Sikkerhed – et undervurderet SEO-issue

Jeg ved det godt. Det er sjovest at arbejde på de ting, som gør at din hjemmeside kan få bedre resultater på Google. Hvad der til gengæld slet ikke er sjovt, er at få suspenderet eller slagtet sin hjemmeside af søgemaskinerne. Er sikkerheden på din hjemmeside dårlig, løber du en risiko for at det vil ske. Og tro mig, du vil fortryde det så inderligt, at du ikke brugte en times tid på at sikre din hjemmeside, hvis uheldet skulle ske. I blogindlægget herunder, vil jeg derfor fortælle dig næsten alt hvad du bør vide, om sikkerhed på din hjemmeside.

SEO-hacking og spredning af malware

Hacking er ikke bare hacking, da hacking netop sker af mange forskellige årsager. Eksempelvis fordi at nogle vil have lagt din hjemmeside ned, vil have adgang til brugeroplysninger som er gemt på din side, ønsker at sprede ondsindet kode, eller fordi at de af SEO-mæssige årsager ønsker at få adgang til dit website.

Og ja, hacking er ikke bare noget man hører om – det sker faktisk ude i den virkelige verden. Særligt malware og hvad jeg vil betegne som ”SEO-hacking”, bør du i denne forbindelse være opmærksom på. Disse to typer af angreb, kan nemlig skade dine rankings i såvel kort- som lang tid.

SEO-hacking sker hyppigst for at oprette links over imod et af hackerens sites, men kan også omfatte 301-redirects, og i meget sjældne tilfælde endda sabotage af dine eksisterende resultater. Typisk udføres denne form for angreb, ved at der oprettes en ny undermappe på din hjemmeside, hvor der så placeres nyt indhold. Da disse nye sider ikke fremgår af din menu, men udelukkende modtager linkjuice udefra, vil du ikke automatisk opdage disse nye undersider. Malware derimod er der større chance for at du opdager. Google viser nemlig en advarsel når man besøger inficerede hjemmeside, både når man klikker på et søgeresultat, men også hvis du blot besøger en almindelig URL med en Chrome Browser. Derudover sender Google gerne en mail til dig om problemet, samt giver dig en advarselsmeddelelse i Google Webmaster Tools.

SEO hacking

Nyt uønsket indhold vist ved site:domæne.dk søgning

Det sker ikke kun for naboen!

Beskytter du ikke din hjemmeside ordentligt, kan du meget let blive udsat for samlebåndsangreb. Et sådant er rettet mod nogle af de sikkerhedshuller, som der er i mange af de populære Open Source CMS systemer. En hacker behøver med andre ord derfor ikke at have et horn i siden på netop dig, for at du bliver udset som et mål – dette sker helt automatisk.

Jeg har set angreb på alt fra danske teleselskaber til køreskoler og personlige blogs. Problemet her er at ikke blot ”svage” hjemmesider får ridser i lakken – det gør større sites som oftest også. Sagen er nemlig den, at det kan tage rigtig lang tid, før at man er sluppet helt af med de uønskede undersider. Og I og med at de nye undersider linker til hjemmesider, som Google vil kvalificere som værende dårlige, vil Google med stor sandsynlighed begynde at kigge skævt til din hjemmeside. Søgemaskinerne kan meget vel også tro, at du bevidst benytter din hjemmeside til at udføre Black Hat SEO, efter at du er blevet hacket. Gør de det, er det klart at det ikke vil gå ustraffet hen. Med andre ord kan der sagtens gå flere år, før du erobrer dine rankings tilbage efter et angreb – hvis du da når tilbage til dit udgangspunkt.

Sund fornuft er vejen frem

Næsten ligegyldigt hvor meget du gør for at beskytte din hjemmeside, er der ting som er ude af dine hænder. Får en hacker således root adgang til en helt server, er der tit ikke så meget at stille op. Lad dette dog ikke være en undskyldning for at sjuske, men træf i stedet de forholdsregler som giver god mening. Selvom at ikke alt er i dine egne hænder, gør du nemlig klogt i at træffe forholdsregler i tilknytning til de ting som du selv er herre over.

Jeg vil derfor anbefale dig følgende:

  • Benyt et unikt password til dine websider, som du ikke bruger til facebook, skype, mail, eller andre former for online tjenester
  • Benyt et særskilt password til FTP, MySql og hostingpanel
  • Sørg for at benytte ORDENTLIGE passwords. Er dit password ”qwerty”, ”1234” eller ”Mikkel1234” fortjener du en visuel lussing fra min side af. Benyt både store bogstaver, små bogstaver, tal og specieltegn – jo flere tegn jo bedre
  • Sørg for altid at have din egen backup af såvel dine filer som din database. Så har du en livlinje når du bliver hacket, din opgradering af dit CMS går galt, når dit hostingselskab går konkurs, eller når der er fejl i den backup som din udbyder sender til dig

 

Sikkerhed i WordPress

Jeg er selv glad bruger af WordPress, og opfordrer desuden venner og bekendte til også at gøre brug af WordPress som CMS. I forhold til sikkerhed, er WordPress udmærket kørende fra start, så længe at du løbende sørger for at opdatere både installation, tema og plugins. Du kan dog øge din hjemmesides sikkerhed betragteligt, ved at installere og konfigurere et plugin ved navn Better WP Security.

I videoen herunder kan du få en kort introduktion til Better WP Security

Udover at installere Better WP Security, kan du foretage en række andre forholdsregler:

  • Installer Google Authenticator. Med dette plugin vil du blive påkrævet en engangskode hver gang at du logger ind i WordPress. Koderne genereres enten i en mobilapp, via SMS eller aflæses i en liste som du kan printe ud. Fordelen her, er at du er bedre stillet når du logger ind fra eksempelvis åbne WiFi netværk, som du benytter på farten. Med andre ord minder Google Authenticator meget om teknikken bag NemID
  • Installer Automatic Updater på sider som du ikke løbende vedligeholder. Ikke alle kigger forbi deres WordPress backend med jævne mellemrum, og får derfor ikke opdateret deres plugins, temaer og selve WordPress installationen. Her vil jeg anbefale at man benytter pluginnet Automatic Updater, som helt automatisk kan tage sig af alle opdateringerne. Du kan læse mere herom, i mit blogindlæg om WordPress opsætning (udkommer inden for de næste par dage)
  • Sørg for løbende automatisk backup. Personligt er jeg stor tilhænger af BackWPup, som jeg sætter til automatisk at tage backup til en S3 server – som oftest Amazon S3 i Irland, som giver de første 5 GB opbevaring gratis (alternativt islandske Greenqloud, som er et prisbilligt og Co2 neutralt alternativ). Min erfaring er at BackWPup i modsætning til andre backup plugins kører som smurt, og tilmed giver fleksible muligheder for at tilvælge hvad der skal tages backup af, og hvor tit det skal ske. Vil man have backup til Dropbox, FTP eller andre af de mest benyttede kanaler til backup, kan dette selvfølgelig også sættes op, enten som den eneste backupressource eller i kombination med en anden backupressource
Amazon S3 backup

Backenden hos Amazon for et af mine EMD’er

TIP: Sikkerhedsrapport for 28,- kr

Er du ikke helt sikker på at din server er konfigureret ordentligt, eller at du har beskyttet dit CMS-system godt nok, vil jeg anbefale dig at du får en fagmand til at gå dit site igennem. Sådan en gennemgang er ofte givet rigtig godt ud, om end den hurtigt kan løbe op i nogle tusinde kroner.

Jeg er dog stødt på et mere end billigt alternativ. Svenske Martin Hellsing tilbyder således at udarbejde en pdf-rapport, hvor han går dit WordPress site og din server igennem for sikkerhedsbrister – benytter du ikke WordPress, så har Martin andre relevante gigs. Hele herligheden koster kun $5, og set i forhold til den leverede rapport, er det et fund til prisen.
Du finder Martin’s gigs på http://fiverr.com/martinhellsing. Du kan sagtens skrive på dansk til Martin – det forstår han godt :)

Sikkerhedstest fra Fiverr

Hurtigt svar og gode anmeldelser – Martin kan anbefales!

Sådan opdager du malware og SEO-hacking

Rigtig mange webmastere begår den fejl, at de ikke holder godt nok øje med deres sites. I værste fald kan det betyde, at der kan gå lang tid før at du opdager hackingen. Kan du derimod opdage hackingen før at søgemaskinerne gør det, kan du slippe for de ulemper som dette vil medføre. Vigtigst af alt kan du slippe for at få dit site blacklistet (hvilket kan dræbe din omsætning i timevis), samt de eftervirkninger som der ofte er i forbindelse med Black Hat Hacking.

Du kan gøre følgende:

  • Tilknyt dit website Google Webmaster Tools
  • Hold øje med din trafikmængde, og følg op hvis du pludseligt mister meget trafik
  • Hold øje med nye links som du modtager, for at se at de ikke peger over imod ukendte sider, at de kommer fra udenlandske sites eller at de har snuskede ankertekster eksempelvis med ord såsom ”porno”, ”sex” og ”viagra”
  • Lav jævnligt en site:domæne.dk søgning på Google, for at se om der automatisk er blevet genereret nye undersider
  • Tjek evt. Google’s caches igennem, for at sikre at hackerne ikke viser forskelligt indhold til normale besøgende og søgemaskinerne

Vær opmærksom på at Google Webmaster Tools først sender dig en email, når de har registreret et problem på dit site, i modsætning til eksempelvis sucuri.net og andre sites selv scanner dit site. Bruger du sitebeak.com og lignende services, bliver Google’s Safe Browsing API ofte benyttet, hvilket igen betyder at du kun underrettes når Google selv har identificeret indholdet som værende snusket. Har du dog fulgt mine råd ovenfor, er chancen for at du bliver hacket meget lille. I så fald ville jeg ikke gå ud at investere, i en løsning fra sucuri.net til andet end meget vigtige sites hvor det vil være en lodret katastrofe at blive midlertidigt blacklistet af Google

 

Er du ramt? Sådan gør du:

Er du blevet udsat for et angreb som ovenfor, skal du i gang med den helt store oprydning, for at sikre at det samme ikke sker igen. Husk på at der er en sikkerhedsbrist på din hjemmeside, siden at problemet overhovedet er opstået. Det er derfor ikke nok at fjerne selve den uønskede kode – du skal også lukke sikkerhedshullet.
Jeg vil derfor anbefale dig at du gør følgende:

  • Fjern den ondsindede/uønskede kode
  • Opgrader dit CMS, dine plugins og dit tema
  • Tjek at hackeren ikke har oprettet nye brugerkonti
  • Skift kodeordet for alle administratorer
  • Skift kodeordet til jeres MySql database
  • Skift kodeordet til jeres FTP/SFTP konti
  • Skift kodeordet til Cpanel, Plesk eller anden form for kontrolpanel som I måtte benytte
  • Scan om nødvendigt computere som I benytter til login for malware og vira
  • Implementer nogle af de sikkerhedsforanstaltninger som beskrevet ovenfor

 

Sådan slipper du af med malware advarslen

Er der tale om malware, er der en række forskellige ting som du kan gøre, for at slippe af med den advarsel som Google viser, når de sender besøgende til din hjemmeside. En advarsel som kan koste trafik, og dermed penge på bundlinjen. Ydermere kan det svække dit brand, hvilket kan være med til at skræmme potentielle kunder væk.

Det første som du skal foretage dig, for at kunne gøre dig forhåbninger om at blive fjernet fra Googles Black List, er at fjerne malwaren fra din hjemmeside. Gør du ikke det, kan du ikke forvente at blive fjernet fra listen. Slet ikke siderne, men fjern blot malwaren. Herefter skal du ind i Google Webmaster Tools, hvor du kan bede om at få din hjemmeside genvurderet. Processen her kan sagtens tage en dags tid – og det er en af de gode grunde, til at du skal prøve helt at undgå at problemerne aldrig opstår.

Er du ikke blot blacklistet på Google, men også blacklistet af Norton Safe Web og andre lignende tjenester, så slå et smut forbi stopbadware.org, hvor du også kan bede af en genvurdering af din side. Du kan se hvor problemerne ligger samt hvor du er blacklistet ved at benytte http://sitecheck.sucuri.net/scanner/. Husk på at tage højde for cross-site warnings, som kommer fordi du benytter tredjepartsfiler fra inficerede domæner. Med andre ord, så vær sikker på at du sletter dine testinstallationer, og at du flytter ALT med over, når du flytter en hjemmeside. At henvise til en javascript fil på et domæne som benytter et gammelt CMS-system, kan nemlig hurtigt medføre en blokering af dit normale website.

Tjek også gerne videoen her fra Google ud, omkring hvordan du får dit site genvurderet:

 

Inden vi slutter af

Så lad os lige kort opsummere…

  • Hacking sker, og kan være skadeligt for dine rankings, dit omdømme og din bundlinje
  • SEO-hacking kan skade dig i mange måneder
  • Hav ordentlige (og unikke) passwords, og sørg altid for at have din egen backup
  • Husk at opdatere dine scripts, plugins og temaer, og slet testinstallationer som du ikke løbende vedligeholder
  • Sørg for at være tilmeldt Google Webmaster Tools
  • Lav løbende site-søgninger på Google, og hold øje med din trafikmængde, hvilke søgeord som du modtager trafik fra, dine indkomne ankertekster samt hvilke domæner der linker til dig (benyt gerne ahrefs.com til link-delen)

Jeg håber meget at du har fået mod på beskytte dine websites, således at du ikke bliver udsat for angreb. Har du spørgsmål eller kommentarer, så er du velkommen til at benytte kommentarfeltet herunder. Du skal også være meget velkommen til at gøre mig en tjeneste, ved at dele indlægget her på Google+, Twitter, Facebook, MySpace eller hvor du nu engang færdes.

VN:F [1.9.22_1171]
Rating: 4.9/5 (9 votes cast)
Sikkerhed – et undervurderet SEO-issue, 4.9 out of 5 based on 9 ratings

9 tanker om "Sikkerhed – et undervurderet SEO-issue"

  1. Laust Kehlet

    Hej Emil

    Fed artikel… Helt sikkert noget at tage til efterretning her… Den der Automatic Updater kan jeg afsløre at jeg nu er blevet halvlun på … Glæder mig til at læse oplægget om den og andre opsætninger af WP, når du får den postet :-)

    Mvh
    Laust

    Svar
  2. Kenneth Wellin

    Hej Emil,

    Rigtig fin artikel, som sætter fokus på et vigtigt område.

    Der findes også flere services på nettet, som kan hjælpe med at holde øje med, om der sker ændringer på et website og så informerer om det pr. email. Det kan være en fin løsning for mange.

    dbh
    Kenneth

    Svar
  3. Emil Verdoes

    Hej Emil,

    Super god og meget grundigt gennemarbejdet artikel om sikkerhed. På baggrund af dit indlæg her har jeg nu installeret Backwpup og opsat det med Amazon S3, som du bl.a. også forklarer på din side.
    Desuden kan jeg også anbefale det plugin der hedder “login lockdown” som sørger for at blokere ip-adresser der forsørger at logge ind for mange gange.

    Dog har jeg et spørgsmål til dig Emil. Min hjemmeside er opbygget sådan at det kun er min blog der er lavet i wordpress resten er ikke lavet i noget CMS system men blot i framworket Twitter Bootstrap.
    Nu har jeg jo installeret dette “Wpbackup”, men det laver jo kun backup af wordpress delen på mit website.
    Har du nogen forslag til hvordan jeg kan lave en nem og effektiv backup af ikke CMS delen uden at jeg skal ud i en manuel proces?

    De bedste hilsner
    Emil

    Svar
    1. blucher Forfatter

      Hej Emil

      Tak for din kommentar. Jeg har tidligere brugt login lockdown til mine sites. Samme funktionalitet er dog indbygget i Better WP Security, hvorfor man at der for mit vedkommende, ikke længere er nogen grund til at benytte det plugin længere.

      Jeg må indrømme næsten samtlige sites som jeg arbejder på, er baseret 100% på WordPress. Jeg har derfor ikke den store erfaring med backupsystemer på serverniveau, som nok er det som du skal have fat i, for at tage automatisk backup af din løsning. Jeg har ikke prøvet https://www.jungledisk.com/business/server/features/ selv, men prøv at tage et kig. Det ser ud til at du kan bruge jungledisk til at tage backup af din server, således at den også kommer over i Amazon S3 eller Rackspace (som står for tjenesten)

      – Emil

      Svar
      1. Emil Verdoes

        Hej igen Emil,

        Tusind tak for linket til Jungledisk, jeg prøver at kigge på det og se om det lever op til mine krav til backup software og om det fungerer lige så perfekt som Backwpup. Men ser nu overordnet set meget fornuftigt ud.
        Men endnu engang tak for dit svar og for en fin og grundig artikel.

        De bedste hilsner
        Emil

        Svar
  4. Patrick T. Rammussen

    Jeg er desværre selv én af dem der ikke går så meget op i sikkerhed i mine wordpress installationer, men kan helt klar godt se pointen og skal til at have fokus på det nu…

    Ofte så tænker man på at WordPress vel har styr på sikkerheden, men ja…

    Svar
  5. Julius

    Rigtig god artikel, Jeg vil helt sikkert begynder at være meget mere påpasselig og gøre meget mere ud af at beskytte mit website. Det kan godt være Jeg lige skal ind og lave om på nogle passwords og være lidt hyppigere inde på google webmaster tool.

    Tak for at du gider dele din viden. Jeg ser meget frem til næste blog post.

    Mvh

    Julius

    Svar
  6. Martin Watson

    En fin artikel.
    Nu hvor jeg har læst den bliver jeg jo pinlig rød i hovedet. Jeg har aldrig gidet at kigge på sikkerheden. Men det er vel som med alt andet. På sin egen computer har man programmer til at blokere det ene og det andet, måske er det også smart at gøre det på ens hjemmeside.

    Fortsat god dag.

    Svar

Skriv et svar

Din e-mailadresse vil ikke blive offentliggjort. Krævede felter er markeret med *