1. Hem
  2. Säkerhet
  3. Hur gör jag min hemsida säkrare?

Hur gör jag min hemsida säkrare?

Att lägga ner tid på att göra en säker hemsida kan låta väldigt tråkigt jämfört med att skapa innehåll och fixa nya coola funktioner men det är ändå något som du måste tänka på. Dels kommer du i framtiden slippa lägga ner många långa timmar på att rensa ut skadlig kod från hemsidan om du blir hackad men det kan också ha mycket allvarligare konsekvenser. Om du till exempel bedriver en webbshop så kan alla dina kunduppgifter läcka ut vid ett intrång och börja säljas på svarta marknaden.

Om din hemsida blir infekterad så riskerar du även att infektera dina besökare med virus. Du kan alltså bli ansvarig för att ha infekterat dina besökare med virus som i sin tur kan orsaka en hel del olika saker. Till exempel så skulle sådana virus kunna stjäla pengar om personen i fråga använder samma dator för bankärenden.

Hemsidan kan även vara offline på grund av intrånget vilket betyder att du förlorar intäkter och din plats i Googles sökresultat. Du kan också förlora dina besökares förtroende om Google har blockerat åtkomst till din hemsida. Då kommer alla som försöker besöka din hemsida se en stor röd sida som säger att din hemsida har blivit infekterad med skadlig kod.

Du kan dock inte enbart fokusera på att göra din hemsida säker utan säkerhet handlar alltid om den svagaste länken i kedjan. Till exempel om du har lagt ner massvis med tid på att göra din hemsida säker men så administrerar du den från en dator som kör Windows XP som inte har blivit uppdaterad på flera år. Då kan någon istället infektera din dator och snappa upp dina lösenord för den vägen och på så sätt infektera hemsidan.

Lösenord

Lösenordshantering är något av det viktigaste men också kanske det jobbigaste när det kommer till säkerhet. I och med att vi numera behöver hantera lösenord för ibland flera hundra olika tjänster så är det omöjligt att ha olika lösenord överallt samtidigt som man ska komma ihåg dem. Därför är det väldigt viktigt att använda en lösenordshanterare.

En lösenordshanterare är ett program där du sparar alla dina lösenord. Du har sedan ett ”master password” som du ger till din lösenordshanterare för att låsa upp tillgången till alla dina andra lösenord. Resultatet blir att du behöver bara komma ihåg ett lösenord som då kan vara väldigt långt och starkt.

Några populära lösenordshanterare som alla fungerar bra är:

Numera finns det väldigt många olika lösenordshanterare och många av dem är tyvärr väldigt dåliga. De är byggda på ett sådant sätt att det är väldigt enkelt för en hackare att få ut dina lösenord från lösenordshanteraren. De lösningar som vi rekommenderar här ovanför är kända lösningar som under lång tid har bevisat att de fungerar bra och är säkra.

De är dock bara så säkra som ditt ”master password”. Du måste därför välja ett lösenord som är minst 12 tecken långt, innehåller både bokstäver, siffror och specialtecken. Du får inte använda just det lösenordet någon annanstans.

De lösenord som du sparar i din lösenordshanterare borde vara minst 20 tecken långa och helt slumpmässiga, alla ovanstående lösningar har inbyggda lösenordsgeneratorer som du kan använda för att skapa nya lösenord.

Uppdatera

Installera uppdateringar är sällan särskilt roligt eller intressant men det måste göras. När vi säger installera uppdateringar så menar vi inte enbart uppdatera din hemsida utan det gäller allt som du använder, till exempel:

  • Ditt operativsystem (Windows, MacOS, Linux).
  • De program som du har installerat på din dator. Program som används för att interagera med internet är extra viktigt, t.ex. din webbläsare (Chrome, Firefox, Opera osv.).
  • Din telefon, alltså både operativsystemet (Android, iOS) och de appar som du har installerat.

Sedan är det otroligt viktigt att om du har en hemsida att du håller den uppdaterad. Om du kör ett CMS-system, exempelvis WordPress, Joomla, Drupal, så måste du hålla det uppdaterat. WordPress är extra utsatt eftersom det är så populärt och ett nyligen upptäckt säkerhetshål kan utnyttjas inom ett par minuter efter informationen om det har släppts publikt. Följande saker behöver du hålla uppdaterade på din hemsida:

  • Själva installationen av t.ex. WordPress, Joomla, Drupal. Du kan se vilken den senaste versionen är på respektive systems hemsidor.
  • Plugins, moduler, komponenter osv.
  • Teman.

End of life

Att uppdatera program kostar tid och pengar för utvecklaren bakom programvaran. Att hålla flera versioner av samma programvara uppdaterad med säkerhetsfixar kommer ta upp ännu mer tid och pengar. Därför slutar utvecklare att släppa uppdateringar för äldre versioner av sin programvara när en viss tidsperiod har passerat.

Det är viktigt att du inte använder en programvara som har passerat sitt slutdatum, också kallat end of life. Om det upptäcks ett säkerhetshål i en programvara som har passerat end of life så kommer det hålet inte täppas igen vilket betyder att hackare väldigt enkelt kan utnyttja det.

Ett exempel är Windows XP som fortfarande används av en stor del av världen men har passerat end of life, det får alltså inga nya uppdateringar. I sådana fall borde man uppgradera till en senare version av Windows som fortfarande får uppdateringar. Dock behöver du nödvändigtvis inte uppgradera till den absolut senaste versionen, utan det räcker att uppgradera till en version som fortfarande får säkerhetsuppdateringar.

Samma sak gäller för CMS-system. Till exempel så kommer det släppas säkerhetsuppdateringar för Joomla 3.9 två år efter det har släppts även om Joomla 4.0, 4.1 osv. också har släppts. Det går alltså bra att fortsätta använda Joomla 3.9 ett bra tag men det är viktigt att gå över till den senaste versionen av Joomla innan de två åren har löpt ut.

Sedan händer det också att en utvecklare helt enkelt slutar utveckla en programvara, vilket till exempel inträffar väldigt ofta med plugins för olika CMS-system. Om det sker bör du försöka se om du kan hitta ett annat plugin som gör samma sak men som fortfarande får uppdateringar.

Rensa

Inom säkerhet finns det ett begrepp som heter attackyta. Till exempel om du har installerat WordPress och inte lagt till några plugins eller teman så har du en så liten attackyta som möjligt, en hackare kan enbart attackera WordPress. Men skulle du installera ett plugin så ökar attackytan för nu kan en hackare attackera pluginet också, det finns alltså fler sätt att attackera din hemsida på.

Det är därför väldigt viktigt att rensa ut programvara som du inte använder för att minska attackytan. T.ex. om du en gång i tiden installerade ett plugin på din hemsida som du inte längre använder, avinstallera det då så att ingen hackare kan attackera det.

Detsamma gäller för teman. Om du kör t.ex. WordPress så använder du troligtvis inte alla standardteman som följer med WordPress, avinstallera dem då. De teman som följer med WordPress är väldigt attraktiva för hackare att attackera eftersom de flesta WordPress-installationer har dem installerade.

Det hjälper inte att avaktivera plugins eller teman, du måste avinstallera dem.

Samma sak gäller för din dator och telefon, avinstallera program som du inte använder.

Antivirusprogram

Kanske låter lite motsägelsefullt att tipsa om att du ska installera fler program efter precis ha gått igenom varför du ska rensa ut så många program som möjligt. Men vissa program är nödvändiga och ett antivirusprogram är ett av dessa.

Som datoranvändare är du säkert bekant med antivirusprogram som körs på din dator, t.ex. Norton, F-Secure och Kaspersky. Det är bra att ha ett antivirusprogram på datorn, dock skulle vi inte rekommendera något av de tidigare nämnda. På senare år har det blivit allt tydligare att de gör din dator mindre säker istället för mer genom att öka attackytan (mer om vad det är i ovanstående avsnitt).

För dig som kör Windows rekommenderar vi Windows Defender (inkluderas med Windows från och med Windows 8) och för Mac rekommenderar vi Sophos.

Som Windowsanvändare bör du inte köra som administratör. Du bör istället skapa ett separat administratörskonto som du knappt använder, sedan har du ett begränsat konto som du mestadels använder. Du byter enbart till administratörskontot när det behövs.

Det finns även antivirus/brandväggslösningar för många CMS-system. För WordPress rekommenderar vi iThemes Security och för Joomla rekommenderar vi Admin tools. Det finns en gratisversion av Admin Tools men för att få tillgång till de säkerhetsfunktioner som faktiskt gör någon skillnad så behöver du betala för Admin Tools Pro. Vi har testkört Admin Tools Pro och tycker det är värt pengarna.

Tvåfaktorsautentisering

Tvåfaktorsautentisering används när du ska logga in någonstans. Du kan t.ex. aktivera det så det används när du ska logga in på Kundavdelningen hos oss. Det innebär att för att kunna logga in behöver du ange två olika faktorer. Totalt finns det tre faktorer, något du vet (lösenord), något du har (en fysisk sak t.ex. ett bankkort) och något du är (t.ex. ett fingeravtryck).

Vanligtvis används bara en faktor när du ska logga in vilket är ett något du vet (lösenord). Numera är det populärt att lägga till faktorn något du har genom att använda en app i din telefon som genererar koder, din telefon blir alltså något du har. När du loggar in behöver du då först ange ditt lösenord sedan blir du ombedd att skriva in en sexsiffrig kod som din telefon har genererat.

Vi rekommenderar att du adderar tvåfaktorsautentisering till din hemsida. Om du t.ex. kör WordPress eller Joomla så är det väldigt enkelt att fixa. För WordPress finns det ett plugin som heter Google Authenticator som adderar den funktionaliteten och Joomla har det inbyggt.

Sedan behöver du en app på din telefon som kan generera koder. Även om pluginet för WordPress heter Google Authenticator så måste du inte använda appen med samma namn, det fungerar lika bra att använda t.ex. Microsoft Authenticator eller vilken annan app som helst som stöder samma standard.

iOS-appar
Authy
Google Authenticator
LastPass Authenticator

Android-appar
Authy
Google Authenticator
LastPass Authenticator

Vidare läsning

Om du vill veta mer om hur du kan göra din hemsida säker så finns det en hel del skrivet om det i dokumentationen för alla de populäraste CMS-systemen. Du hittar det på följande länkar:

Hjälpte den här guiden dig?

Relaterade guider

Behöver du mer hjälp?
Kan du inte hitta lösningen på ditt problem? Då kan du kontakta oss via e-post, chatt och telefon!
KONTAKTA OSS