Ongeveer 20% van alle websites is gebouwd op basis van het WordPress CMS, waardoor het een interessant doelwit voor hackers is geworden. Er zijn altijd hackers die misbruik willen maken van beveiligingslekken om bijvoorbeeld toegang te krijgen tot het admin-gedeelte of malware te installeren op jouw WordPress blog.

Een standaard WordPress-installatie is niet volledig veilig en voor hackers relatief eenvoudig te kraken. Het is daarom raadzaam om je WordPress website zo snel mogelijk en goed te beveiligen. Een volledig veilige blog bestaat niet, het gaat er echter om het de hacker zo lastig mogelijk te maken – ze zijn tenslotte op zoek naar eenvoudig te kraken WordPress blogs.

Het is daarom van belang dat je ook aandacht besteed aan de beveiliging van WordPress. In dit artikel bekijk ik een aantal zaken die de veiligheid van jouw WordPress website kunnen verbeteren.

Up-to-date houden van je WordPress versie en Plugins

Veruit de belangrijkste stap om je WordPress blog of website te beveiligen is dat je altijd gebruik maakt van de meest recente versie van WordPress en plugins. Alle bestaande en bekende beveiligingslekken en bugs worden overschreven bij elke nieuwe versie van de WordPress core en plugins.

Download daarom altijd de nieuwe updates wanneer deze beschikbaar zijn. Je krijgt een melding te zien in het Administration Panel van WordPress als deze detecteert dat je een verouderde versie gebruikt.

Vergeet niet om plugins die je niet (meer) gebruikt te verwijderen en hetzelfde geldt ook voor themes. Denk er wel aan een recente backup te maken voordat je updates uitvoert!

Gebruik nooit de standaard gebruikersnaam ‘Admin’

Tijdens de standaard installatie van WordPress gebruikt het systeem ‘Admin’ als gebruikersnaam, pas deze zo snel mogelijk aan! Dit kan al tijdens de installatie, of eventueel na de installatie van WordPress. Mocht je dit na de installatie alsnog willen aanpassen, volg dan deze onderstaande stappen:

  • Maak een nieuwe gebruiker aan met administrator (beheerder) rechten.
  • Log uit als ‘admin’ en log onder het account wat je zojuist hebt gecreëerd weer in.
  • Verwijder het oude ‘admin’ account. Tijdens het verwijderen kun je de optie aanvinken om alle berichten naar het nieuwe account te migreren.

Logisch gevolg van het gebruik van ‘Admin’ is dat een hacker enkel nog maar jouw wachtwoord hoeft te achterhalen en je blog is gehacked of gecompromitteerd.

Kies een ‘veilig’ Wachtwoord

Wat betreft het gebruik van wachtwoorden is het meer dan logisch om een moeilijk wachtwoord te kiezen. Gebruik 10 of meer tekens en maak gebruik van cijfers, kleine en hoofdletters en tekens zoals %#^&!@$*.

Tip: Ook is het niet verstandig om op meerdere systemen of sites hetzelfde wachtwoord te gebruiken! Maar het is ook raadzaam om je wachtwoord op regelmatige tijden te wijzigen om het elke hacker zo moeilijk mogelijk te maken.

Check altijd de Betrouwbaarheid van Plugins

Niet alle plugins die je wilt gaan installeren zijn even betrouwbaar en veilig. Er zijn een aantal punten waarop je kunt letten als je een nieuwe plugin wilt toevoegen aan jouw WordPress site.

  • Een hoge waardering geeft aan dat er geen veiligheidslekken aanwezig zijn en dat gebruikers tevreden zijn.
  • Een hoog en uitgebreid versienummer geeft aan dat de plugin developer zijn plugin goed onderhoudt middels meerdere updates.
  • Een recente update is natuurlijk beter dan een update van vele maanden geleden.
  • Let ook op of de plugin compatible is met de meest recente WordPress versie, zodat jouw site niet crashed.

Een Plugin Installeren voor extra Veiligheid

Er bestaan ook een aantal plugins die de veiligheid van je WordPress site kunnen verbeteren. Deze plugins maken het makkelijker voor de blogger met weinig tot geen ervaring met coderen om de site toch te beveiligen.

Ondanks het feit dat ik persoonlijk liever gebruik maak van codes in verschillende bestanden om mijn sites optimaal te beveiligen, installeer ik ook vaak de ‘Better WP Security’ plugin, vooral op sites voor mijn klanten. Deze plugin checkt de meeste punten welke ik ook in dit artikel beschrijf.

Download Better WP Security

Beveiliging voor Gevorderden

Hierboven staan een aantal simpele manieren om op basis van Doe-Het-Zelf je WordPress site enigzins te beveiligen, maar het kan uiteraard nog beter! Je kunt ook extra beveiliging inbouwen door het aanpassen van je .htaccess en je wp-config.php bestand (beide te vinden in de hoofdmap van jouw WordPress installatie) .

Om het .htaccess bestand en je wp-config.php te kunnen bewerken heb je een FTP programma nodig (bijv. FilleZilla) en een eenvoudige editor (bijv. Notepad++, of SublimeText2) om jouw broncode aan te kunnen passen.

In deze 2 bestanden kun je bijv. toegang tot je WordPress mappen verbieden, bestanden (zoals bijv. de .htaccess en de wp-config.php bestanden) afschermen voor anderen, Security keys toevoegen, de WordPress table prefix wijzigen, bestandsrechten toekennen op de server, het aantal inlogpogingen beperken, etc., etc.

Ik heb hierover in mijn (engelstalige) blog 2 uitgebreide artikelen geschreven:

.htaccess codes wp-config.php codes

Tip: Maak altijd Backups van je WordPress site

Maak regelmatig een backup van de WordPress bestanden op de server en je database. Als er om wat voor reden dan ook bestanden verloren gaan (bijvoorbeeld doordat jouw site is gehacked) dan heb je altijd nog een backup achter de hand en kunje de bestanden weer herstellen.

Conclusie

Met bovenstaande tips kun je de beveiliging van jouw WordPress website sterk verbeteren. Het biedt echter geen garantie voor de veiligheid van je website. Houd in elk geval goed in de gaten of er nieuwe WordPress updates en plugin updates zijn, want de meest voorkomende oorzaak van een gehackete WordPress site is een verouderde WordPress versie met ernstige beveiligingslekken.

Mocht je hulp nodig hebben met het beveiligen van jouw WordPress site, neem dan contact op met mij.

Deel dit Bericht:

Auteur: Jan Rajtoral

Jan Rajtoral is een ervaren grafische vormgever en webdesigner. Hij heeft een ruime ervaring met Front-end web design (HTML, CSS en JS/jQuery), User Experience (UX), Toegankelijkheid (WCAG), Performance en WordPress Ontwikkeling & Thema Ontwerp. Maar hij ontwerpt en ontwikkelt ook logo’s en huisstijlen, waarbij hij altijd streeft naar merkconsistentie in het hele ontwerp.