Hver evig eneste dag bliver min hjemmeside angrebet af hackerbotter. Sandsynligvis også din. Jeg er i hvert fald ikke alene.
Både småbitte og gigantiske virksomheder er under beskydning.
I den sidste weekend af februar 2024 er flere store virksomheder og kommuner blevet nedlagt af hackere, skriver TV2.dk
Det er træls. Men vi kan ikke gøre andet end at beskytte vores hjemmeside, så godt vi nu kan.
Derfor har jeg interviewet Michael Leitner fra Computermusen.
Michael designer hjemmesider og hjælper virksomheder med IT-sikkerhed.
Han har nok at se til – og han giver heldigvis gerne sine sikkerhedsråd ud.
For der er rigtig meget, vi selv kan gøre. Det begynder, allerede før den nye hjemmeside går i luften.
Og det er allerede der, det går galt for mange …
Michael er bekymret over dit valg af webhotel
“Der er for mange, der ser på prisen, før de ser på, hvad de får. Det er den forkerte vej rundt. For sikkerheden på webhotellet betyder nemlig rigtig meget for sikkerheden på kundernes hjemmesider.”
Derfor anbefaler han at vælge en host i EU, allerhelst Danmark:
”Det gør samarbejdet lettere. Desuden er det en stor fordel i forhold til GDPR, fordi datalovene er helt anderledes uden for EU. Det er jo også svært at komme efter folk i Kina, hvis noget går galt,” siger han.
Backup – aldrig på selve webhotellet
Det er også vigtigt at vælge en webhost, der selv har firewall og tager backup af kundernes data.
“Det sørger de fleste heldigvis for. Men tjek også, hvor den backup af dine data så kommer til at ligge? For backup må aldrig ligge samme sted som hjemmesiden. Det kan godt være, det er billigere for dig i første omgang, fordi det er billigere at lagre alle data samlet. Men det kommer med en høj pris. For hvis uheldet er ude, mister kunderne det hele, og så kan hjemmesiden ikke genoprettes, selvom der er backup.”
Samtidig er det ikke nok, at webhotellet tager backup – det skal du også selv gøre.
“Du skal selvfølgelig også selv have et backupplugin. Og du skal sikre dig, at du får taget backup jævnligt. Det kan sagtens køre helt automatisk. Og igen: Sørg for, at den backup ligger eksternt. Gerne flere steder, fx på Gdrev og lokalt på din computer. Aldrig på selve webhotellet!” siger Michael.
Han oplever jævnligt, at folk ringer og beder om hjælp, fordi deres hjemmeside er blevet hacket: “Men hvis de ikke har en ekstern backup, så er der intet, jeg kan gøre. Desværre. Jeg vil meget gerne hjælpe. Men alle deres data er jo væk! Så det kan jeg ikke,” siger han.
Opsæt firewall og bloker for ubudne gæster
Desuden skal man selv beskytte hjemmesiden med et sikkerhedsplugin:
“Til WordPress anbefaler jeg WordFence eller SecurityNinja. Ved hjælp af sit sikkerhedsplugin kan man blandt andet blokere fra udenlandske besøg på hjemmesiden. Og hvis man nu kun har danske kunder, er der jo ingen grund til, at mennesker og botter fra hele verden har adgang til hjemmesiden. Det eneste, man ikke må blokere, er USA, for så blokerer man også for Google, så det ville være ret dumt,” siger han.
Via dit sikkerhedsplugin kan du også vælge en helt anden admin-URL end end den klassiske WordPress-url, som er opbygget sådan: https://domæne.dk/wp-admin/. Du kan fx vælge, at “adgangsdøren” til din hjemmeside hedder ditdomæne.dk/rendoghop i stedet for https://ditdomæne/wp-admin/
Det er en god ide at vælge sådan en personaliseret URL, fastslår Michael: “Ja. For hackerne kender jo WordPress-konstruktionen, så de leder efter den almindelige indgang til WordPresshjemmesiderne. Men når du vælger en anden adgangs-url til din WordPresshjemmeside, så har du faktisk allerede afværget rigtig mange angreb.”
Det er klogt at vælge proversionen af sit sikkerhedsplugin: “Det er nogle få hundrede kroner om året. De penge er godt givet ud. Især i disse tider,” siger Michael, der også kan hjælpe med opsætning af sikkerhedsplugin.
Få tjek på passwords og opdater plugins
Så er der selvfølgelig også de gode gamle råd, som rigtig mange glemmer at følge:
“Husk at skifte password til hjemmesiden jævnligt. Og dit password må altså ikke hedde noget med admin. Eller 123. For så gør du det alt for let for skurkene. Jeg anbefaler at vælge en sanglinje eller noget andet, man kan huske. Det er så let, men det er faktisk et problem, for folk glemmer det.”
Desværre kan der også være sikkerhedshuller i dine WordPressplugins, siger Michael: “Så husk også at opdatere alle dine plugins – og fjerne dem, du ikke skal bruge!”
Få styr på GDPR
Det er også vigtigt at sikre gæsternes datasikkerhed både med SSL – den lille hængelås på hjemmesiden – og ved at have styr på GDPR.
”Folk skal kunne fravælge alle de cookies, der ikke er nødvendige, for at hjemmesiden kan køre. Så det er ikke nok, at der står, at hjemmesiden indsamler cookies, hvis gæsten ikke tager stilling. Den går ikke. Faktisk skal man også både have en privatlivspolitik og en skriftlig erklæring, der fortæller, hvad man vil gøre, hvis man bliver udsat for et datalæk, hvor andre får adgang til kundernes data. Hvis det sker, skal man advare kunderne inden for 72 timer. Derefter skal man gøre noget for at forhindre, at det sker igen.”
Michael er ambassadør for CookieHub i Danmark og hjælper tit kunder med at sætte CookieHub op: “Desværre er der mange, der bruger deres cookieplugin forkert. Det er ikke nok, at man har et cookieplugin. Det er nemlig også vigtigt at kategorisere sine cookies igen, hvis man har fået et nyt plugin, der sætter cookies.”
Pas på, når du selv designer din hjemmeside
Det er blevet utrolig populært at designe sin egen hjemmeside.
”Det er jo også fint. Men mange tænker: Godt, nu har jeg en hjemmeside med kontaktformular, så kører det. Man tænker måske ikke så meget over, at man kan blive hacket. Det sker jo kun for de store virksomheder, ikke? Nej, desværre. Vores hjemmesider bliver angrebet af botter døgnet rundt. Nogle hjemmesider bliver angrebet 10 000 gange i døgnet af botter.”
Botterne udvælger hjemmesider og webshops på grundlag af algoritmer.
”Vi ved jo ikke, præcis hvordan de algoritmer ser ud. Men det kan være noget med domænenavnet og antallet af gæster på hjemmesiden. Det ser ud til, at risikoen er større, hvis det ligner et firmanavn, og hvis der er en vis trafik på hjemmesiden. De professionelle webdesignere har som regel styr på den slags. Så hvis man selv designer hjemmesiden, skal man være ekstra opmærksom på sikkerheden.”
Har du brug for Michaels hjælp?
Sikkert – hvem har ikke det! Du kan kontakte ham via Computermusens kontaktformular.
9 gode råd, der gør livet surt for hackere og malwareprogrammører:
- Sørg for backup – og husk, at backup skal ligge et andet sted end på webhotellet.
- Husk at opdatere plugins på hjemmesiden og al software på computeren i øvrigt.
- Få et antivirusprogram – og husk at opdatere det. I Windows er du som udgangspunkt beskyttet af Window Sikkerhed eller Windows Defender Security Center.
- Brug gode adgangskoder – og skift jævnligt!
- Hold dig langt væk fra hjemmesider uden SSL – den lille hængelås i hjørnet
- Undgå piratkopier! Der følger måske malware med det “gratis” indhold
- Brug aldrig andres USB-nøgler
- Åbn ikke vedhæftede filer fra mystiske mennesker. Du kan undgå de værste farer ved at holde markøren over afsenderadressen. Så kan du nemlig se, om den i virkeligheden kommer fra en anden, end du tror!
- Hver eneste dag forsøgere svindlere at franarre dig personlige informationer og kontooplysninger. Metoderne er mange, så hold øjnene åbne.