Beveilig je WordPress website beter met deze 8 tips
Heb je een WordPress website, dan wil je dat deze natuurlijk zo veilig mogelijk blijft. Veel mensen denken dat alleen grote, populaire websites doelwit zijn van hackers, maar hackers gaan juist op zoek naar websites waar mogelijke beveiligingslekken in zitten. Omdat WordPress zo populair is, is het ook de ideale kandidaat om slachtoffer te worden van een hack. WordPress is dan ook niet voor niets het meest gehackte CMS ter wereld. Vervolgens wordt zo’n hack gebruikt om bijvoorbeeld spam e-mails rond te sturen via jouw server of persoonlijke gegevens te stelen. Iets wat je natuurlijk wilt voorkomen. Gelukkig zijn er een aantal simpele tips om jouw website zo veilig mogelijk te houden en de kans op een hack te verkleinen.
1. Houd WordPress, thema’s en plugins up-to-date
De basis is altijd; houd WordPress, gebruikte thema’s en plugins altijd up-to-date. WordPress is open source software en iedereen kan de code hiervan bekijken. Ook mensen die hier misbruik van willen maken. Zit er bijvoorbeeld een beveiligingslek in een plugin, dan weten ook hackers dit en gaan zij actief op zoek naar websites die deze plugin draaien om dit lek uit te buiten. Zorg dus dat je je thema, plugins en WordPress website op tijd update. Maar… let tegelijkertijd wel heel goed op dat je dit niet klakkeloos doet. Automatisch updaten lijkt ideaal maar kan voor grote problemen zorgen. Lees onze blog ” WordPress automatisch updaten? ” voor meer informatie hierover.
2. Gebruik een veilig wachtwoord
Hoe simpel deze tip ook klinkt, toch komt het nog steeds voor dat mensen een te makkelijk wachtwoord gebruiken voor hun beheerders account van WordPress of een wachtwoord gebruiken die bij andere hacks, zoals bij datalekken van grote websites, eerder zijn buitgemaakt. Gebruik dus voor elke website een ander, uniek wachtwoord. Kies voor een wachtwoord met zoveel mogelijk tekens dat bestaat uit kleine letters, hoofdletters, cijfers en speciale tekens. Mensen hebben vaak de neiging om eenvoudige wachtwoorden te gebruiken, zoals “123456” of “password”, die gemakkelijk te raden of te kraken zijn. Dit maakt het voor kwaadwillende personen veel eenvoudiger om toegang te krijgen tot je website. Dus zet je creatieve pet op en bedenk een sterk wachtwoord.
3. Gebruik geen ‘admin’ als gebruikersnaam
Probeer altijd het woord ‘admin’ te vermijden als je kiest een voor gebruikersnaam binnen WordPress. Dit is een veelgebruikte gebruikersnaam en zo maak je het hackers nog makkelijker om inloggegevens te raden. Ze hoeven dan namelijk alleen nog het wachtwoord te raden.
4. Gebruik two-factor authenticatie
Wil je nog verder gaan met het beveiligen van je gebruikersaccount? Kies dan voor two-factor authenticatie. Tijdens het inloggen met je gebruikersnaam (of e-mailadres) en wachtwoord krijg je op bijvoorbeeld je telefoon of via een e-mail een unieke code die beperkte tijd geldig is. Deze code voer je tijdens het inloggen in. Op deze manier weet de website 100% zeker dat jij eigenaar bent van het account waarmee je probeert in te loggen en kan dit dus een stuk moeilijker misbruikt worden. Het is wel een extra stap tijdens het inloggen, maar wel de meest veilige manier. Er zijn diverse WordPress plugins waarmee je two-factor authenticatie snel en eenvoudig kunt activeren.
5. Wijzig de WordPress database prefix
Standaard wordt ‘wp_’ als prefix gebruikt voor database tabellen. Bij mogelijke aanvallen met SQL injectie wordt het voor hackers makkelijker gemaakt omdat ze exact weten welke database tabellen er beschikbaar zijn. Kies dus tijdens de installatie van WordPress voor een eigen, unieke prefix voor de database tabellen.
6. Schakel ‘file editing’ uit
Als iemand beheerdersrechten heeft en toegang heeft tot de achterkant van WordPress, kan iemand ook makkelijk code aanpassen, zoals code van plugins en thema’s. Mocht een hacker onverhoopt toegang krijgen tot de admin van WordPress, dan kan diegene dus ook code wijzigen en zo kwaadaardige code toevoegen. Gelukkig kun je dit eenvoudig uitschakelen door de volgende regel toe te voegen aan het wp-config.php bestand van jouw WordPress installatie:
define('DISALLOW_FILE_EDIT', true);
7. Verberg het versie nummer van WordPress
Standaard wordt in de broncode (HTML) van een website het versienummer van WordPress weergegeven. Zo weet iemand met kwaadaardige bedoelingen precies welke versie van WordPress er gebruikt wordt en dus ook welke mogelijke zwakke plekken van die versie misbruikt kunnen worden. Met het volgende stukje code (dit kun je in het functions.php bestand van je thema plaatsen), kun je het versienummer verbergen:
remove_action('wp_head', 'wp_generator');
8. Maak backups
Tot slot, maak altijd én regelmatig backups van je website. Backups zijn een onderdeel van WordPress onderhoud. Mocht er toch onverhoopt iets gebeuren met je website, dan heb je altijd iets om op terug te vallen. Mocht je website zijn gehackt en wil je een backup terugzetten, zorg er dan wel voor dat je achter de oorzaak van de hack komt voordat je de backup terugzet. Anders is het wachten tot je website weer slachtoffer wordt van dezelfde hack.
Hulp nodig bij beveiliging WordPress website?
Naast de bovenstaande tips, die je zelf vrij gemakkelijk kunt toepassen, zijn er nog tal van andere maatregelen die je kunt nemen om ervoor te zorgen dat je website veilig is. Deze maatregelen kunnen zowel op het niveau van WordPress als op het niveau van de server genomen worden. Als je je website host bij Kwaaijongens met WordPress-hosting, zullen wij ervoor zorgen dat je website draait op een zo veilig mogelijke omgeving. Op deze manier wordt de kans op een hack zo klein mogelijk gehouden