Een goede WordPress beveiliging is super belangrijk, omdat er altijd hackers zijn die misbruik willen maken van beveiligingslekken om toegang te krijgen tot het admin-gedeelte of malware te installeren op jouw WordPress website.
WordPress is een krachtig en populair platform, maar dat maakt het ook een doelwit voor hackers. Ongeveer 40% van alle websites is gebouwd op basis van het WordPress CMS, waardoor het een interessant doelwit voor hackers is geworden.
Een standaard WordPress installatie is niet volledig veilig en voor hackers relatief eenvoudig te kraken. Het is daarom raadzaam om je WordPress website zo snel mogelijk en goed te beveiligen. Een volledig veilige blog bestaat niet, het gaat er echter om het de hacker zo lastig mogelijk te maken – ze zijn tenslotte op zoek naar eenvoudig te kraken WordPress blogs.
Inhoudsopgave
- Up-to-date houden van je WordPress versie en plugins
- Gebruik nooit de standaard gebruikersnaam ‘Admin’
- Kies een ‘veilig’ wachtwoord
- Verander de standaard login-URL
- Beperk het aantal inlogpogingen
- Gebruik een SSL-certificaat (HTTPS)
- Voeg beveiligingsheaders toe
- Beperk bestandsrechten
- Gebruik een betrouwbare hostingprovider
- Check altijd de betrouwbaarheid van plugins
- Een plugin installeren voor extra veiligheid
- Beveiliging voor gevorderden
- Tip: Maak altijd backups van je WordPress site
Het is daarom van belang dat je ook aandacht besteed aan de beveiliging van WordPress. In dit artikel bekijk ik een aantal zaken die de veiligheid van jouw WordPress website kunnen verbeteren.
#Up-to-date houden van je WordPress versie en plugins
Veruit de belangrijkste stap om je WordPress blog of website te beveiligen is dat je altijd gebruik maakt van de meest recente versie van WordPress en plugins. Alle bestaande en bekende beveiligingslekken en bugs worden overschreven bij elke nieuwe versie van de WordPress core en plugins.
Download daarom altijd de nieuwe updates wanneer deze beschikbaar zijn. Je krijgt een melding te zien in het Administration Panel van WordPress als deze detecteert dat je een verouderde versie gebruikt.
#Gebruik nooit de standaard gebruikersnaam ‘Admin’
Tijdens de standaard installatie van WordPress gebruikt het systeem ‘Admin’ als gebruikersnaam, pas deze zo snel mogelijk aan! Dit kan al tijdens de installatie, of eventueel na de installatie van WordPress. Mocht je dit na de installatie alsnog willen aanpassen, volg dan deze onderstaande stappen:
- Maak een nieuwe gebruiker aan met administrator (beheerder) rechten.
- Log uit als ‘admin’ en log onder het account wat je zojuist hebt gecreëerd weer in.
- Verwijder het oude ‘admin’ account. Tijdens het verwijderen kun je de optie aanvinken om alle berichten naar het nieuwe account te migreren.
Logisch gevolg van het gebruik van ‘Admin’ is dat een hacker enkel nog maar jouw wachtwoord hoeft te achterhalen en je blog is gehacked of gecompromitteerd.
#Kies een ‘veilig’ wachtwoord
Wat betreft het gebruik van wachtwoorden is het meer dan logisch om een moeilijk wachtwoord te kiezen. Gebruik 10 of meer tekens en maak gebruik van cijfers, kleine en hoofdletters en tekens zoals %#^&!@$*.
#Verander de standaard login-URL
De standaard login-URL (/wp-login.php
of /wp-admin
) is bij hackers bekend en wordt vaak aangevallen. Gebruik een plugin zoals WPS Hide Login om deze URL aan te passen. Dit maakt het voor bots en kwaadwillenden moeilijker om je inlogpagina te vinden.
#Beperk het aantal inlogpogingen
Voorkom brute-force aanvallen door het aantal mislukte inlogpogingen te beperken. Plugins zoals Limit Login Attempts Reloaded kunnen hierbij helpen.
#Gebruik een SSL-certificaat (HTTPS)
Een SSL-certificaat versleutelt de gegevensoverdracht tussen je website en de bezoekers, wat essentieel is voor de beveiliging. De meeste hostingproviders bieden gratis SSL-certificaten aan via Let’s Encrypt. Zorg ervoor dat je website altijd via HTTPS toegankelijk is.
#Voeg beveiligingsheaders toe
Beveiligingsheaders zoals Content-Security-Policy
, X-Frame-Options
en Strict-Transport-Security
helpen bij het voorkomen van veelvoorkomende aanvallen zoals XSS en clickjacking. Deze headers kunnen worden toegevoegd via je .htaccess
-bestand of met behulp van beveiliging plugins.
#Beperk bestandsrechten
Zorg ervoor dat de bestands- en maprechten correct zijn ingesteld om ongeautoriseerde toegang te voorkomen. Een veelgebruikte configuratie is:
- Bestanden:
644
- Mappen:
755
wp-config.php
:600
#Gebruik een betrouwbare hostingprovider
Een goede hostingprovider biedt niet alleen snelheid en uptime, maar ook beveiligingsmaatregelen zoals malware-scans, DDoS-bescherming en automatische back-ups. Zorg ervoor dat je hostingprovider deze diensten aanbiedt.
#Check altijd de betrouwbaarheid van plugins
Niet alle plugins die je wilt gaan installeren zijn even betrouwbaar en veilig. Er zijn een aantal punten waarop je kunt letten als je een nieuwe plugin wilt toevoegen aan jouw WordPress site.
- Een hoge waardering geeft aan dat er geen veiligheidslekken aanwezig zijn en dat gebruikers tevreden zijn.
- Een hoog en uitgebreid versienummer geeft aan dat de plugin developer zijn plugin goed onderhoudt middels meerdere updates.
- Een recente update is natuurlijk beter dan een update van vele maanden geleden.
- Let ook op of de plugin compatible is met de meest recente WordPress versie, zodat jouw site niet crashed.
#Een plugin installeren voor extra veiligheid
Er bestaan ook een aantal plugins die de veiligheid van je WordPress site kunnen verbeteren. Deze plugins maken het makkelijker voor de blogger met weinig tot geen ervaring met coderen om de site toch te beveiligen.
Ondanks het feit dat ik persoonlijk liever gebruik maak van codes in verschillende bestanden om mijn sites optimaal te beveiligen, installeer ik ook vaak de ‘Better WP Security’ plugin, vooral op sites voor mijn klanten. Deze plugin checkt de meeste punten welke ik ook in dit artikel beschrijf.
Download Better WP SecurityGratis én vrijblijvend je WordPress website laten testen?
Tot in detail analyseert gonzodesign jouw website op o.a. performance, toegankelijkheid, virussen en/of malware en vindbaarheid in zoekmachines. Spoor de fouten en beveiligingsproblemen op die je site mogelijk belemmeren bij het behalen van topposities in zoekmachines.
WordPress Scan#Beveiliging voor gevorderden
Hierboven staan een aantal simpele manieren om op basis van Doe-Het-Zelf je WordPress site enigzins te beveiligen, maar het kan uiteraard nog beter! Je kunt ook extra beveiliging inbouwen door het aanpassen van je .htaccess
en je wp-config.php
bestand (beide te vinden in de hoofdmap van jouw WordPress installatie) .
In deze 2 bestanden kun je bijv. toegang tot je WordPress mappen verbieden, bestanden (zoals bijv. de .htaccess
en de wp-config.php
bestanden) afschermen voor anderen, Security keys toevoegen, de WordPress table prefix wijzigen, bestandsrechten toekennen op de server, het aantal inlogpogingen beperken, etc., etc.
Om het .htaccess
bestand en je wp-config.php
te kunnen bewerken heb je een FTP programma nodig (bijv. FilleZilla) en een eenvoudige editor (bijv. Notepad++, of SublimeText2) om jouw broncode aan te kunnen passen.
#Tip: Maak altijd backups van je WordPress site
Maak regelmatig een backup van de WordPress bestanden op de server en je database. Als er om wat voor reden dan ook bestanden verloren gaan (bijvoorbeeld doordat jouw site is gehacked) dan heb je altijd nog een backup achter de hand en kun je de bestanden weer herstellen.
Bottomline
Met bovenstaande tips kun je de beveiliging van jouw WordPress website sterk verbeteren. Het biedt echter geen garantie voor de veiligheid van je website. Houd in elk geval goed in de gaten of er nieuwe WordPress updates en plugin updates zijn, want de meest voorkomende oorzaak van een gehackte WordPress site is een verouderde WordPress versie met ernstige beveiligingslekken.
WordPress beveiliging van je website hoeft niet ingewikkeld te zijn. Door bovenstaande stappen te volgen, verklein je de kans op een succesvolle aanval aanzienlijk. Regelmaat, waakzaamheid en slimme tools vormen de sleutel tot een veilige WordPress website.
Mocht je geïnteresseerd zijn in goede WordPress beveiliging voor jouw website, neem dan contact op met mij.
Nog Geen Reacties
Sorry, maar het is niet (meer) mogelijk te reageren op dit artikel.