Hoe uw WordPress website beveiligen?

Je kon er vorige week niet om heen. Sinds vorige vrijdag hoorden we in het nieuws een aantal niet zo prettige nieuwsfeiten over massale ransomware aanvallen. Dit toont nogmaals aan dan we internetbeveiliging niet zomaar aan ons mogen voorbij laten gaan. Buitengewoon Communicatie bouwt heel wat websites en webwinkels met WordPress. Wij vragen onze website eigenaren steeds ervoor te zorgen dat hun websites veilig blijven voor zowel hen als de bezoekers van de websites. Hoe uw WordPress website beveiligen?

10 tips om je WordPress website te beveiligen

In dit artikel geef ik je graag 10 tips om de beveiliging van je WordPress website te verbeteren. Deze tips zijn door iedereen toepasbaar, hier hoef je geen internet techneut voor te zijn 🙂
Onthoud echter dat je brute force attacks niet volledig kan elimineren maar het risico op hacking verkleinen kan wel.

  1. Gebruik nooit admin als gebruikersnaam
  2. Gebruik altijd verschillende wachtwoorden
  3. Maak gebruik van two-factor authentification
  4. Verberg wp-config.php en .htaccess
  5. Blokkeer het bewerken van bestanden
  6. Beperk inlog pogingen
  7. Hosting
  8. Hou alles up-to-date
  9. Betrouwbare plugins en thema’s
  10. Beperk gebruikers toegang

 

1. Gebruik nooit admin als gebruikersnaam

Deze stap is waarschijnlijk de simpelste stap om uw WordPress website extra te beveiligen. De meest voorkomende aanvallen gebeuren op de wp-admin en de wp-login pagina’s met als loginnaam “admin”. Logisch dat wanneer je de standaard loginnaam niet wijzigt en deze op admin laat staat het voor de hacker enkel maar kwestie is van het paswoord te ontrafelen. Wanneer we dus admin wijzigen in een zelf gekozen login verhogen we de veiligheid doordat nu de hacker ook eerst de login moet zien te vinden. Klinkt allemaal vrij logisch toch. Uiteraard is dit geen garantie maar maken we het weer een beetje moeilijker.

Hoe wijzigen we nu admin in een andere login naam? Dit is heel gemakkelijk! Login op je back office van je WordPress website en kies voor Gebruikers. Maak een nieuwe gebruiker aan met volledige administrator rechten. Als deze is aangemaakt verwijder je de gebruiker Admin. Maak je geen zorgen over eerder gemaakte berichten of pagina’s door deze gebruiker. WordPress gaat je vragen wat er moet gebeuren met deze berichten en pagina’s. WordPress zal vragen of deze moeten verwijderd worden of dat deze aan een nieuwe gebruiker mogen toegekend worden. Hier kies je het laatste en koppel je het aan je pas aangemaakte gebruiker. En dat is alles. 🙂

2. Gebruik altijd verschillende wachtwoorden

De meeste mensen gebruiken voor alle toepassingen hetzelfde paswoord; internettoegang, mail, WordPress, bankgegevens,… Heel begrijpelijk want dan hoef je ook maar 1 paswoord te onthouden. Maar ik hoef je dan ook niet te vertellen wanneer je paswoord achterhaald is dat er toegang is tot al je gegevens. Neem voor alles een ander en vooral goed paswoord. 123456, azerty, geboortedatum… is géén paswoord. Voor een goed paswoord is deze engels afkorting van toepassing CLU of Complex, Long and Unique oftewel zorg dat je paswoord ingewikkeld, lang en uniek is. Om eerlijk te zijn, als je het zelf niet kan onthouden is het goed 🙂

Natuurlijk moet je je eigen paswoorden kennen en voor alles een ander paswoord kennen is niet evident maar ook hiervoor zijn veilige tools. De 2 meest gebruikte tools zijn LastPass en 1Password. Zelf gebruik ik LastPass, deze is in het Nederlands en heeft een gratis versie. Deze tools hebben een paswoord generator. Je geeft de lengte van je paswoord in, de paswoord generator genereert een veilig paswoord, sla de link en het paswoord op en dat is het. Heel gemakkelijk dus en zo kan je voor elke toepassing een ander paswoord genereren. Voor een veilig paswoord kan je best een 20tal tekens gebruiken.

3. Maak gebruik van two-factor authentification

Ook al heb je de 2 bovenstaande punten al in orde gebracht, wil dit niet zegen dat je helemaal veilig bent. Ik blijf het herhalen met deze 10 tips die ik je geef verklein je de kans, maar helemaal uitsluiten zal nooit lukken.
Voeg two factor authentification toe bij je site. Dit is een extra beveiligingslaag waardoor je 2 vormen van authentificatie hebt. Het is vandaag de erkende standaard voor een verbeterde beveiliging. Je gebruikt de two-factor authentification trouwens al bij PayPal, Gmail en andere bekende toepassingen.

De two-factor authentification kan je gemakkelijk toevoegen via een plugin. Zelf kan ik je de plugin Google Authenticator aanraden. Dit is een gratis plugin.

4. Verberg wp-config.php en .htaccess

Verberg je wp-config.php en .htaccess bestand. Dit is niet moeilijk maar hiervoor dien je via ftp naar je bestanden te gaan. Je kan dit doen door in te loggen via je hosting of door connectie te maken via Filezilla en via een file editor een stukje code toe te voegen in de bestanden.

Voor een betere beveiliging van je wp-config.php dien je onderstaande code toe te voegen in je .htaccess bestand

1|<Files wp-config.php>
2|order allow,deny
3|deny from all
4|</Files>

En onderstaande code voor de beveiliging van je .htaccess voeg je toe in je .htaccess bestand. Deze codes beletten het openen ervan.

1|<Files .htaccess>
2|order allow,deny
3|deny from all
4|</Files>

5. Blokkeer het bewerken van bestanden

Wanneer een hacker toch is binnen geraakt gaat hij proberen om je bestanden aan te passen. De gemakkelijkste weg in WordPress is via Weergave > Editor. Om dit te voorkomen dienen we weer een stukje code toe te voegen. Dit gebeurd op dezelfde manier als in punt 4 omschreven. Voeg onderstaande code toe in het wp-config.php bestand.

1|define(‘DISALLOW_FILE_EDIT’, true);

Je kan zelf je bestanden nog wijzigen maar enkel via FTP toegang. Niet meer via de WordPress editor.

6. Beperk inlog pogingen

Beperk het aantal inlogpogingen. Hiervoor bestaan er een heleboel plugins. Zij zorgen ervoor dat er niet onbeperkt aantal inlogpogingen kunnen gebeuren op basis van ip adres.

7. Hosting

Een goede WordPress hosting is essentieel voor je website. Zo dien je een goeie feedback te krijgen wanneer het toch verkeerd is gelopen en je website of webshops gehackt is. Je kan kiezen voor een goedkope hosting maar zijn deze voldoende beschermd met hun firewalls. De meeste websites maken gebruik van een gedeelde hosting, dit wil zeggen dat de server gedeeld is met verschillende websites maar dit wil ook zeggen dat wanneer de andere sites niet voldoende beveiligd zijn ook die van jou gevaar kan lopen. WordPress-beveiliging lijkt een van de belangrijkste USP’s te zijn bij gespecialiseerde WordPress-hostingproducten. Ze bieden back-ups, redundante firewalls, malware-scans en DDoS-beveiliging en automatische WordPress-updates. Liefst dan nog aan een redelijke prijs. Zelf werken we met 100% tevredenheid als hostingpartner met Siteground. 24/24u en 7 op 7 bereikbaar en dit aan schappelijke prijzen.

8. Hou alles up-to-date

Je website up-to-date houden is essentieel. Hiermee bedoel ik niet je teksten en foto’s geregeld aanpassen maar al je plugins en thema up-to-date houden. In een recente studie van Securi lezen we dat maar liefst 56% van de WordPress installaties draaien op een verouderde WordPress versie. Dezelfde studie toont ook aan dat een groot percentage van gehackte websites hierdoor gehackt zijn. Zeer frequent komen er nieuwe update uit van WordPress. Dit zijn verbeteringen aan de code, nieuwe functionaliteiten maar meer en meer ook beveiligingsupdates. Ook voor de plugins is dit van toepassing.

Na het maken van een WordPress website is het dus belangrijk om ook dan nog in je back office van je website geregeld je updates uit te voeren. Wij merken dat veel van onze klanten, en vooral diegene met een statische website, dit nauwelijks doen. Daarom kan je je WordPress website en webwinkel door Buitengewoon Communicatie laten onderhouden. Voor een minimale bijdrage doen we dit voor onze huidige klanten maar ook voor websites die wij niet gebouwd hebben.

9. Betrouwbare plugins en thema’s

Op het internet vind je 1000den thema’s en plugins voor WordPress. Je hebt een groot deel aan thema’s die gratis zijn en een deel betalend. gratis is altijd leuk, maar zijn deze plugins en thema’s wel veilig? Van thema’s die gratis zijn zou ik persoonlijk afblijven, behalve dan twentyseventeen, twentysixteen want deze zijn van WordPress.org zelf. De meeste gratis thema’s zijn thema’s die niet of nauwelijks getest zijn, behalve wanneer het gaat om een thema waarvan er een achterliggend business model is.

Bij plugins zijn er ook gratis en betalende. Veel gratis plugins hebben ook een betalende, meer uitgebreidere versie. Deze zijn meestal wel safe. Let vooral op de rating van de plugin. Heeft deze veel 5 sterren gekregen of niet. Let er ook op hoeveel gebruikers deze een 5 sterren rating gegevens heeft. Als dat maar 1 is wil dit dus niks zeggen.
Een ander ding waar je op moet letten is ofdat de plugin bijgewerkt is. WordPress geeft een melding wanneer een plugin al meer dan 2 jaar niet is bijgewerkt. Dit wil niet zeggen dat het over een slechte plugin gaat. Het zou kunnen dat deze nog perfect werkt en daardoor niet bijgewerkt dient te worden. Toch als wij kunnen kiezen kiezen we steeds voor een plugin die recent bijgewerkt is en dat raden we dan ook jou aan.

10. Beperk gebruikers toegang

Wanneer je verschillende gebruikers hebt op je website of webshop geef ze enkel rechten die ze nodig hebben. Geef iemand geen administrator rechten wanneer hij voldoende heeft met enkel abonnee profiel. Moet je iemand tijdelijk een administrator profiel geven om welke reden dan ook, verwijder de gebruiker of wijzig de rechten achteraf terug. Dit is evenzeer zo voor toegang via FTP aan je bestanden. Hoe minder personen toegang hebben met administrator rechten hoe veiliger.

 

Nu heb je mijn 10 tips gelezen over hoe je WordPress website beveiligen. Heb jij nog tips die je wil delen? Laat het me gerust weten. Bij de productie van een website of webshop houden we bij Buitengewoon Communicatie rekening met bovenstaande tips. Wil jij je website of webwinkel door ons laten bouwen, dan kan je vrijblijvend contact met ons opnemen voor een informatief gesprek.