10 manieren om je WordPress website veiliger te maken
Je kunt een heleboel zelf doen om je WordPress website veilig te houden. Hieronder geven we je daar 10 simpele tips over. Deze tips helpen je hackers buiten de deur te houden. Met name het updaten van WordPress, je plugins en je thema zijn belangrijk. Kun je dit niet dagelijks, of in ieder geval zeer regelmatig doen? Dan adviseren wij je te kijken naar ons WordPress beveiligingspakket. Voor slechts 10 euro excl. btw per maand houden wij je website veilig door onder andere:
– Geavanceerde firewall
– Updaten of patchen van plugins met kwetsbaarheden
– Proactieve beveiliging voor bescherming tegen “0-day leaks”
– Brute force attack beveiliging
– Dagelijkse malwarescans met automatische cleanup
– Dagelijkse back-ups
– Reputatiemanagement
– Opschoonservice na hack
Meer weten? Neem contact met ons op via: support@natuurlijkhosting.nl
En dan nu de tips!
1) Zorg ervoor dat je WordPress installatie, plug-ins en thema up-to-date zijn
De eerste en ook de belangrijkste tip: de meeste gehackte websites die wij tegenkomen, zijn gehackt omdat de website niet up-to-date was. Er worden elke dag tientallen kwetsbaarheden bekendgemaakt. De makers van de plug-ins dichten die kwetsbaarheden en zetten een update klaar in WordPress. Om zo veilig mogelijk te zijn, zou je dus eigenlijk elke dag even moeten controleren of er (beveiligings)updates zijn en deze uitvoeren. Een tip: maak wel altijd eerst een back-up van je website. Zo kun je altijd de back-up terugzetten als de update je website onverhoopt beschadigt.
2) Scan je website regelmatig voor kwetsbaarheden
Het is verstandig om je website regelmatig te scannen en zo te kijken of er geen malware op staat. Maar ook om meer informatie te krijgen over kwetsbaarheden in je website. Er zijn enkele gratis plug-ins (bijvoorbeeld Wordfence Free) die dit voor je kunnen doen. Een nadeel is dat deze gratis plug-ins meestal beperkt qua functionaliteiten zijn en niet alles vinden, ook al is er wel wat mis.
3) Kies een sterk wachtwoord voor je WordPress website
Hackers proberen door middel van zogenaamde “brute force” aanvallen het wachtwoord van je WordPress website te raden. Gebruik dus altijd een sterk wachtwoord en wissel met regelmaat van wachtwoord.
Extra tip 1: Controleer bij je hostingprovider of de FTP-account ook een sterk wachtwoord heeft.
Extra tip 2: Een erg sterk wachtwoord aanmaken, die je ook nog kunt onthouden? Dan kun je overwegen een korte zin te maken met hoofd- en kleine letters, getallen en leestekens. Bijvoorbeeld: !INmijntuinbloeiteenROOS@1804. Niet voor de hand liggend voor hackers, wel relatief makkelijk te onthouden.
4) Gebruik two factor authentication
Er zijn verschillende plug-ins die je kunt gebruiken voor “two factor authentication”. Dat wil zeggen dat je nadat je je gebruikersnaam of wachtwoord van WordPress hebt ingevuld je een e-mail of bericht op je telefoon krijgt waarmee je de inlogpoging kunt bevestigen. Als je dit doet log je succesvol in. Doe je dit niet, dan heb je ook geen verdere toegang.
5) Zorg dat er geen gebruiker met de gebruikersnaam “admin” is
Controleer of er geen gebruikers in je WordPress installatie zit met beheerdersrechten die de gebruikersnaam “admin” heeft. Dat is namelijk de eerste gebruikersnaam die hackers gebruiken om proberen in te loggen op je website. Is er wel een admin-account? Verwijder deze dan. Maar let op; zorg er wel voor dat bij het verwijderen van het account alle content die gekoppeld is aan deze gebruiker toegewezen wordt aan een andere gebruiker. De beheerder bijvoorbeeld. Anders kun je zomaar alle content verwijderen.
6) Geef gebruikers de rechten die ze nodig hebben
Je kunt in WordPress gebruikers voorzien van een bepaalde rol. Van abonnee tot en met beheerder van de website. Elke rol heeft bepaalde rechten. Zo kan iemand met een beheerdersrol heel veel aanpassingen maken. Zorg ervoor dat iemand die bepaalde handelingen op je site moet uitvoeren, de juiste rechten krijgt toegewezen.
7) Gebruik een SSL certificaat voor je website
Zorg ervoor dat je áltijd een SSL certificaat gebruikt voor je website. Je website gaat dan over HTPPS. HTTPS is een protocol dat gebruikt wordt voor een veilige verbinding tussen servers, zodat niemand de verstuurde data kan onderscheppen.
Inmiddels is het vanuit de AVG al verplicht om een SSL certificaat te hebben als je een webshop hebt, of zelf een contactformulier. Bovendien zal Google een website zonder SSL lager ranken dan website met SSL. Zorg er dus voor dat je WordPress website zo snel mogelijk een SSL certificaat heeft.
8) Verwijder plug-ins en thema’s die je niet gebruikt
Controleer je site en bekijk welke plug-ins en thema’s je niet gebruikt en verwijder deze. In elke plug-in of thema kan een kwetsbaarheid gevonden worden. Dus hoe minder plug-ins en thema’s, hoe minder je hoeft bij te houden en hoe kleiner de kans op misbruik daarvan.
9) Zorg ervoor dat je PHP versie up-to -date is
Als je je versie van PHP een update geeft, dat zal je website hoogstwaarschijnlijk iets sneller worden. Is je versie van PHP zo verouderd dat er geen security updates meer voor worden aangeboden? Dan moet je zeker een update uitvoeren om je website veilig te houden. Kun je dit niet zelf? Stuur ons een mail en wij voeren de update voor je uit.
10) Complexere maatregelen
We hadden van deze top 10 ook makkelijk een top 50 kunnen maken. Er is heel veel dat je kunt (laten) doen om te voorkomen dat je gehackt wordt. Of om de schade te beperken als het wel zo is. Hieronder benoemen we nog een aantal maatregelen die zorgen voor een goede beveiliging van je website. Neem je een beveiligingspakket bij ons af? Dan verzorgen wij die maatregelen voor je.
– Beperk toegang tot bestanden en mappen
– Blokkeer toegang tot xmlrpc.php
– Blokkeer PHP scripts in de wp-includes directory
– Blokkeer PHP scripts in the wp-content/uploads directory
– Zet bestandbewerking uit in WordPress Dashboard
– Zet bot protectie aan
– Blokkeer toegang tot potentiele gevoelige bestanden
– Blokkeer toegang tot .htaccess and .htpasswd
– Blokkeer “author scans”
– Stel je “security keys” goed in
– Blokkeer “directory browsing”
– Blokkeer toegang tot wp-config.php
– Blokkeer PHP scripts in cache directories
– Verander de standaard WordPress database prefix
Hulp nodig bij een goede beveiliging van je WordPress website? Neem contact met ons op via support@natuurlijkhosting.nl. We helpen je graag.