Ett säkerhetsplugin är nästan alltid värt att ha. Men det är viktigt att förstå vad kategorin faktiskt gör — och vad den inte kan göra — innan du lutar dig mot den för hårt. Här är vad du ska titta efter, och var det verkliga skyddet börjar.
Vad ett bra säkerhetsplugin ger
- Brandvägg (WAF) som blockerar kända attackmönster mot din sajt innan de når WordPress.
- Malware-skanning mot signaturer och filändringar, med varningar när något ändras.
- Inloggningsskydd — begränsa antal försök, dölj wp-login, tvinga tvåfaktor och starka lösenord.
- Aktivitetslogg så du ser vad som hänt: vem loggade in, vilka filer ändrades.
Så väljer du rätt
Välj ett plugin som täcker flera av funktionerna ovan istället för att stapla flera överlappande — två brandväggsplugins gör inte sajten dubbelt så säker, bara dubbelt så tung. Se till att det underhålls aktivt och uppdateras ofta, och undvik att aktivera funktioner du inte förstår, som aggressiva blockeringsregler som kan låsa ute dig själv.
Begränsningarna du bör känna till
Ett plugin körs inuti samma WordPress som angriparen försöker ta över. Får de tillräcklig åtkomst kan de stänga av eller kringgå pluginet — och den avstängda skyddet märker du kanske inte förrän det är för sent. Signaturbaserad skanning missar nya varianter, och en WAF på applikationsnivå ser inte allt som en brandvägg på servernivå gör, eftersom en del av trafiken redan passerat innan WordPress laddats. Pluginet är ett lager — inte hela skyddet.
Ett säkerhetsplugin skyddar WordPress inifrån WordPress. Riktig säkerhet börjar ett lager under.
— Kepler Cloud
Lager under pluginet
Det starkaste skyddet ligger på plattformsnivå — isolering per sajt, force SSL på servern, bevakade uppdateringar och backup som inte kan stängas av inifrån WordPress. Det får du med Managed WordPress-hosting, där pluginet blir ett komplement snarare än hela försvaret. Och om ett plugin missat något och sajten ändå infekterats, kör vi en full sanering på servernivå, bortom det ett plugin kan nå.