Eenvoudige Stappen voor een betere WordPress Beveiliging

Een goede WordPress beveiliging is super belangrijk, omdat er altijd hackers zijn die misbruik willen maken van beveiligingslekken om toegang te krijgen tot het admin-gedeelte of malware te installeren op jouw WordPress website.

WordPress is een krachtig en populair platform, maar dat maakt het ook een doelwit voor hackers. Ongeveer 40% van alle websites is gebouwd op basis van het WordPress CMS, waardoor het een interessant doelwit voor hackers is geworden. 

Een standaard WordPress installatie is niet volledig veilig en voor hackers relatief eenvoudig te kraken. Het is daarom raadzaam om je WordPress website zo snel mogelijk en goed te beveiligen. Een volledig veilige blog bestaat niet, het gaat er echter om het de hacker zo lastig mogelijk te maken – ze zijn tenslotte op zoek naar eenvoudig te kraken WordPress blogs.

Inhoudsopgave

Het is daarom van belang dat je ook aandacht besteed aan de beveiliging van WordPress. In dit artikel bekijk ik een aantal zaken die de veiligheid van jouw WordPress website kunnen verbeteren.

#Up-to-date houden van je WordPress versie en plugins

Veruit de belangrijkste stap om je WordPress blog of website te beveiligen is dat je altijd gebruik maakt van de meest recente versie van WordPress en plugins. Alle bestaande en bekende beveiligingslekken en bugs worden overschreven bij elke nieuwe versie van de WordPress core en plugins.

Download daarom altijd de nieuwe updates wanneer deze beschikbaar zijn. Je krijgt een melding te zien in het Administration Panel van WordPress als deze detecteert dat je een verouderde versie gebruikt.

Vergeet niet om plugins die je niet (meer) gebruikt te verwijderen en hetzelfde geldt ook voor themes. Denk er wel aan een recente backup te maken voordat je updates uitvoert!

#Gebruik nooit de standaard gebruikersnaam ‘Admin’

Tijdens de standaard installatie van WordPress gebruikt het systeem ‘Admin’ als gebruikersnaam, pas deze zo snel mogelijk aan! Dit kan al tijdens de installatie, of eventueel na de installatie van WordPress. Mocht je dit na de installatie alsnog willen aanpassen, volg dan deze onderstaande stappen:

  • Maak een nieuwe gebruiker aan met administrator (beheerder) rechten.
  • Log uit als ‘admin’ en log onder het account wat je zojuist hebt gecreëerd weer in.
  • Verwijder het oude ‘admin’ account. Tijdens het verwijderen kun je de optie aanvinken om alle berichten naar het nieuwe account te migreren.

Logisch gevolg van het gebruik van ‘Admin’ is dat een hacker enkel nog maar jouw wachtwoord hoeft te achterhalen en je blog is gehacked of gecompromitteerd.

#Kies een ‘veilig’ wachtwoord

Wat betreft het gebruik van wachtwoorden is het meer dan logisch om een moeilijk wachtwoord te kiezen. Gebruik 10 of meer tekens en maak gebruik van cijfers, kleine en hoofdletters en tekens zoals %#^&!@$*.

Tip: Ook is het niet verstandig om op meerdere systemen of sites hetzelfde wachtwoord te gebruiken! Maar het is ook raadzaam om je wachtwoord op regelmatige tijden te wijzigen om het elke hacker zo moeilijk mogelijk te maken.

#Verander de standaard login-URL

De standaard login-URL (/wp-login.php of /wp-admin) is bij hackers bekend en wordt vaak aangevallen. Gebruik een plugin zoals WPS Hide Login om deze URL aan te passen. Dit maakt het voor bots en kwaadwillenden moeilijker om je inlogpagina te vinden.​

#Beperk het aantal inlogpogingen

Voorkom brute-force aanvallen door het aantal mislukte inlogpogingen te beperken. Plugins zoals Limit Login Attempts Reloaded kunnen hierbij helpen.

#Gebruik een SSL-certificaat (HTTPS)

Een SSL-certificaat versleutelt de gegevensoverdracht tussen je website en de bezoekers, wat essentieel is voor de beveiliging. De meeste hostingproviders bieden gratis SSL-certificaten aan via Let’s Encrypt. Zorg ervoor dat je website altijd via HTTPS toegankelijk is.

#Voeg beveiligingsheaders toe

Beveiligingsheaders zoals Content-Security-Policy, X-Frame-Options en Strict-Transport-Security helpen bij het voorkomen van veelvoorkomende aanvallen zoals XSS en clickjacking. Deze headers kunnen worden toegevoegd via je .htaccess-bestand of met behulp van beveiliging plugins.

#Beperk bestandsrechten

Zorg ervoor dat de bestands- en maprechten correct zijn ingesteld om ongeautoriseerde toegang te voorkomen. Een veelgebruikte configuratie is:

  • Bestanden: 644
  • Mappen: 755
  • wp-config.php: 600

#Gebruik een betrouwbare hostingprovider

Een goede hostingprovider biedt niet alleen snelheid en uptime, maar ook beveiligingsmaatregelen zoals malware-scans, DDoS-bescherming en automatische back-ups. Zorg ervoor dat je hostingprovider deze diensten aanbiedt.

#Check altijd de betrouwbaarheid van plugins

Niet alle plugins die je wilt gaan installeren zijn even betrouwbaar en veilig. Er zijn een aantal punten waarop je kunt letten als je een nieuwe plugin wilt toevoegen aan jouw WordPress site.

  • Een hoge waardering geeft aan dat er geen veiligheidslekken aanwezig zijn en dat gebruikers tevreden zijn.
  • Een hoog en uitgebreid versienummer geeft aan dat de plugin developer zijn plugin goed onderhoudt middels meerdere updates.
  • Een recente update is natuurlijk beter dan een update van vele maanden geleden.
  • Let ook op of de plugin compatible is met de meest recente WordPress versie, zodat jouw site niet crashed.

#Een plugin installeren voor extra veiligheid

Er bestaan ook een aantal plugins die de veiligheid van je WordPress site kunnen verbeteren. Deze plugins maken het makkelijker voor de blogger met weinig tot geen ervaring met coderen om de site toch te beveiligen.

Ondanks het feit dat ik persoonlijk liever gebruik maak van codes in verschillende bestanden om mijn sites optimaal te beveiligen, installeer ik ook vaak de ‘Better WP Security’ plugin, vooral op sites voor mijn klanten. Deze plugin checkt de meeste punten welke ik ook in dit artikel beschrijf.

Download Better WP Security

Gratis én vrijblijvend je WordPress website laten testen?

Tot in detail analyseert gonzodesign jouw website op o.a. performance, toegankelijkheid, virussen en/of malware en vindbaarheid in zoekmachines. Spoor de fouten en beveiligingsproblemen op die je site mogelijk belemmeren bij het behalen van topposities in zoekmachines.

WordPress Scan

#Beveiliging voor gevorderden

Hierboven staan een aantal simpele manieren om op basis van Doe-Het-Zelf je WordPress site enigzins te beveiligen, maar het kan uiteraard nog beter! Je kunt ook extra beveiliging inbouwen door het aanpassen van je .htaccess en je wp-config.php bestand (beide te vinden in de hoofdmap van jouw WordPress installatie) .

In deze 2 bestanden kun je bijv. toegang tot je WordPress mappen verbieden, bestanden (zoals bijv. de .htaccess en de wp-config.php bestanden) afschermen voor anderen, Security keys toevoegen, de WordPress table prefix wijzigen, bestandsrechten toekennen op de server, het aantal inlogpogingen beperken, etc., etc.

Om het .htaccess bestand en je wp-config.php te kunnen bewerken heb je een FTP programma nodig (bijv. FilleZilla) en een eenvoudige editor (bijv. Notepad++, of SublimeText2) om jouw broncode aan te kunnen passen.

Ik heb hierover een artikel geschreven in mijn blog: Het beveiligen van je WordPress website via het .htaccess bestand.

#Tip: Maak altijd backups van je WordPress site

Maak regelmatig een backup van de WordPress bestanden op de server en je database. Als er om wat voor reden dan ook bestanden verloren gaan (bijvoorbeeld doordat jouw site is gehacked) dan heb je altijd nog een backup achter de hand en kun je de bestanden weer herstellen.

Bottomline

Met bovenstaande tips kun je de beveiliging van jouw WordPress website sterk verbeteren. Het biedt echter geen garantie voor de veiligheid van je website. Houd in elk geval goed in de gaten of er nieuwe WordPress updates en plugin updates zijn, want de meest voorkomende oorzaak van een gehackte WordPress site is een verouderde WordPress versie met ernstige beveiligingslekken.

WordPress beveiliging van je website hoeft niet ingewikkeld te zijn. Door bovenstaande stappen te volgen, verklein je de kans op een succesvolle aanval aanzienlijk. Regelmaat, waakzaamheid en slimme tools vormen de sleutel tot een veilige WordPress website.

Mocht je geïnteresseerd zijn in goede WordPress beveiliging voor jouw website, neem dan contact op met mij.

Deel dit Bericht:

Categorie: WordPress | Tags: ,
Avatar for Jan Rajtoral

Auteur: Jan Rajtoral

Jan Rajtoral is een ervaren grafische vormgever en webdesigner. Hij heeft een ruime ervaring met Front-end web design (HTML, CSS en JS/jQuery), User Experience (UX), Toegankelijkheid (WCAG), Performance en WordPress Ontwikkeling & Thema Ontwerp. Maar hij ontwerpt en ontwikkelt ook logo’s en huisstijlen, waarbij hij altijd streeft naar merkconsistentie in het hele ontwerp.

Artikel Nav