Weena 505, 3013 AL, Rotterdam
Laan der Verenigde Naties 325, 3318 LA, Dordrecht
(085) 303 39 20
info@rocketpress.nl

Je WordPress site beveiligen – 10 tips

Voordat je website online staat moet je er eigenlijk al voor zorgen dat hij zo goed mogelijk beveiligd is. Ook kleine websites worden aangevallen door hackers. Zij willen graag gebruik maken van je hosting om spammail rond te sturen, waardoor ook al jouw goedbedoelde emails in de spamfolder van de ontvangers verdwijnen. Helemaal voorkomen doe je nooit, maar er zijn wel een aantal stappen waardoor je ze het wat lastiger maakt. Vaak denken mensen dat een slecht wachtwoord de voornaamste reden is waardoor hackers in je website kunnen komen. Echter laat de infographic van WP white security heel wat anders zien. De voornaamste reden is een slechte onbeveiligde hosting. Ook met een slecht gecodeerd thema kunnen hackers makkelijk in jouw website komen. Wij laten je zien wat je kunt doen om de kans op een gehackte website te verkleinen:

1. Gebruik geen admin

Een van de meest voorkomende fouten is het gebruik van admin als gebruikersnaam. Wanneer je gebruik maakt van ‘admin’ als gebruikersnaam hoeven hackers alleen nog maar je wachtwoord te raden. Dit doen ze via een brute-force attack. Ze maken dan gebruik van software waar ze heel snel verschillende soorten combinaties gebruikersnamen- en wachtwoorden kunnen proberen tot ze de juiste combinatie hebben gevonden.

2. Maak een sterk wachtwoord

Naast een sterke gebruikersnaam heb je uiteraard ook een sterk wachtwoord nodig. Als hackers jouw gebruikersnaam raden komen ze veel sneller in je website met een eenvoudig wachtwoord dan wanneer je een lastig wachtwoord hebt gekozen. Je kunt een online wachtwoord generator gebruiken om een sterk wachtwoord te maken. Varieer het liefst zo veel mogelijk in nummers, kleine letters, hoofdletters en symbolen. Ook lange wachtwoorden zijn veiliger dan korte wachtwoorden. Gebruik daarom altijd wachtwoorden van minimaal 8 tekens en gebruik geen geboortedata of iets anders wat hackers eenvoudig kunnen raden. Gebruik ook nooit dezelfde wachtwoorden voor verschillende accounts en geef nooit zomaar je wachtwoord door aan iemand anders.

3. Limit login attempts

Met limit login attempts kun je je website nog beter beveiligen tegen brute-force attacks. Wanneer je namelijk het aantal inlogpogingen beperkt kunnen computers niet snel achter elkaar verschillende wachtwoorden invoeren. Zonder zo’n limiet kan een computer door blijven gaan tot ze de juiste combinatie van je gebruikersnaam en wachtwoord hebben. Met de plugins Wordfence en iThemes Security kun je eenvoudig het aantal inlogpogingen beperken. Personen die dan te vaak een verkeerd wachtwoord hebben ingevoerd worden automatisch geblokkeerd.

4. Maak gebruik van een Two-Factor Authentication

Mocht het toch zo zijn dat een hacker je wachtwoord raadt, dan zorgt een Two-Factor Authentication ervoor dat ze niet zomaar kunnen inloggen. Met een Two-Factor Authentication ontvang je een SMS met een code die je in moet voeren op je website voordat je kunt inloggen. Er bestaan ook apps waarin je de code ontvangt. Met de plugin Google Authenticator kun je een Two-Factor Authentication installeren. Installeer de app ‘Google Authenticator’ op je telefoon en je website is een stuk beter beveiligd.

5. Houd alles up-to-date

Zorg er altijd voor dat je de laatste versie van WordPress, je thema en alle geïnstalleerde plugins hebt. Tijdens een update zorgen ze er altijd voor dat een lek wordt gedicht en hackers niet zomaar in je website komen. Het is dus noodzakelijk om de meest recente versie te installeren en dit up-to-date te houden. Verwijder ook alle plugins die je niet gebruikt. Hierdoor wordt de kans uiteraard kleiner dat ze een lek kunnen vinden bij een plugin die je geïnstalleerd hebt op je website. Ook niet geactiveerde plugins vormen een risico voor inbrekers!

6. Kies een goede hostingprovider

In onze vorige blog vertelden we al dat het van groot belang is dat je kiest voor een goede hostingprovider. Ook bij het beveiligen van je website is dit van belang. In de afbeelding hierboven konden we al zien dat maar liefst 41%(!!) van alle hackers binnenkomt via de hosting. Investeer daarom in een wat duurdere hosting die beveiliging erg belangrijk vindt. Wil je graag gebruik maken van beveiligde Managed WordPress hosting tegen een betaalbare prijs? Je kunt je website verhuizen naar de Managed WordPress hosting van Icons voor €19 per maand!

7. Verander je wp-admin URL

Standaard kun je inloggen via een /wp-admin url. Als je deze url aanpast kunnen hackers niet zo eenvoudig je inlogscherm vinden. Met de plugin iThemes Security (de gratis versie) kun je heel eenvoudig je url veranderen.

8. Een firewall tegen een DDos-aanval

Bij een DDos-aanval proberen ze een website uit de lucht te halen door zoveel mogelijk verkeer op de website af te sturen tot de server het niet meer aankan. Ook DDos aanvallen kun je nooit helemaal voorkomen maar er zijn uiteraard wel een aantal dingen die je kunt doen. Installeer de plugin iThemes security en stel een firewall in. Bezoekers die dan te vaak je website bezoeken in een korte tijd, iets wat vooral gebeurt bij een DDos-aanval, worden automatisch geblokkeerd. Normale bezoekers kunnen uiteraard wel je website blijven gebruiken.

9. File Permissions

Als de file permissions niet goed ingesteld staan op de server wordt het voor hackers eenvoudiger om bestanden aan te passen op je website. Volgens WordPress kun je je file permissions het beste als volgt aanpassen:

  • Mappen en directories: 755 of 750
  • Bestanden: 644 of 640
  • WP-config.php: 600

10. Zorg voor back-ups

Zorg er altijd voor dat je een back-up maakt van je website wanneer je dingen aanpast. Dan weet je zeker dat je geen bestanden kwijt bent als je website toch wordt gehackt. Zorg er wel voor dat je deze back-up op je computer of Google Drive/Dropbox opslaat. Als je je back-up alleen op de server opslaat kan de hacker deze alsnog verwijderen.