WordPress beveiligen

WordPress wordt dagelijks een miljoen keer gedownload. Inmiddels is ruim 30% van alle website gebouwd met WordPress. Dat klinkt allemaal heel positief , maar de keerzijde is dat het voor hackers lucratief is om WordPress sites te hacken. Als je WordPress website eenmaal gehacked is kan dit zeer nadelig voor je uitpakken. Persoonsgegevens kunnen buit gemaakt worden met alle gevolgen van dien, waarbij je verplicht bent om de datalek te melden bij de Autoriteit Persoonsgegevens. Zij kunnen besluiten om een onderzoek te starten naar de veiligheid van je site.

Bij een grote hack is het soms zelfs nodig dat de gehele website opnieuw ontwikkeld moet worden of er moet een schone installatie plaats vinden.

12 Tips om je WordPress website optimaal te beveiligen tegen hackers

Waarom zou iemand mijn website willen Hacken?

  • Bijna elke WordPress website bevat een database waarin persoonsgegevens van klanten en bezoekers (betrokkenen) worden opgeslagen. Deze data is voor hackers veel geld waard.
  • Om controle over je website te krijgen en links te plaatsen naar de website van de hacker. Op deze manier krijgt de hacker backlinks die de waarde van zijn website vergroten. Als een website veel backlinks heeft wordt hij hoger gepositioneerd in de Google Page Ranking.
  • Hackers willen ook graag controle over je website zodat ze op grote schaal spam e-mails kunnen versturen. In die Spam-emails verwijzen ze dan weer naar websites waarbij de hacker aangesloten is en een vergoeding krijgt voor een sale of click. Tegenwoordig wordt op deze manier ook ransom malware verspreidt. De e-mails worden vanaf jouw server verstuurd en je website komt uiteindelijk op een Black list.
  • Om complete controle te krijgen over je website. In veel gevallen zie je je eigen website maar vanuit zoekmachines zoals Google wordt de bezoeker verwezen naar een andere website. Meestal zijn dat websites gebaseerd op gokken of sex/pornografische websites.

1. Zorg dat je de laatste versie van WordPress installeerd/ update.

Hackers zoeken naar lekken in WordPress, WordPress geeft updates uit om bekende lekken te dichten.
Ben je niet up-to-date, dan loop je gevaar.

2. Houdt je Plugins up to date.

Voor plugins geld hetzelfde als voor WordPress zelf, hier kunnen ook lekken in zitten. Ben je niet up-to-date, dan loop je gevaar.
Als je een Plugin download zorg dan dat je een Plugin kiest die getest is met de laatste versie van WordPress. Update z.s.m. als er een nieuwe versie uit is.
Als je een betaalde versie van een Plugin koopt op bv Themeforest moet je er voor zorgen dat de Plugin gemakkelijk te updaten is. Vaak is een betaalde Plugin lastiger te updaten. Heb je een Api nodig? Sla deze ergens op waar je er gemakkelijk bij kunt.
Zorg dat je reviews leest van Plugins!

3. Zorg dat je Database een prefix heeft.

Als je WordPress installeerd op de meest veilige manier of de gemakkelijke/ minder veilige manier dien je een database aan te maken. De Prefix zijn een aantal karakters vòòr de aangemaakte database en vind je in de wp-config.php.

Beschrijving: db prefix image

4. Beveilig je wp-config.php in .htacces.

Door  het volgende toe te voegen in je .htaccess bestand laat je niemand toe in het belangrijkste bestand van je WordPress installatie. Plaats het volgende in je .htacces file:

” order allow,deny deny from all ”

Plaats deze voor of na de standaard WordPress code. Dat kun je zien door het # teken. Alles tussen de # kan WordPress overschrijven.

Beschrijving: beveiligen tegen hackers

5. Zorg je ervoor dat je alleen met je eigen ip-adressen in kunt loggen in de Backend van WordPress(niet altijd mogelijk/praktisch).

Let op: Dit werkt alleen als je gebruik maakt van vaste ip-adressen en deze beveiliging is alleen praktisch als je vanaf een vaste plaats aan je WordPress werkt.

Plaats de volgend code in je .htacces bestand en upload deze naar je server (vervang het 111.111.111 door je eigen ipadressen):

” Order Deny,Allow Deny from all Allow from 111.111.111 ”
Weet je je eigen ip-adres niet? Deze vind je in onze footer, hier laten wij jouw ip-adres zien. Plaats deze voor of na de standaard WordPress code. Dat kun je zien door het # teken. Alles tussen de # kan WordPress overschrijven.

Beschrijving: deny wp config

6. Gebruik nooit, maar dan ook nooit Admin als gebruikersnaam.

Ook niet iets wat er op lijkt als administrator of webmaster. Dit zijn de eerste gebruikersnamen waar mee geprobeerd wordt in te loggen door een hacker.

7. Gebruik een sterk wachtwoord zoals de volgende: T&h2Wsl!y%B7A.

Sterke wachtwoorden zijn essentieel tegen aanvallen van hackers. Dit doen ze vaak met Brute Force Attacks. Dit zijn aanvallen waarbij er op enorm grote schaal met heel veel wachtwoorden i.c.m. gebruikersnamen geprobeerd wordt om in te loggen. De kans dat dit succesvol verloopt met een sterk wachtwoord wordt geminimaliseerd.

8. Verberg de WordPress versie die je gebruikt.

De WordPress versie kan gebruikt worden om specifiek te zoeken naar een versie, zijn zwakke plekken en gericht aanvallen te doen. Open header.php en verwijder de volgende regel.

‘ meta name=”generator” content=”WordPress ” ‘

9. Gebruik een WordPress Thema uit het Dashboard

Een nieuw Thema kun je vinden in Weergave >> Thema’s, nieuwe toevoegen. Je kunt ervan uit gaan dat dit Thema’s zijn die geen malware bevatten. Als je een WordPress Thema download van een website die gratis Premium WordPress Thema’s aanbiedt bestaat er een reële kans dat er malware in is geplaatst.

10. Gebruik WordPress Secret Keys.

Om nog een extra versleuteling te geven aan je inloggegevens maakt WordPress gebruik van Secret Keys. Je hoeft deze niet zelf te verzinnen. In de wp-config.php staat een link naar de Api. Ga naar: https://api.wordpress.org/secret-key/1.1/ en copy & paste de karakters in je wp-config.php. Dit ziet er als volgt uit. Vergeet niet de wp-config.php te uploaden naar de server.

Beschrijving: secret keys wordpress

11. Iets wat altijd vergeten wordt!

Aangezien WordPress officieel als Blogsysteem in de wereld is gekomen en een Blog een auteur heeft wordt er vaak bij je Blogberichten en op de auteurpagina je gebruikersnaam weergegeven. Zorg er bijvoorbeeld voor dat je een voornaam invult in Gebruikers >> Je profiel, en kies voor weergeven als schermnaam.

Beschrijving: beveiligen tegen hackers

12. Zorg dat je regelmatig een Backup maakt van je website.

Mocht er iets gebeuren, dan kan je altijd terug naar de laatste versie die nog goed werkt.

Conclusie

Mocht je er zelf niet uitkomen of wil je dat een professional er naar kijkt, neem dan contact met ons op of overweeg één van onze WordPress SLA overeenkomsten.

Om je website optimaal te beveiligen tegen hackers zijn er nog al wat beveiligingsmaatregelen nodig. Denk eraan dat je je website nog zo goed kan beveiligen maar je PC/ Laptop dient ook goed beveiligt te zijn. Zeker als je werkt met FTP om je website te uploaden naar de server.

Blijf altijd up to date!

Om de veiligheid om onze eigen webservers te kunnen waarborgen,  ben je verplicht om je site minimaal eens per kwartaal volledig te updaten, zowel WordPress zelf als de thema’s en plug-ins. Dit kun je zelf doen, maar wij kunnen dit ook voor je doen door een SLA-contract af te sluiten voor je domein.


Andere interessante paginas: