Ongeveer 20% van alle websites is gebouwd op basis van het WordPress CMS, waardoor het een interessant doelwit voor hackers is geworden. Er zijn altijd hackers die misbruik willen maken van beveiligingslekken om bijvoorbeeld toegang te krijgen tot het admin-gedeelte of malware te installeren op uw WordPress blog.
Een standaard WordPress-installatie is niet volledig veilig en voor hackers relatief eenvoudig te kraken. Het is daarom raadzaam om uw WordPress website zo snel mogelijk en goed te beveiligen. Een volledig veilige blog bestaat niet, het gaat er echter om het de hacker zo lastig mogelijk te maken – ze zijn tenslotte op zoek naar eenvoudig te kraken WordPress blogs.
Het is daarom van belang dat u ook aandacht besteed aan de beveiliging van WordPress. In dit artikel bekijk ik een aantal zaken die de veiligheid van uw WordPress website kunnen verbeteren.
Up-to-date houden van uw WordPress versie en Plugins
Veruit de belangrijkste stap om uw WordPress blog of website te beveiligen is dat u altijd gebruik maakt van de meest recente versie van WordPress en plugins. Alle bestaande en bekende beveiligingslekken en bugs worden overschreven bij elke nieuwe versie van de WordPress core en plugins.
Download daarom altijd de nieuwe updates wanneer deze beschikbaar zijn. U krijgt een melding te zien in het Administration Panel van WordPress als deze detecteert dat u een verouderde versie gebruikt.
Vergeet niet om plugins die u niet (meer) gebruikt te verwijderen en hetzelfde geldt ook voor themes. Denk er wel aan een recente backup te maken voordat u updates uitvoert!
Gebruik nooit de standaard gebruikersnaam ‘Admin’
Tijdens de standaard installatie van WordPress gebruikt het systeem ‘Admin’ als gebruikersnaam, pas deze zo snel mogelijk aan! Dit kan al tijdens de installatie, of eventueel na de installatie van WordPress. Mocht u dit na de installatie alsnog willen aanpassen, volg dan deze onderstaande stappen:
- Maak een nieuwe gebruiker aan met administrator (beheerder) rechten.
- Log uit als ‘admin’ en log onder het account wat uw zojuist heeft gecreëerd weer in.
- Verwijder het oude ‘admin’ account. Tijdens het verwijderen kunt uw de optie aanvinken om alle berichten naar het nieuwe account te migreren.
Logisch gevolg van het gebruik van ‘Admin’ is dat een hacker enkel nog maar uw wachtwoord hoeft te achterhalen en uw blog is gehacked of gecompromitteerd.
Kies een ‘veilig’ Wachtwoord
Wat betreft het gebruik van wachtwoorden is het meer dan logisch om een moeilijk wachtwoord te kiezen. Gebruik 10 of meer tekens en maak gebruik van cijfers, kleine en hoofdletters en tekens zoals %#^&!@$*.
Tip: Ook is het niet verstandig om op meerdere systemen of sites hetzelfde wachtwoord te gebruiken! Maar het is ook raadzaam om uw wachtwoord op regelmatige tijden te wijzigen om het elke hacker zo moeilijk mogelijk te maken.
Check altijd de Betrouwbaarheid van Plugins
Niet alle plugins die u wilt gaan installeren zijn even betrouwbaar en veilig. Er zijn een aantal punten waarop u kunt letten als u een nieuwe plugin wilt toevoegen aan uw WordPress site.
- Een hoge waardering geeft aan dat er geen veiligheidslekken aanwezig zijn en dat gebruikers tevreden zijn.
- Een hoog en uitgebreid versienummer geeft aan dat de plugin developer zijn plugin goed onderhoudt middels meerdere updates.
- Een recente update is natuurlijk beter dan een update van vele maanden geleden.
- Let ook op of de plugin compatible is met de meest recente WordPress versie, zodat uw site niet crashed.
Een Plugin Installeren voor extra Veiligheid
Er bestaan ook een aantal plugins die de veiligheid van uw WordPress site kunnen verbeteren. Deze plugins maken het makkelijker voor de blogger met weinig tot geen ervaring met coderen om de site toch te beveiligen.
Ondanks het feit dat ik persoonlijk liever gebruik maak van codes in verschillende bestanden om mijn sites optimaal te beveiligen, installeer ik ook vaak de ‘Better WP Security’ plugin, vooral op sites voor mijn klanten. Deze plugin checkt de meeste punten welke ik ook in dit artikel beschrijf.
Download Better WP SecurityBeveiliging voor Gevorderden
Hierboven staan een aantal simpele manieren om op basis van Doe-Het-Zelf uw WordPress site enigzins te beveiligen, maar het kan uiteraard nog beter! U kunt ook extra beveiliging inbouwen door het aanpassen van uw .htaccess en uw wp-config.php bestand (beide te vinden in de hoofdmap van uw WordPress installatie) .
Om het .htaccess bestand en uw wp-config.php te kunnen bewerken heeft u een FTP programma nodig (bijv. FilleZilla) en een eenvoudige editor (bijv. Notepad++, of SublimeText2) om uw broncode aan te kunnen passen.
In deze 2 bestanden kunt u bijv. toegang tot uw WordPress mappen verbieden, bestanden (zoals bijv. de .htaccess en de wp-config.php bestanden) afschermen voor anderen, Security keys toevoegen, de WordPress table prefix wijzigen, bestandsrechten toekennen op de server, het aantal inlogpogingen beperken, etc., etc.
Ik heb hierover in mijn (engelstalige) blog 2 uitgebreide artikelen geschreven:
.htaccess codes wp-config.php codesTip: Maak altijd Backups van uw WordPress site
Maak regelmatig een backup van de WordPress bestanden op de server en uw database. Als er om wat voor reden dan ook bestanden verloren gaan (bijvoorbeeld doordat uw site is gehacked) dan heeft u altijd nog een backup achter de hand en kunt u de bestanden weer herstellen.
Conclusie
Met bovenstaande tips kunt u de beveiliging van uw WordPress website sterk verbeteren. Het biedt echter geen garantie voor de veiligheid van uw website. Houd in elk geval goed in de gaten of er nieuwe WordPress updates en plugin updates zijn, want de meest voorkomende oorzaak van een gehackete WordPress site is een verouderde WordPress versie met ernstige beveiligingslekken.
Mocht u hulp nodig hebben met het beveiligen van uw WordPress site, neem dan contact op met mij.
Deel dit Bericht:
Nog Geen Reacties
Sorry, maar het is niet mogelijk te reageren op dit artikel.