Når du har en VPS, har du full administratortilgang. Det gir frihet, og det gir ansvar. Derfor sikrer vi infrastrukturen rundt serveren din, serverne står i Norden, med datasentre i Danmark, under døgnkontinuerlig overvåking, digitale låser og adgangskontroll. Men selve VPS-en, med operativsystem, brukere, oppdateringer og brannmur, er din.
Det er en viktig forskjell fra et webhotell, der daglig sikkerhetskopi og SSL allerede er satt opp for deg. Sikkerhet på VPS handler om de valgene du tar selv, og den gode nyheten er at de viktigste tiltakene er overkommelige hvis du tar dem i riktig rekkefølge. Her er en prioritert sjekkliste å starte med.
Innholdsfortegnelse:
Før vi går i gang: Hva er egentlig en VPS Server?
7 grep som øker sikkerheten på VPS-en din
1. Hold operativsystemet oppdatert
Oppdateringer tetter kjente sikkerhetshull, og det er det enkleste tiltaket med størst effekt. Når en sårbarhet blir oppdaget i et operativsystem, i grunnprogramvaren som styrer serveren din, kommer leverandøren raskt med en rettelse. Helt til du installerer oppdateringen, står hullet åpent, og angripere leter aktivt etter servere som ikke har oppdatert.
Slå på automatiske sikkerhetsoppdateringer fra dag én. De fleste Linux-systemer har innebygde mekanismer for dette, så serveren henter og installerer kritiske rettelser uten at du må huske på det. Det er det enkleste du gjør for å holde deg trygg over tid.
2. Ikke bruk root til daglig: Lag en bruker
Root er kontoen med full tilgang til alt på serveren, og du bør ikke bruke den til daglig arbeid. Logger du alltid inn som root, betyr én feiltastet kommando eller én kompromittert økt at hele serveren ligger åpen.
Hver bruker skal ha akkurat nok tilgang til å gjøre jobben sin, ikke mer. Lag en vanlig brukerkonto til det daglige, og gi de kontoene utvidede rettigheter bare når en oppgave faktisk krever det. Det begrenser skaden hvis noe går galt, enten det er en feil fra deg selv eller et innbrudd, og det gir deg sporbarhet: du ser hvem som gjorde hva, og når.
3. Sikre SSH-tilgangen
SSH er måten du kobler deg til serveren på utenfra, altså inngangsdøra til VPS-en din. Nettopp derfor er den et av de vanligste angrepspunktene, og verdt å sikre tidlig.
Det viktigste grepet er å bruke nøkler i stedet for passord. En SSH-nøkkel er et langt, kryptografisk nøkkelpar som er praktisk talt umulig å gjette, mens et passord kan prøves igjen og igjen av automatiske angrep. Med nøkkelinnlogging på plass kan du i tillegg vurdere å slå av direkte innlogging som root, så ingen kan logge inn rett på den mektigste kontoen.
Les mer: Hva er SSH? En komplett guide til sikker servertilgang
4. Sett opp en brannmur
En brannmur styrer hvilken trafikk som slipper inn til serveren din, og hvilken som blir avvist. Tenk på den som en dørvakt.
Serveren har mange innganger, én for hver tjeneste den kan kjøre, og hver inngang som står åpen er en mulig vei inn for en angriper. De fleste trenger du aldri. Derfor lukker du alle, og åpner bare dem du faktisk bruker: én så besøkende kan se nettsiden, og én så du selv kan logge inn. Jo færre åpne innganger, jo færre veier inn.
Når dag-én-oppsettet sitter, kan du se på verktøy som automatisk blokkerer IP-adresser etter gjentatte mislykkede innloggingsforsøk. Det er et godt neste steg, men ikke nødvendig før brannmuren og resten er på plass.
5. Bruk sterke passord, og 2FA der det går
Selv med SSH-nøkler på plass finnes det passord på serveren din, til tjenester, databaser og kontrollpaneler. De bør være lange og unike, og helst lagret i en passordbehandler i stedet for i hodet eller på en lapp.
På kritiske tjenester bør du slå på en såkalt 2FA (totrinnsbekreftelse/verifikasjon) der det tilbys. Totrinns betyr at innlogging krever noe du vet (passordet) og noe du har (en kode fra mobilen). Da holder det ikke for en angriper å få tak i bare passordet alene.
6. Sett opp sikkerhetskopiering
På en VPS du drifter selv er sikkerhetskopiering som regel ditt ansvar, og det er en viktig forskjell fra et webhotell, der daglig kopi er inkludert uten at du tenker på det. Sjekk derfor hva som er inkludert hos leverandøren din, og forutsett ikke at noen tar vare på dataene dine automatisk.
En sikkerhetskopi er forskjellen på et irritasjonsmoment og en katastrofe den dagen noe svikter, enten det er en diskfeil, et innbrudd eller virus som krypterer alt. Det viktigste prinsippet er å lagre kopier utenfor selve serveren. Ligger kopien på samme maskin som dataene, forsvinner begge deler samtidig hvis serveren går ned eller blir kompromittert. Test også at du faktisk får gjenopprettet fra en kopi.
Les mer: Backup av nettsiden: Slik sikrer du dataene dine
7. Aktiver HTTPS og SSL for nettstedet du hoster
Hoster du et nettsted eller en tjeneste på VPS-en, bør trafikken krypteres med HTTPS. HTTPS sørger for at det som sendes mellom de besøkende og serveren din ikke kan leses eller endres underveis, og moderne nettlesere merker sider uten det som «ikke sikre».
Sikkerhet er ferskvare
Tiltakene over gjør du i stor grad dag én, men sikkerhet er ikke en engangsjobb. Nye sårbarheter dukker opp, og en server som var trygg i fjor er ikke nødvendigvis trygg i dag.
La oppdateringene gå sin gang, kast et blikk på loggene innimellom så du oppdager noe uvanlig, og rydd vekk brukere og tjenester du ikke lenger bruker. Litt jevnlig ettersyn er nok til å holde VPS-en din trygg over tid. Få andre gode tips til vedlikehold av nettside her.
Ofte stilte spørsmål om sikkerhet på VPS
Sikrer ikke Uniweb VPS-en min automatisk?
Uniweb sikrer datasenteret og infrastrukturen rundt: serverne står i Norden, i datasentre i Danmark, med døgnkontinuerlig overvåking og adgangskontroll. Men når du har full administratortilgang til VPS-en, er selve serveren ditt ansvar. Operativsystem, brukere, oppdateringer, brannmur og sikkerhetskopi er opp til deg.
Hvor begynner jeg hvis serveren er helt ny?
Ta det i rekkefølge. Oppdater operativsystemet først, lag deretter en egen brukerkonto og sikre SSH-tilgangen, og sett så opp en brannmur. Med de tre på plass har du dekket de viktigste grepene, og resten av sjekklisten kommer på toppen.
Er en VPS mindre sikker enn et webhotell?
Nei, ikke i utgangspunktet. Hovedforskjellen er hvor mye du styrer selv. På et webhotell er mye forhåndssatt, blant annet daglig sikkerhetskopi og SSL. På en VPS får du frihet til å sette opp serveren akkurat som du vil, og ansvaret som følger med. Sikret riktig er en VPS like trygg.
En VPS der administrator slurver med sikkerheten, vil derimot være mer åpen for angrep enn et godt administrert webhotell.
Må jeg være ekspert for å sikre en VPS?
Nei, men du bør være komfortabel med å administrere en server selv. Tiltakene i denne sjekklisten er overkommelige når du tar dem i riktig rekkefølge, og mye kan du sette opp én gang og deretter la gå av seg selv.
Er sikkerhetskopi inkludert på VPS-en?
På en VPS du drifter selv er sikkerhetskopiering ditt eget ansvar, til forskjell fra et webhotell der daglig kopi følger med. Sjekk hva som er inkludert hos leverandøren din, og sørg uansett for å lagre kopier utenfor selve serveren.
Om en virtuell privat server føles litt komplisert for deg, kan det være du blir mer fornøyd med et webhotell, eller egen WordPress-hosting (dersom du har en WordPress-side).
Hva gjør jeg hvis jeg trenger hjelp?
Du finner guider og svar i hjelpesenteret vårt. Du kan også sende ta kontakt med oss her hvis du står fast, men husk at en VPS er en server du selv administrerer. Vi kan hjelpe deg med å finne ut om problemene ligger hos oss, men om du trenger mer detaljert assistanse med VPS-en din, vil vi anbefale å for eksempel skaffe bedriften en egen IT-rådgiver.


