WordPress

Checklista: byt alla lösenord och nycklar efter en WordPress-hack

Byter du bara admin-lösenordet lämnar du dörrar öppna. Här är hela listan över vad som måste bytas efter en WordPress-hack — och i vilken ordning.

En vanlig miss efter en hack är att byta admin-lösenordet och tro att man är klar. Men en angripare kan ha kommit över mycket mer — databasuppgifter, FTP, API-nycklar, sessionscookies — och varje oförändrad nyckel är en potentiell väg tillbaka. Här är den fullständiga checklistan.

Byt allt detta

  • Alla WordPress-användare — särskilt administratörer. Ta bort konton du inte känner igen och tvinga fram lösenordsbyte för resten.
  • Databaslösenordet — sätt ett nytt och uppdatera det i wp-config.php.
  • Secret keys och salter i wp-config.php — genereras nya på WordPress officiella nyckelgenerator; det loggar ut alla befintliga sessioner.
  • FTP/SFTP- och hosting-lösenord, inklusive eventuella extra konton.
  • API-nycklar och tokens för betalning, e-post (SMTP), och integrationer — allt en angripare kunnat läsa ur wp-config eller databasen.

Gör det i rätt ordning

Byt nycklar och lösenord efter att sajten är sanerad — annars kan angriparen bara läsa de nya via en bakdörr som fortfarande finns kvar. Aktivera tvåfaktorsautentisering på alla admin-konton samtidigt, så att ett läckt lösenord inte räcker för att komma in nästa gång. Och kontrollera behörigheter: en angripare kan ha höjt ett vanligt konto till administratör.

Glöm inte det utanför WordPress

Hacket kan ha spridit sig utanför själva sajten. Har samma lösenord använts på e-post, domänregistrator eller ett CRM bör de bytas också. Och om känsliga kunduppgifter kan ha läckt kan du ha en skyldighet att informera de drabbade — ta det på allvar innan det blir en större fråga.

Låt inte en glömd nyckel förstöra saneringen

I en WordPress-sanering ingår rotation av nycklar och salter som en del av processen, så inget glöms. Och med Managed WordPress-hosting hanteras SSL, PHP och åtkomst centralt — färre nycklar utspridda betyder färre saker som kan läcka, och en tydlig plats att byta dem på när det behövs.

Bygg på ett moln du faktiskt äger.

Ingen bindningstid. En körande VM innan du betalar en krona.