WordPress beveiligen tegen hackers
17 augustus 20168 valkuilen op het gebied van WordPress veiligheid
Je doet veel moeite, investeert tijd en geld om een mooie website te laten ontwikkelen. Er is aandacht besteedt aan layout, fotografie en aan de teksten op de website. Het aspect veiligheid wordt bij het ontwikkelen van een WordPress website vaak onderschat. Honderd procent veiligheid is een utopie, maar zorg dat je in ieder geval niet in een van onderstaande 8 valkuilen trapt kan er voor zorgen dat je website in de basis al een stukje veiliger is.
1. Een veilige hosting provider
41% van de WordPress hacks hebben te maken met een onveilige hosting omgeving. Dat is bijna de helft! Gek, toch? Dit benadrukt dus dat het verstandig is voor een goede hosting provider. Helaas is het in het dolhof van webhosting partijen waar je voor betaald, dat krijg je. Met andere woorden een goedkoop hosting pakket is goedkoop met een bepaalde reden en kan dus minder goed beveiligd zijn.
De schade die je zal ondervinden van een hack zal vele malen groter zijn dan de extra maandelijkse investering in een goede, veilige en betrouwbare hosting oplossing. Er zijn diverse partijen waar wij ervaring mee hebben die je hiermee van dienst kunnen zijn: Byte, Savvi, Cloudhostingpakket, een internationale goede partij is: SiteGround.
2. Updates uitvoeren
51% van alle WordPress hacks komt voort uit het feit dat WordPress, plugins of geïnstalleerde thema’s niet up-to-date zijn. Ontwikkelaars brengen vaak een update uit om nieuwe functionaliteiten toe te voegen maar ook om bijvoorbeeld een zwakke plek in de plugin op te lossen. Wanneer je deze update niet uitvoert zet je de achterdeur op een kier en is het wachten tot je website gehackt zal worden.
Sinds WordPress 3.7 worden kleine updates zogenaamde minor (kleine) updates automatisch uitgevoerd. De major (grote) updates moeten uitgevoerd worden door in het beheer paneel de update uit te voeren naar de nieuwste versie.
Er zijn diverse partijen die een dienst aanbieden waarbij automatisch updates voor plugins uitgevoerd kunnen worden. Wij hebben hiervoor: WordPress preventieve beveiliging.
3. Een gemakkelijk wachtwoord gebruiken
Een andere veelvoorkomende valkuil is het welbekende gemakkelijke wachtwoord. Er zijn geen hackers die handmatig proberen om in te loggen in jouw WordPress paneel. Dit zijn geautomatiseerde systemen die een zogenaamde bruteforce attack uitvoeren en zo veel mogelijk wachtwoorden achter elkaar proberen. Er zijn een aantal zaken waar je rekening mee moet houden:
1. Geef zo min mogelijk gebruikers volledige beheer rechten op je WordPress website. Hoe meer accounts volledige rechten hebben hoe makkelijker om een van de wachtwoorden te achterhalen.
2. Standaard gebruikt WordPress admin als gebruikersnaam. Verander deze naar een andere naam om het moeilijker te maken om de gebruikersnamen te achterhalen.
3. WordPress heeft een wachtwoordsterkte indicator deze kan je vinden in jouw profiel en hiermee kan je een nieuw veilig wachtwoord aanmaken die WordPress voor je genereert. Dit is de veiligste manier om je wachtwoord aan te maken.
4. Maak gebuikt van een plugin die bruteforce attacks kan detecteren en deze kan afwenden. Hiervoor kan je gebruik maken van de plugin: WP Limit login attempts.
5. Standaard staat de login pagina bij alle WordPress websites op /wp-admin het beste is om deze op een andere locatie te plaatsen. Je maakt het hiermee voor een geautomatiseerd systeem moeilijker om de login pagina te achterhalen. Hiervoor kan je de plugin: Move login gebruiken.
4. Thema’s en plugins installeren van een onbetrouwbare bron
De populariteit van WordPress heeft ervoor gezorgd dat het een favoriet doelwit is voor hackers. Een van de meest voorkomende manieren waarop hackers toegang krijgen is via een lek in een plugin of thema. Veel gratis plugins of thema’s zijn niet volledig veilig ontwikkelt en vormen daarom een groot risico wanneer je deze installeert.
Ons advies is om geen gratis thema’s of plugins te gebruiken die niet te vinden zijn in de WordPress directory. Deze zijn namelijk gecontroleerd door WordPress. Een lijst met premium thema providers die wel veilig zijn kan je hier vinden.
5. Hamsteren van ongebruikt plugins en thema’s
Even snel proberen of een thema er mooi uitziet of een plugin bruikbaar is om een nieuwe functionaliteit toe te voegen aan de website. Op zich natuurlijk geen enkel probleem, echter wanneer je na het testen besluit deze niet te gebruiken maar ze wel laat staan vormen deze een groot risico om gehackt te worden. Verwijder daarom ongebruikte thema’s en plugins altijd wanneer je deze niet gebruikt. Dit geldt ook voor gebruikersaccounts die niet gebruikt worden. Iedere account vormt een potentieel gevaar.
6. Niet zorgen voor een goede backup
Regelmatig een goede backup van je WordPress website is uiterst belangrijk. Soms kan het voorkomen dat een hack dermate ernstige schade toebrengt dat het veel tijd en dus ook geld kost om dit te herstellen. Een backup achter de hand hebben is dus nooit verkeerd. Wanneer je kiest voor een goede hostingpartij (zie valkuil 1) zal er dagelijks een backup gemaakt worden van je WordPress website en kan je dus altijd terug naar een versie voor de hack.
7. Geen gebruik maken van ingebouwde WordPress maatregelen
Standaard heeft WordPress een aantal ingebouwde veiligheidsmaatregelen. Echter voor veel mensen is dit onbekend gebied en dus wordt hier niet veel gebruik van gemaakt.
Een voorbeeld hiervan is de database prefix een waarde die voor de database naam staat. Standaard is dit wp_ maar bij installatie van je WordPress website kan je deze ook aanpassen in een andere moeilijker te raden prefix waardoor je de kans op een database injectie al kleiner maakt.
In de wp-config.php staan zogenaamde SALT keys deze worden gebruikt om de informatie die in cookies wordt opgeslagen te versleutelen. Het beste is om met deze generator de keys aan te maken en toe te vervangen in de wp-config.php
8. Geen beveiliging met een plugin
Er zijn tal van plugins die de veiligheid van je WordPress website verhogen door bijvoorbeeld configuratie bestanden te verbergen van buitenaf, bepaalde landen te blokkeren, een actieve blacklist toe te voegen etc. wanneer je een van deze plugins gebruikt maak je jouw WordPress website nog een stuk veiliger. Wij hebben ervaring met onderstaande plugins:
– iThemes security
– Sucuri Security
– Bulletproof Security
– WordFence
Echter heb je wel de nodige technische kennis nodig om deze plugins goed te configureren. Vraag hierbij eventueel hulp van een expert.
Samengevat
Je steekt veel moeite en tijd in je website, besteedt dan ook aandacht aan bovenstaande meest voorkomende WordPress beveiliging valkuilen. In bovenstaand overzicht hebben we gekeken naar de meest voorkomende fouten die gemaakt worden. Als er dan toch iets gebeurd kan dit artikel je helpen om je website weer veilig te maken. Mocht je er er zelf niet uitkomen dan staan wij uiteraard voor je klaar om de WordPress hack op te lossen.