Ongeveer 40% van alle websites is gebouwd op basis van het WordPress CMS, waardoor het een interessant doelwit voor hackers is geworden. Er zijn altijd hackers die misbruik willen maken van beveiligingslekken om bijvoorbeeld toegang te krijgen tot het admin-gedeelte of malware te installeren op jouw WordPress blog.
Een standaard WordPress-installatie is niet volledig veilig en voor hackers relatief eenvoudig te kraken. Het is daarom raadzaam om je WordPress website zo snel mogelijk en goed te beveiligen. Een volledig veilige blog bestaat niet, het gaat er echter om het de hacker zo lastig mogelijk te maken – ze zijn tenslotte op zoek naar eenvoudig te kraken WordPress blogs.
Het is daarom van belang dat je ook aandacht besteed aan de beveiliging van WordPress. In dit artikel bekijk ik een aantal zaken die de veiligheid van jouw WordPress website kunnen verbeteren.
Up-to-date houden van je WordPress versie en Plugins
Veruit de belangrijkste stap om je WordPress blog of website te beveiligen is dat je altijd gebruik maakt van de meest recente versie van WordPress en plugins. Alle bestaande en bekende beveiligingslekken en bugs worden overschreven bij elke nieuwe versie van de WordPress core en plugins.
Download daarom altijd de nieuwe updates wanneer deze beschikbaar zijn. Je krijgt een melding te zien in het Administration Panel van WordPress als deze detecteert dat je een verouderde versie gebruikt.
Gebruik nooit de standaard gebruikersnaam ‘Admin’
Tijdens de standaard installatie van WordPress gebruikt het systeem ‘Admin’ als gebruikersnaam, pas deze zo snel mogelijk aan! Dit kan al tijdens de installatie, of eventueel na de installatie van WordPress. Mocht je dit na de installatie alsnog willen aanpassen, volg dan deze onderstaande stappen:
- Maak een nieuwe gebruiker aan met administrator (beheerder) rechten.
- Log uit als ‘admin’ en log onder het account wat je zojuist hebt gecreëerd weer in.
- Verwijder het oude ‘admin’ account. Tijdens het verwijderen kun je de optie aanvinken om alle berichten naar het nieuwe account te migreren.
Logisch gevolg van het gebruik van ‘Admin’ is dat een hacker enkel nog maar jouw wachtwoord hoeft te achterhalen en je blog is gehacked of gecompromitteerd.
Kies een ‘veilig’ Wachtwoord
Wat betreft het gebruik van wachtwoorden is het meer dan logisch om een moeilijk wachtwoord te kiezen. Gebruik 10 of meer tekens en maak gebruik van cijfers, kleine en hoofdletters en tekens zoals %#^&!@$*.
Check altijd de Betrouwbaarheid van Plugins
Niet alle plugins die je wilt gaan installeren zijn even betrouwbaar en veilig. Er zijn een aantal punten waarop je kunt letten als je een nieuwe plugin wilt toevoegen aan jouw WordPress site.
- Een hoge waardering geeft aan dat er geen veiligheidslekken aanwezig zijn en dat gebruikers tevreden zijn.
- Een hoog en uitgebreid versienummer geeft aan dat de plugin developer zijn plugin goed onderhoudt middels meerdere updates.
- Een recente update is natuurlijk beter dan een update van vele maanden geleden.
- Let ook op of de plugin compatible is met de meest recente WordPress versie, zodat jouw site niet crashed.
Een Plugin Installeren voor extra Veiligheid
Er bestaan ook een aantal plugins die de veiligheid van je WordPress site kunnen verbeteren. Deze plugins maken het makkelijker voor de blogger met weinig tot geen ervaring met coderen om de site toch te beveiligen.
Ondanks het feit dat ik persoonlijk liever gebruik maak van codes in verschillende bestanden om mijn sites optimaal te beveiligen, installeer ik ook vaak de ‘Better WP Security’ plugin, vooral op sites voor mijn klanten. Deze plugin checkt de meeste punten welke ik ook in dit artikel beschrijf.
Download Better WP SecurityGratis én vrijblijvend je WordPress website laten testen?
Tot in detail analyseert gonzodesign jouw website op o.a. performance, toegankelijkheid, virussen en/of malware en vindbaarheid in zoekmachines. Spoor de fouten en beveiligingsproblemen op die je site mogelijk belemmeren bij het behalen van topposities in zoekmachines.
WordPress ScanBeveiliging voor Gevorderden
Hierboven staan een aantal simpele manieren om op basis van Doe-Het-Zelf je WordPress site enigzins te beveiligen, maar het kan uiteraard nog beter! Je kunt ook extra beveiliging inbouwen door het aanpassen van je .htaccess
en je wp-config.php
bestand (beide te vinden in de hoofdmap van jouw WordPress installatie) .
In deze 2 bestanden kun je bijv. toegang tot je WordPress mappen verbieden, bestanden (zoals bijv. de .htaccess
en de wp-config.php
bestanden) afschermen voor anderen, Security keys toevoegen, de WordPress table prefix wijzigen, bestandsrechten toekennen op de server, het aantal inlogpogingen beperken, etc., etc.
Om het .htaccess
bestand en je wp-config.php
te kunnen bewerken heb je een FTP programma nodig (bijv. FilleZilla) en een eenvoudige editor (bijv. Notepad++, of SublimeText2) om jouw broncode aan te kunnen passen.
Tip: Maak altijd Backups van je WordPress site
Maak regelmatig een backup van de WordPress bestanden op de server en je database. Als er om wat voor reden dan ook bestanden verloren gaan (bijvoorbeeld doordat jouw site is gehacked) dan heb je altijd nog een backup achter de hand en kun je de bestanden weer herstellen.
Conclusie
Met bovenstaande tips kun je de beveiliging van jouw WordPress website sterk verbeteren. Het biedt echter geen garantie voor de veiligheid van je website. Houd in elk geval goed in de gaten of er nieuwe WordPress updates en plugin updates zijn, want de meest voorkomende oorzaak van een gehackte WordPress site is een verouderde WordPress versie met ernstige beveiligingslekken.
Mocht je geïnteresseerd zijn in WordPress beveiliging, neem dan contact op met mij.
Nog Geen Reacties
Sorry, maar het is niet (meer) mogelijk te reageren op dit artikel.