Er bestaat geen plug & play methode om je WordPress beter te beveiligen. Vaak denkt men dat met het installeren van een plugin of het verbergen van de admin-pagina de website genoeg beveiligd is. Dat klopt echter niet: een goede WordPress beveiliging bestaat uit het toepassen van verschillende methoden om je website veiliger te maken. Daarnaast is permanente monitoring van de website en het nakijken van logbestanden ook erg belangrijk. Onderstaande lijst zijn tips voor een veilige WordPress website.

Updates
Het belangrijkste is dat je WordPress bestanden, het thema en de plugins up-to-date blijven. Er verschijnen dagelijks updates en veel van deze updates lossen problemen met veiligheid op. Als er een lek gevonden wordt dan wordt deze opgelost via een update. Hou je je website niet up-to-date dan komen er meer en meer lekken in en uiteindelijk zal je website gehackt worden of zelfs niet meer werken.

Backups
Net zo belangrijk als updaten is het nemen van backups. Werkt je website niet meer na een update? Of ben je gehackt? Dan is het noodzakelijk dat je een backup achter de hand hebt. Je kan dan een backup terugplaatsen en je website doet het weer. Belangrijk is wel uit te zoeken waarom de website het niet meer deed of gehackt werd.

Wachtwoorden
Gebruik altijd een sterk wachtwoord, ook voor je WordPress login. In een eerder artikel schreef ik over het belang van een sterk wachtwoord en waaruit een sterk wachtwoord bestaat.

Gebruik geen admin als gebruikersnaam
Admin of administrator is een standaard gebruikersnaam in WordPress en is ook algemeen bij hackers gekend. Dit is de eerste gebruikersnaam die getest wordt bij een hackpoging.

2 factor authenticatie
2FA is een manier van inloggen in je website waarbij je naast een wachtwoord ook een code op je telefoon ontvangt. Deze code is uniek en vul je in tijdens het inloggen. Dit geeft een extra laag bescherming. 2FA is momenteel de veiligste manier van inloggen in je WordPress website.

Beperk het aantal loginpogingen
Standaard zit er geen beperking op het aantal loginpogingen in WordPress. Hierdoor kan een hacker ontelbare combinaties van wachtwoorden en gebruikersnamen uittesten tot hij toegang heeft gevonden. Door het beperken van het aantal loginpogingen kan je de hacker automatisch blokkeren na een aantal foutieve inlogpogingen. Na bijvoorbeeld 10 foutieve inlogpogingen kan je het IP adres van degene die probeert in te loggen automatisch laten blokkeren.

Gebruik liever geen gratis thema’s
Gratis thema’s worden vaak na een tijd niet meer up-to-date gehouden en zijn technisch niet zo uitgewerkt als betaalde premium thema’s, wat op termijn voor veiligheidsissues kan zorgen.

Gebruik geen nulled thema’s of plugins
Nulled thema’s (of nulled plugins) zijn betaalde thema’s (of betaalde plugins) die gehackt zijn en gratis worden aangeboden. Vaak bevatten deze kwaadaardige code.

Bestandsrechten
Bestanden op een server kunnen lees-, schrijf- en uitvoerrechten hebben. Je wil echter niet dat hackers bestanden kunnen aanpassen. Daarom is het belangrijk dat je de permissies van je bestanden op orde hebt. Doorgaans staan alle mappen en submappen op 750 ingesteld en alle bestanden op 644.

Beperk het aantal plugins
Gebruik alleen de plugins die je echt nodig hebt. WordPress plugins die je niet meer gebruikt kan je best verwijderen. Plugins die je niet gebruikt of niet up-to-date zijn kunnen voor lekken gaan zorgen in je website. Let ook goed op welke plugins je installeert: waar komen ze vandaan, wat is de support en worden ze verder door ontwikkeld.

Gebruikers activiteiten monitoren
Hou in de gaten wie er inlogt in je website en welke activiteiten er worden uitgevoerd. Het is ook verstandig om in de gaten te houden als er bestanden gewijzigd worden.

Uitschakelen bestanden aanpassen
Standaard kan je bronbestanden aanpassen in WordPress. Dat kan voor grote veiligheidsproblemen zorgen: als een hacker eenmaal toegang heeft kunnen alle bestanden aangepast worden. Het is te adviseren om de WordPress bestandseditor uit te schakelen.

Verberg de wp-admin pagina
De achterkant van je WordPress website bevind zich standaard in wp-admin en wp-login.php. Niet de beste methode om je website te beschermen (het valt te omzeilen) maar het wordt vaak toegepast.

Wachtwoord wp-admin directory
De wp-admin directory is al beschermd door je WordPress wachtwoord maar je kan ook via je controle paneel van je hosting hier nog een extra wachtwoord op zetten zodat je een extra laag bescherming hebt.

Uitschakelen directory browsing
Als een hacker kan kijken welke bestanden er gebruikt worden dan kan hij ook makkelijker een lek opzoeken. Het is daarom verstandig om directory browsing uit te schakelen zodat men niet kan zien welke bestanden gebruikt worden.

XML-RPC uitschakelen
Heb je XML-RPC niet nodig dan kan je deze beter uitschakelen. Een aanval via XML-RPC komt heel vaak voor.

Zorg voor algemene foutmeldingen
Geef geen logininformatie prijs via foutmeldingen. Laat de foutmelding niet weergeven of de loginnaam of wachtwoord fout is maar gebruik algemene foutmeldingen.

Veiligheidsvraag toevoegen aan je login
Je kan er ook voor kiezen om een veiligheidsvraag in te vullen bij het inloggen in je WordPress.

Gebruik een veiligheidsplugin
Er zijn verschillende veiligheidsplugins beschikbaar die je website extra beschermen. Er zijn gratis versies van de plugins beschikbaar en ook betaalde versies. De bekendste veiligheidsplugins voor WordPress zijn: Sucuri, WordFence, iThemes Security, All in One WP Security & Firewall, Jetpack, Security Ninja en VaultPress.

Gebruik een WAF
Maak gebruik van een Web Application Firewall zoals die van Sucuri. Deze firewall zorgt voor extra laag bescherming voor je website. Een WAF beschermt je website tegen o.a. tegen DDOS aanvallen en brute force aanvallen. De bekendste WAF zijn: Sucuri, WordFence, Malcare, Cloudfare, Ninja Firewall en SiteLock.

Scannen
Het is verstandig je website regelmatig te scannen op veiligheidsissues zoals malware en ook om te kijken of je website op een zwarte lijst staat.

Uitschakelen PHP uitvoeren
Verbied het uitvoeren van php bestanden in mappen waar dat niet nodig is.

Toegang weigeren tot .htaccess en wp-config.php
Je kan de gevoelige bestanden .htaccess en wp-config.php extra beveiligen door toegang tot deze bestanden te blokkeren.

Verander de prefix van de database
De standaard prefix van de database is wp_. Je kan bij de installatie van WordPress kiezen voor een andere prefix zodat het niet voor de hand ligt welke prefix je database gebruikt. Een database prefix kan ook achteraf nog gewijzigd worden.

Commentaren beschermen
Kan men een reactie plaatsen op je website? Zorg dan voor een anti-spam functie.

Maak gebruik van security headers
Security header zorgen voor een extra laag van bescherming.

Hosting
Een goede beveiliging van je WordPress website begint bij je hosting. Een goede hosting heeft de beveiliging van zijn servers goed op orde: ze scannen op malware, virussen, DDOS aanvallen en hebben een firewall. Daarnaast bieden ze een makkelijk te bereiken support aan in geval je WordPress website gehackt is.

SSL
Wij adviseren ook steeds om een SSL verbinding (te herkennen aan het slotje in de adresbalk in de browser) bij de hosting af te nemen zodat het verkeer op je website versleuteld is. Dit helpt ook voor je vindbaarheid bij Google, deze geeft de voorkeur aan veilige websites.

Cloudfare
Cloudfare is een bedrijf dat diensten levert als CDN (content delivery network). Met Cloudfare versneld je het laden van je website en verbeter je de beveiliging van je WordPress website. Zij bieden bescherming tegen SQL injecties en DDoS aanvallen.

Monitoren
Houd de uptime van je website in de gaten, een website die gehackt is gaat vaak uit de lucht of gaat slecht presteren.

Gebruik een veilige computer en verbinding
Gebruik om in te loggen in je WordPress website een computer die up-to-date is, een firewall heeft en een anti-virus. Zorg voor een browser die up-to-date is. En sla je wachtwoorden op in een password manager.
Gebruik een veilige internetverbinding, ben je buiten gebruik dan een VPN.

Pin It on Pinterest

Open chat
Hulp nodig?