. Det er i sagens natur mindre sikkert, da du deler den samme server med flere andre websteder. Hvis et af disse websteder er målrettet mod et angreb, kan oplysninger på dit websted indsamles.
Enten gennem reserve-IP-opslag eller køb af et websted på din delte server, kan en hacker få adgang til filerne på alle andre websteder på denne server. I årevis tidligere blev det opnået med en Symlink-bypass på serveren. De fleste webhosts har lappet eller opgraderet deres delte servere for at beskytte mod disse angreb siden.
Stadigvis er hackere smarte små djævle, og der er ingen mangel på nye ordninger, der overvejes. Delt hosting er en omkostningseffektiv mulighed for at oprette et websted, men det bringer dig til en ulempe med hensyn til hastighed og sikkerhed.
Scan din lokale computer
Din lokale maskine kan være en alvorlig sikkerhedstrussel mod dit websted. Nogle malware er skrevet for at stjæle FTP-logins og injicere ondsindede filer på websteder. Brug af den bedste antivirus-software kan hjælpe med at omgå hele debaklen.
Det er vigtigt at køre dybe scanninger af din maskine regelmæssigt, især hvis du ofte downloader filer online. Selv eksekverbare filer, der synes at være pålidelige, kan komme med utilsigtede partnere, så en stærk antivirus kan holde dit sind let.
Vi har gennem vores antivirusanmeldelser fundet, at Bitdefender er den mest sikre mulighed. Det modtog fremragende karakterer i vores praktiske test og fra de tre uafhængige laboratorier, vi konsulterede. Det har også en fremragende brugeroplevelse og en lav prisskilt, som du kan læse om i vores Bitdefender-gennemgang.
Skift dine adgangskoder
Uanset hvilken platform du bygger dit websted på, bliver du nødt til at bevise, at du er den, du siger, at du er med et brugernavn og en adgangskode. Hvis du bruger et CMS som WordPress, er der dobbelt så stor risiko, især hvis du bruger den samme adgangskode til det som for din webhost.
Som med enhver konto, kan nogen hænge dit kodeord igennem brute force eller ved at installere et ondsindet program og indlæse en masse grimme filer i din database. For den bedste beskyttelse mod den slags angreb skal du bruge en adgangskodemanager.
Adgangskodeadministratorer er blandt de få sikkerhedsværktøjer, der øger beskyttelsen, mens de gør brugeroplevelsen lettere. Nøglen til at beskytte dine webhostingkonti, hvad enten det er dit cPanel- eller WordPress-login, bruger en tilfældig, unik adgangskode til hvert link i kæden.
Vi vurderede Dashlane som den bedste password manager under vores sammenligning af de 10 markedsledere. Det udfylder automatisk login-felter og kan generere lange, unikke adgangskoder, der er næsten umulige for en maskine at gætte. Dashlanes sikkerhed er den bedste i branchen, så ingen kan nabere dine adgangskoder fra fjernserveren. Lær mere i vores Dashlane-gennemgang.
Sørg også for, at din webhost tilbyder tofaktorautentisering. Det er den mest praktiske måde at tilføje et ekstra lag med sikkerhed uden ekstra omkostninger. Hvis du vil lære, hvordan du aktiverer det på egen hånd, skal du sørge for at læse vores guide til de bedste 2FA-apps.
Den bedste sikre webhosting
Alt dette DIY-ting er selvfølgelig temmelig cool, men der er et par webhostingtjenester, der har indbygget sikkerhed i top. Lad os se på et par af vores vigtigste konkurrenter.
Dreamhost
Dreamhost er i det mindste en af de mest sikre webværter blandt dem med en rimelig pris. Alle de protokoller, den bruger, overholder de nyeste standarder, og der er et bundt af sikkerhedsgodterier til ekstra beskyttelse.
Al hosting leveres med domænefortrolighed og et SSL-certifikat gratis. Du kan muligvis finde den ene eller den anden gratis, men Dreamhost var den eneste, vi fandt, der bød begge.
Dreamhost har også et indbygget værktøj til fjernelse af malware. Det kører et par dollars mere om måneden, men omkostningerne opvejes let af fordelene. Dreamhost scanner dit websted ugentligt for malware og sårbarheder og giver dig besked om enhver e-mail. I tilfælde af at det finder malware, renser værktøjet det automatisk fra dit websted.
Du kan underrette Dreamhost om en falsk positiv, og den vil opdatere sin database og gendanne den kode, der blev fjernet.
Sikkerhed er en af mange grunde til, at Dreamhost kom på vores bedste webhosting til WordPress-liste. Du kan læse mere om sikkerhedsforanstaltninger, funktioner og hastigheder i vores Dreamhost-gennemgang.
Bluehost
Bluehost er æret som en sikker webhost på tværs af alle sine planer. Du får en række spam-værktøjer til at holde din indbakke ren, beskyttelse mod malware og DDoS-angreb, et CDN og et SSL-certifikat.
Delte planer, som er de billigste tilgængelige, leveres med Cloudflare-integration, SpamExperts, domæneprivatitet, et Let’s Encrypt SSL-certifikat og automatisk sikkerhedskopi gennem CodeGuard Basic.
Bluehost beskytter også mod risiciene ved delt hosting med ressourcestyring. Hvis Bluehost lægger mærke til et websted, der tager for store ressourcer, flytter det det til et isoleret hostingmiljø til evaluering. Det holder din ydelse kørende og forsvarer mod et ondsindet websted eller DDoS-angreb på din server.
WordPress-tjenester bruger et heftigere sæt sikkerhedsværktøjer. Planerne inkluderer SiteLock Professional, som indeholder automatisk fjernelse af malware, daglig scanninger, FTP-overvågning og omdømmestyring. Du får også adgang til SiteLocks webapplikations firewall for at beskytte mod ondsindet trafik.
Bluehost er et fremragende valg for sikkerhed, men også til hastigheder og pris. Du kan læse mere om dem i vores fulde Bluehost-anmeldelse.
Kinsta
Kinsta er en dyrere administreret WordPress-vært, men omkostningerne modregnes af dens funktioner. Du får en sikkerhedsgaranti, hvilket betyder, at hvis dit websted er hacket, mens Kinsta er vært for det, renses det og repareres gratis.
Kinsta er en dyrere administreret WordPress-vært, men omkostningerne modregnes af dens funktioner. Du får en sikkerhedsgaranti, hvilket betyder, at hvis dit websted er hacket, mens Kinsta er vært for det, renses det og repareres gratis.
Kinsta bruger proaktiv beskyttelse for at beskytte mod hacks. Dit websted kontrolleres hvert femte minut for oppetid – det er 288 gange om dagen – for at sikre, at serveren ikke er styrtet af et DDoS-angreb eller noget andet.
Kinsta understøtter kun SFTP- og SSH-forbindelser, hvilket betyder, at data uploads er krypteret.
I tilfælde af, at et angreb gør det gennem disse sikkerhedslag, vil Kinsta gøre et par ting. Det fejer dine filer for at identificere malware, genopbygge WordPress-kernen, ændre SFTP-, SSH- og databaseadgangskoder og fjerne eventuelle inficerede temaer eller plugins. Hvis noget fjernes, som ikke skulle være, kan du gendanne dit websted med en af Kinstas automatiske sikkerhedskopier.
Kinsta har tiltrukket kunder som Ubisoft, General Electric og Intuit på grund af dens fremragende sikkerhed og hastigheder. Læs mere om det i vores Kinsta-anmeldelse.
Afsluttende tanker
Hackere går ofte efter den største pod af brugere, de kan få adgang til. På grund af dette er webstedets sikkerhed en op ad bakke, og din risiko bliver højere, efterhånden som din trafik stiger. Alligevel er webhosts begyndt at tilføje beskyttelse for malware, DDoS-angreb og mere for at afbøde disse problemer.
Implementering af det nyeste inden for beskyttelse behøver ikke at koste dyrt. Vores bedste billige webhostingguide har for eksempel muligheder med praktisk beskyttelse for et par dollars om måneden. Det sammen med viden om trusler online skulle være nok til at holde dit websted sikkert.
Hvilke beskyttelsesforanstaltninger implementerer du på dit websted? Fortæl os det i kommentarerne herunder og som altid tak for læsningen.