Att lägga ner tid på att göra en säker hemsida kan låta väldigt tråkigt jämfört med att skapa innehåll och fixa nya coola funktioner men det är ändå något som du måste tänka på. Dels kommer du i framtiden slippa lägga ner många långa timmar på att rensa ut skadlig kod från hemsidan om du blir hackad men det kan också ha mycket allvarligare konsekvenser. Om du till exempel bedriver en webbshop så kan alla dina kunduppgifter läcka ut vid ett intrång och börja säljas på svarta marknaden.
Om din hemsida blir infekterad så riskerar du även att infektera dina besökare med virus. Du kan alltså bli ansvarig för att ha infekterat dina besökare med virus som i sin tur kan orsaka en hel del olika saker. Till exempel så skulle sådana virus kunna stjäla pengar om personen i fråga använder samma dator för bankärenden.
Hemsidan kan även vara offline på grund av intrånget vilket betyder att du förlorar intäkter och din plats i Googles sökresultat. Du kan också förlora dina besökares förtroende om Google har blockerat åtkomst till din hemsida. Då kommer alla som försöker besöka din hemsida se en stor röd sida som säger att din hemsida har blivit infekterad med skadlig kod.
Du kan dock inte enbart fokusera på att göra din hemsida säker utan säkerhet handlar alltid om den svagaste länken i kedjan. Till exempel om du har lagt ner massvis med tid på att göra din hemsida säker men så administrerar du den från en dator som kör Windows XP som inte har blivit uppdaterad på flera år. Då kan någon istället infektera din dator och snappa upp dina lösenord för den vägen och på så sätt infektera hemsidan.
Lösenord
Vi har skrivit en separat guide om hur du bör tänka kring lösenord. Du hittar den guiden här.
Uppdatera
Installera uppdateringar är sällan särskilt roligt eller intressant men det måste göras. När vi säger installera uppdateringar så menar vi inte enbart uppdatera din hemsida utan det gäller allt som du använder, till exempel:
- Ditt operativsystem (Windows, MacOS, Linux).
- De program som du har installerat på din dator. Program som används för att interagera med internet är extra viktigt, t.ex. din webbläsare (Chrome, Firefox, Opera osv.).
- Din telefon, alltså både operativsystemet (Android, iOS) och de appar som du har installerat.
Sedan är det otroligt viktigt att om du har en hemsida att du håller den uppdaterad. Om du kör ett CMS-system, exempelvis WordPress, Joomla, Drupal, så måste du hålla det uppdaterat. WordPress är extra utsatt eftersom det är så populärt och ett nyligen upptäckt säkerhetshål kan utnyttjas inom ett par minuter efter informationen om det har släppts publikt. Följande saker behöver du hålla uppdaterade på din hemsida:
- Själva installationen av t.ex. WordPress, Joomla, Drupal. Du kan se vilken den senaste versionen är på respektive systems hemsidor.
- Plugins, moduler, komponenter osv.
- Teman.
Sedan WordPress 5.5 går det att aktivera automatiska uppdateringar av plugins (antingen för alla plugins, eller för vissa som du väljer själv). Detta kan hjälpa dig hålla siten säker, men tänk på att det kan hända att vissa uppdateringar får funktioner på hemsidan att sluta fungera. För mer information om detta, se denna sida (under avsnittet Security).
End of life
Att uppdatera program kostar tid och pengar för utvecklaren bakom programvaran. Att hålla flera versioner av samma programvara uppdaterad med säkerhetsfixar kommer ta upp ännu mer tid och pengar. Därför slutar utvecklare att släppa uppdateringar för äldre versioner av sin programvara när en viss tidsperiod har passerat.
Det är viktigt att du inte använder en programvara som har passerat sitt slutdatum, också kallat end of life
. Om det upptäcks ett säkerhetshål i en programvara som har passerat end of life så kommer det hålet inte täppas igen vilket betyder att hackare väldigt enkelt kan utnyttja det.
Ett exempel är Windows XP som fortfarande används av en stor del av världen men har passerat end of life, det får alltså inga nya uppdateringar. I sådana fall borde man uppgradera till en senare version av Windows som fortfarande får uppdateringar. Dock behöver du nödvändigtvis inte uppgradera till den absolut senaste versionen, utan det räcker att uppgradera till en version som fortfarande får säkerhetsuppdateringar.
Samma sak gäller för CMS-system. Till exempel så kommer det släppas säkerhetsuppdateringar för Joomla 3.9 två år efter det har släppts även om Joomla 4.0, 4.1 osv. också har släppts. Det går alltså bra att fortsätta använda Joomla 3.9 ett bra tag men det är viktigt att gå över till den senaste versionen av Joomla innan de två åren har löpt ut.
Sedan händer det också att en utvecklare helt enkelt slutar utveckla en programvara, vilket till exempel inträffar väldigt ofta med plugins för olika CMS-system. Om det sker bör du försöka se om du kan hitta ett annat plugin som gör samma sak men som fortfarande får uppdateringar.
Rensa
Inom säkerhet finns det ett begrepp som heter attackyta. Till exempel om du har installerat WordPress och inte lagt till några plugins eller teman så har du en så liten attackyta som möjligt, en hackare kan enbart attackera WordPress. Men skulle du installera ett plugin så ökar attackytan för nu kan en hackare attackera pluginet också, det finns alltså fler sätt att attackera din hemsida på.
Det är därför väldigt viktigt att rensa ut programvara som du inte använder för att minska attackytan. T.ex. om du en gång i tiden installerade ett plugin på din hemsida som du inte längre använder, avinstallera det då så att ingen hackare kan attackera det.
Detsamma gäller för teman. Om du kör t.ex. WordPress så använder du troligtvis inte alla standardteman som följer med WordPress, avinstallera dem då. De teman som följer med WordPress är väldigt attraktiva för hackare att attackera eftersom de flesta WordPress-installationer har dem installerade.
Samma sak gäller för din dator och telefon, avinstallera program som du inte använder.
Antivirusprogram
Kanske låter lite motsägelsefullt att tipsa om att du ska installera fler program efter precis ha gått igenom varför du ska rensa ut så många program som möjligt. Men vissa program är nödvändiga och ett antivirusprogram är ett av dessa.
Som datoranvändare är du säkert bekant med antivirusprogram som körs på din dator, t.ex. Norton, F-Secure och Kaspersky. Det är bra att ha ett antivirusprogram på datorn, dock skulle vi inte rekommendera något av de tidigare nämnda. På senare år har det blivit allt tydligare att de gör din dator mindre säker istället för mer genom att öka attackytan (mer om vad det är i ovanstående avsnitt).
För dig som kör Windows rekommenderar vi Windows Defender (inkluderas med Windows från och med Windows 8) och för Mac rekommenderar vi Sophos.
Det finns även antivirus/brandväggslösningar för många CMS-system. För WordPress rekommenderar vi iThemes Security och för Joomla rekommenderar vi Admin tools. Det finns en gratisversion av Admin Tools men för att få tillgång till de säkerhetsfunktioner som faktiskt gör någon skillnad så behöver du betala för Admin Tools Pro. Vi har testkört Admin Tools Pro och tycker det är värt pengarna.
Tvåfaktorsautentisering
Tvåfaktorsautentisering används när du ska logga in någonstans. Du kan t.ex. aktivera det så det används när du ska logga in på Kundavdelningen hos oss. Det innebär att för att kunna logga in behöver du ange två olika faktorer. Totalt finns det tre faktorer, något du vet (lösenord), något du har (en fysisk sak t.ex. ett bankkort) och något du är (t.ex. ett fingeravtryck).
Vanligtvis används bara en faktor när du ska logga in vilket är ett något du vet (lösenord). Numera är det populärt att lägga till faktorn något du har genom att använda en app i din telefon som genererar koder, din telefon blir alltså något du har. När du loggar in behöver du då först ange ditt lösenord sedan blir du ombedd att skriva in en sexsiffrig kod som din telefon har genererat.
Vi rekommenderar att du adderar tvåfaktorsautentisering till din hemsida. Om du t.ex. kör WordPress eller Joomla så är det väldigt enkelt att fixa. För WordPress finns det ett plugin som heter Google Authenticator som adderar den funktionaliteten och Joomla har det inbyggt.
Sedan behöver du en app på din telefon som kan generera koder. Även om pluginet för WordPress heter Google Authenticator så måste du inte använda appen med samma namn, det fungerar lika bra att använda t.ex. Microsoft Authenticator eller vilken annan app som helst som stöder samma standard.
iOS-appar
Authy
Google Authenticator
LastPass Authenticator
Android-appar
Authy
Google Authenticator
LastPass Authenticator
Vidare läsning
Om du vill veta mer om hur du kan göra din hemsida säker så finns det en hel del skrivet om det i dokumentationen för alla de populäraste CMS-systemen. Du hittar det på följande länkar: