En af de største årsager til, at et WordPress website bliver hacket, er forældede plugins. Det skyldes at gammel kode ligger tilgængelig, med potentielle sikkerhedshuller. De huller kan udnyttes af hackere, selv hvis plugin’et er deaktiveret.

Når et plugin er deaktiveret på dit WordPress website, vil der fortsat være synlige beskeder om at der er opdateringer til det, men du tænker umiddelbart ikke på at opdatere det. Du bruger det jo ikke. Det gør at plugin’et bliver mere og mere sårbart, som tiden går, hvis ikke det fjernes fuldstændigt.

Et deaktiveret plugin er sårbart, da filerne stadig eksisterer – og kan køres – på serveren.
Disse filer kan hackere udnytte ved at indsætte ondsindet kode, og køre det fra det inaktive plugin.

Det kan resultere i at websitet bliver fyldt med spam-links, popups og redirects til scam-sider. Det kan også i de værste tilfælde ødelægger websitet, ved at inficere en masse andre plugins, temaet og selve WordPress kernen.

Er uheldet ude?

Selvom et website er inficeret helt ind til kernen af ondsindet kode, kan det stadig reddes.

Hvis din hosting-udbyder har en backup af dit website, kan du bede om at få denne gendannet. Afhængig af hvor længe dit website har været inficeret kan det være nok at gendanne til en tidligere backup, og efterfølgende slette inaktive plugins, og opdatere resten.

Hvis dit website har været inficeret længere end den tidligste backup (typisk 14 dage), er det straks værre, men ikke fortabt. I det tilfælde kræver det, at der laves en ny installation af WordPress, på en ny server med en ny database. Herefter installeres de nyeste udgaver af de plugins man brugte, og så flyttes den gamle database til det nye sted. Der er dog et men.. Det kan være at din database også er inficeret, det vil resultere i at den friske udgave af websitet på ny bliver inficeret, når databasen flyttes. Det kræver professionelle øjne, at tjekke en database igennem for inficering.

Takeaways

Få styr på dine backups.
Lav en plan for hvad der skal ske, hvis dit website skulle bliver udsat for angreb. Vær opmærksom på hvor lang tid dine backups er gemt.

Hold dit WordPress website opdateret.
Hvis du kører WordPress version 3.7+, vil selve kernen af WordPress automatisk blive opdateret med sikkerhedsversioner. Plugins skal du altid selv opdatere. Du skal dog være opmærksom på, at en opdatering af gamle plugins kan medføre at dit website ikke virker mere. Dette kan skyldes at der er sket ændringer i plugin’et, WordPress eller bagvedliggende arkitektur, der gør at kode der tidligere virkede fint med plugins, nu ikke virker mere. Er du i tvivl, eller er det vigtigt at dit website har så lidt nedetid som mulig, så tag fat i en professionel.

Gennemgå dine sider løbende.
Ofte opdager man ikke problemet før en kunde henvender sig. Dette er problematisk, da det kan have stået på i uger eller måneder, før en person henvender sig om det.