WordPress website beveiligen.. Waar begin ik?

WordPress website beveiligen

De laatste jaren is WordPress het meeste gebruikte CMS ter wereld. Het is dus ook niet raar dat als je een WordPress website beheert, je wel eens doelwit kan worden van hackers. Hackers maken vaak gebruik van Brute Force Attacks. Dit type aanvallen stijgt enorm en lijkt steeds heviger en krachtiger te worden. Betekent dit dan het einde van WordPress en dat je moet veranderen van CMS? Nee, zeker niet!

Het betekent alleen dat je een website beveiligingsplan moet hebben voor je WordPress website. Met een aantal simpele voorzorgsmaatregelen zal je WordPress net een fort zijn, en kan zelfs de HULK zijn weg naar binnen niet vinden.

Aanbevelingen door WordPress.org

Omdat Brute Force Attacks steeds vaker voorkomen heeft WordPress.org in hun Codex een lijst met aanbevelingen opgesteld. We raden het aan om jezelf bekend te maken met deze lijst en te overwegen welke aanbevelingen je gaat inzetten om je WordPress website te beveiligen. De aanbevelingen zijn op gebruikersniveau en serverniveau.

Wat kan ik doen om mijn WordPress website te beveiligen

Er zijn legio mogelijkheden om je WordPress website veilig te maken. Er zijn plugins die indringers buitensluiten en daarnaast kun je zelf een hoop doen om je website veilig te maken.

WordPress Admin gebruikersnaam veranderen

Dit zou eigenlijk iedereen moeten doen, maar toch zeggen we het nog maar een keer. Gebruik absoluut geen admin als gebruikersnaam. Dit is makkelijk aan te passen en één van de simpelste dingen die je kan doen richting een veiligere website. Dus, wanneer je WordPress installeert, gebruik altijd een andere naam dan de standaard (bij voorkeur ook niet je website naam, bedrijfsnaam of website title).

Als je momenteel al “admin” als gebruiker op je website hebt, verander deze dan zo snel mogelijk. Het maakt werkelijk niet uit welke naam kiest, maar je moet hem veranderen. Wat de Edit User sectie in WordPress ook aangeeft, je kan alle gebruikersnamen veranderen. Je kan dit via een plugin of via de database aanpassen.

Gebruik sterke wachtwoorden

Iedereen weet het.. Gebruik sterke wachtwoorden! ‘Wachtwoord123’ is echt not done en kan je veel problemen bezorgen. In de praktijk blijkt dat veel mensen dezelfde wachtwoorden gebruiken voor hun accounts. Stel dat een bedrijf waar je een account hebt (bijvoorbeeld Facebook, nu.nl of de lokale sportschool) ooit gehackt wordt. Dan ben je een makkelijk doelwit voor hackers als je dit wachtwoord ook voor jouw website gebruikt.

We adviseren om voor al je accounts verschillende wachtwoorden te gebruiken. Noteer deze ergens in een boekje. Het liefst met pen en papier of op een USB stick. Maak het voor hackers moeilijk door goed na te denken over je wachtwoordbeheer.

Wachtwoord tip 1

Wij maken zelf gebruik van LastPass. Hiermee heb je één hoofdwachtwoord en kun je voor al je andere accounts een apart wachtwoord instellen. Super handig! Houd er rekening mee dat ook hier nadelen aan kunnen zitten. Bedenk dus goed welke optie het beste is voor jouw bedrijf! Cybercrime is iets wat de komende jaren steeds meer zal voorkomen. Denk dus niet dat jou dit nooit zal overkomen. Wees voorbereid en breng je beveiliging naar een hoger niveau!

Wachtwoord tip 2

Installeer de Force Strong Password plugin, zodat al je WordPress gebruikers een veilig wachtwoord instellen. Het zal je maar gebeuren dat jij de best practices opvolgt en gehackt wordt omdat één van je collega gebruikers dit niet doet.

Beperk aanmeldpogingen (limit login attempts)

De reden dat Brute force attacks zo effectief zijn is omdat het bij WordPress mogelijk is om ongelimiteerd fout in te loggen. Je zal nooit worden buitengesloten door een wachtwoord of gebruikersnaam te vaak verkeerd in te vullen. Dit is waarom het zo effectief is en waarom veel sites worden gehackt. Door een limit op inlogpogingen te zetten kun je indringers buiten houden. Je minimaliseert namelijk de kans dat je site gehackt kan worden.

De meest Populaire plugin die we kennen is Limit Login Attempts. Je kan ook gebruikmaken van bijvoorbeeld WordFence.

Gebruik twee factor authenticatie

Twee factor authenticatie kan niet ontbreken bij het beveiligen van je WordPress website. Dit zorgt ervoor dat iemand te alle tijden via bijvoorbeeld een SMS een unieke code ontvangt en deze moet invoeren. Aan de hand van deze tussenstap kan het systeem verifiëren of degene die probeert in te loggen wel echt de gebruiker is en geen onbekende indringer.

Verplaats de standaard-wordpressinlog-URL van /wp-admin naar een /willekeurige-locatie

Je kan je inlog URL op meerdere manieren aanpassen. Maar net als bij elke oplossing voor WordPress, kan dit met een plug-in of handmatig door de code aan te passen.

Standaard loggen we allemaal bij WordPress in op www.jouwdomein.nl/wp-admin. Voor Hackers die Brute Force Attacks uitvoeren, is dit het eerste doelwit. Door de inlog URL van /wp-admin te veranderen, verberg je je dus eigenlijk voor aanvallers.

/wp-admin aanpassen met een plug-in

Bekende plug-ins die wij ook veel gebruiken zijn Perfmatters & WPS Hide Login.
We adviseren om de inlog URL te veranderen in iets unieks gerelateerd aan jouw bedrijf of website. Probeer veelgebruikte woorden zoals /medewerkers , /staff , /admin & /login te vermijden. Dit zijn namelijk veel gebruikte woorden, die door Brute Force bots ook worden gebruikt.

Verwijder ongebruikte WordPress installaties

Veel bedrijven hebben extra WordPress installaties op hun server of hostingpakket om bijvoorbeeld nieuwe sites, plugins of thema’s te testen. Brute Force aanvallers (hackers) zijn daar naar op zoek! Meestal zijn dit installaties met slechte beveiliging, verouderde WordPress/plugins en thema’s, gebruikersnamen zijn niet gewijzigd van de standaard, evenals de inlog URL. Dit is een slechte zaak, omdat hackers zo toegang krijgen tot je hosting en/of server.

Dus, wanneer je een site wilt testen, delete deze zodra je klaar bent, of gebruik een local development omgeving. Anders ben je van je zelf een doelwit aan het maken.

Beveiligings plugins

Met de website beveiligingsmaatregelen die we al hebben benoemd is het ook aan te raden om een WordPress beveiligingsplugin te installeren. Elke plugin heeft zijn eigen functionaliteiten, scans, inlog beveiliging, firewalls, spamfilters etc.

Verwijder ongebruikte WordPress installaties

Veel bedrijven hebben extra WordPress installaties op hun server of hostingpakket om bijvoorbeeld nieuwe sites, plugins of thema’s te testen. Brute Force aanvallers (hackers) zijn daar naar op zoek! Meestal zijn dit installaties met slechte beveiliging, verouderde WordPress/plugins en thema’s, gebruikersnamen zijn niet gewijzigd van de standaard, evenals de inlog URL. Dit is een slechte zaak omdat hackers zo toegang krijgen tot je hosting en/of server.

Dus, wanneer je een site wilt testen, delete deze zodra je klaar bent of gebruik een local development omgeving. Anders ben je van je zelf een doelwit aan het maken.

Beveiligings plugins

Met de website beveiligingsmaatregelen die we al hebben benoemd is het ook aan te raden om een WordPress beveiligingsplugin te installeren. Elke plugin heeft zijn eigen functionaliteiten, scans, inlog beveiliging, firewalls, spamfilters etc.

Enkele bekende plugins:

Zorg dat je jouw website beveiligt tegen ongewenste indringers!

Met de punten die we hier hebben benoemd ben je al een heel eind op weg. Je kan echter veel meer doen om je WordPress website te beveiligen. Benieuwd of jouw WordPress website veilig is? Neem contact op voor een gratis beveiligingsscan.

Victor de Vos

Victor de Vos

Ik spreek vaak ondernemers die een website hebben maar niks doen om meer verkeer en aanvragen/verkopen te realiseren. Ben jij dit? Je laat veel kansen liggen..

Interesse?

Ben je benieuwd hoe SEO specialist SEOlab jouw bedrijf kan helpen naar een betere vindbaarheid of goed geoptimaliseerde website? Neem via onderstaand formulier contact op en we nemen z.s.m. contact op!