WordPress beveiligen in 9 simpele stappen

Inhoudsopgave van: WordPress beveiligen in 9 simpele stappen

Categorie: Veiligheid | Tags: 2FA, beveiliging, hack, login, malware, spam, veiligheid

WordPress beveiligen is cruciaal voor je omzet, reputatie en naamsbekendheid. Met deze 9 tips verklein je de kans op hacks tot een minimum.  

Schrijf je in voor onze nieuwsbrief

Ontvang ook onze laatste handige tips en WordPress nieuwtjes.

  • Maximaal 1x per week
  • Makkelijk uitschrijven

Schrijf je in voor onze nieuwsbrief

Een ogenblikje

Bedankt voor je inschrijving!

 

Je moet er niet aan denken dat je website wordt gehackt, en toch gebeurt het vaak genoeg. Heel vaak zelfs: volgens schattingen wereldwijd wel zo’n 30.000 keer per dag. Beveiliging van je WordPress website is om die reden dan ook essentieel en daarom is Managed WP Hosting daar om je tegen hackers en andere ongewenste gasten te beveiligen. Host je zelf je website, twijfel je over de beveiliging en wil je de WordPress website beter beveiligen? Ontdek in dit artikel, aan de hand van negen tips, hoe je de kans op hacks tot een minimum kunt beperken.

Is WordPress een veilig CMS?

WordPress is een open source CMS dat regelmatig wordt bijgewerkt. Waar je kleine updates automatisch kunt laten installeren, moet je dit met grote updates doorgaans zelf doen. Managed WP Hosting zorgt voor de updates nadat het is nagelopen; je hoeft er niets voor te doen. In de basis is WordPress een veilig CMS. Worden er door gebruikers of programmeurs echter veiligheidsrisico’s geconstateerd? Dan moet de WordPress beveiliging worden opgeschroefd en volgen er snel updates.

Naast de basis-software kan je WordPress uitbreiden met diverse plug-ins en thema’s, die worden ontwikkeld door externe partijen. Plug-ins en thema’s zijn handig, maar ze kunnen je site ook kwetsbaar maken voor hackers. Om je WordPress website beter te beveiligen, kan je om die reden het beste alleen software installeren van betrouwbare ontwikkelaars die hun producten regelmatig vernieuwen. Gebruik je de plug-ins en thema’s niet meer? Verwijder ze dan. Dit met de reden dat, wanneer je een plug-in uit zet, hij alsnog kan worden misbruikt. Om je WordPress optimaal te beveiligen raden we aan om updates altijd in de gaten te houden en zo snel mogelijk te downloaden. Op die manier blijft je website zo veilig mogelijk.

WordPress beveiligen tegen hackers is cruciaal.

WordPress beveiligen begint bij een betrouwbare hoster

Wanneer je website online staat bij een hosting provider die zijn WordPress beveiliging niet goed op orde heeft, dan is de kans op hacks levensgroot. Eind 2020 werd een inbraakpoging gedaan bij het Nederlandse Alfa Host. Het bedrijf wilde niet vertellen of er gegevens buit zijn gemaakt, maar stof tot nadenken biedt het zeker. Managed WP Hosting daarentegen maakt van de beveiliging van WordPress topprioriteit.

We richten ons bijvoorbeeld volledig op WordPress en kennen dit CMS daarom tot in het kleinste detail. We beschermen onze servers ten alle tijden met hardware en specifieke maatwerk WordPress-filters tegen veelvoorkomende cyberaanvallen. Zelfs commentaren en contactformulieren checken we op spamrobots. Daarnaast maken we het hackers onmogelijk om wijzigingen aan te brengen aan essentiële WordPress Core-bestanden. Uiteraard is dit nog maar het topje van de ijsberg. Host je jouw website bij een andere provider? Of wil je jouw WordPress website nog wat beter beveiligen? Volg dan de onderstaande stappen!

1. WordPress beveiligen begint met goede back-ups

Bij de beveiliging van WordPress geldt: voorkomen is beter dan genezen. Mocht je site onverhoopt wel een keer worden gehackt, zorg er dan in ieder geval wel voor dat je over een recente back-up van je site en database beschikt. Een professionele hostingprovider maakt in ieder geval iedere dag updates van je site. Het verschilt per aanbieder hoe lang ze deze bewaren, maar we raden aan hier kritisch op te zijn.

Tip. ManagedWPHosting bewaart back-ups tot 6 maanden terug. Zo weet je zeker dat je website altijd veilig is terug te halen.

Host je zelf je site of weet je niet of je hostingprovider back-ups maakt? Regel dan back-up. Er zijn verschillende plug-ins waarmee je dit kunt doen, zowel handmatig als op vastgestelde tijdstippen.

"Wordt je site ooit gehacked, zorg dan dat je een recente back-up hebt."

Beveilig je WP-site en maak goede back-ups.

2. Beveilig je WP-site met een security plugin

Nadat je voor de juiste back-ups hebt gezorgd, is het goed om verdachte activiteiten op je site te monitoren. Denk bijvoorbeeld aan pogingen om bestanden te wijzigen, mislukte inlogactiviteiten en malware-aanvallen. Een professionele hostingprovider monitort verdachte activiteiten op je site, maar je kunt het met behulp van een plug-in ook zelf doen. Sucuri Scanner is zo’n tool waarmee je eenvoudig hackpogingen op je site kunt monitoren. De plug-in is verkrijgbaar in zowel een gratis als een betaalde variant. Die laatste raden we met klem aan.

Tip. ManagedWPHosting monitort je site en verdacht verkeer 24/7. Host je bij ons, dan heb je geen security plug-in nodig. 

3. WordPress beveiligen met een firewall

‘Sorry, maar jij bent niet welkom’. Dat is kort gezegd wat een firewall doet om jouw WordPress website te beveiligen. Als een virtuele uitsmijter houdt de firewall verdacht verkeer tegen. Firewalls zijn er in verschillende varianten. Allereerst benoemen we de DNS Level Firewall. Deze filtert verkeer om via proxy servers. Daar filtert de firewall traffic en stuurt hij alleen echte bezoekers door naar je site. Daarnaast hebben we de Application Level Firewall. Deze filtert bezoekers als ze op je server komen. Dit werkt net zo goed, maar zorgt voor extra belasting voor je server. Dat kan weer leiden tot vertraging van de site, zeker als je veel bezoekers hebt.

Beveilig je WordPress website met Wordfence.

Een andere bekende optie voor de beveiliging van WordPress is Wordfence Security. Deze plug-in is verkrijgbaar in een gratis en een betaalde variant. Krijg je veel ongewenst bezoek op je website, bijvoorbeeld van dubieuze crawlers? Dan raden we aan om een firewall te installeren. Ook kan je switchen naar een provider die dit verkeer voor je afvangt. Een van de meest bekende voorbeelden van DNS Firewall is Cloudflare. Je kent de verificatieschermen vast. Hiermee vang je verkeer op voordat het je server bereikt. Daarnaast heb je ook nog de WAF firewalling, die in de proxy server actief kan zijn. Managed WP Hosting past de WAF-regels toe in al onze proxies en als extra laag op de WordPress servers.

Als laatste heb je ook nog de IDS en IPS hardware firewalling. Deze zijn beter dan puur een hardware firewall. Al het verkeer gaat erdoorheen en wordt bekeken. Een IDS logt een fout verzoek maar doetr verder niets. Een IPS daarentegen onderneemt direct actie. Indien nodig wordt het verkeer namelijk geblokkeerd. Zoek dus naar een provider met IPS firewalling.

4. Beveilig je verbinding met TLS/HTTPS

Waar je ongetwijfeld wel eens van SSL hebt gehoord, is er nu met TLS een verbeterde opvolger. Dit protocol versleutelt data tussen gebruikers en je site. Met WordPress beveiliging als een HTTPS-verbinding kunnen hackers geen gegevens ‘afluisteren’, waardoor het veiliger is voor je bezoekers.  Bovendien is TLS/HTTPS een rankingfactor voor SEO.

Werkt je website nu nog niet via TLS? Installeer dan direct een veiligheidscertificaat of laat dit doen door je hostingprovider. Let wel: er is geen garantie dat je site niet gehackt kan worden, maar het verkleint in ieder geval de kans dat je inloggegevens op straat komen te liggen. Ook de ingevulde contact- en bestelformulieren op de site worden qua transport tussen de bezoeker en de server dichtgetimmerd. Conform AVG/GDPR ben je verplicht een certificaat te (laten) installeren.

Tip. ManagedWPHosting regelt gratis je WordPress certificaat met een A+ rating en een fatsoenlijke bitkey grootte. We passen je instellingen automatisch aan. Ook stellen we een 301-redirect in van http naar https. Zo blijft je SEO optimaal. 

5. Wijzig te makkelijke gebruikersnamen en wachtwoorden

De mens is de zwakste schakel bij online WordPress beveiliging. Om je WordPress site beter te beveiligen, stel dan een moeilijk te raden gebruikersnaam in. Vroeger was de standaard gebruikersnaam voor WordPress ‘admin’. Daarmee wisten hackers al de helft van je login en dat is logischerwijs niet heel handig. Ook is het mogelijk om gebruikersnamen te raden. Dit is standaard uitgeschakeld bij Managed WP Hosting.

Tegenwoordig kan je gelukkig wel zelf een gebruikersnaam instellen. Bedenk een moeilijke naam of laat hem automatisch genereren door een wachtwoordkluis als LastPass. Kies ook een moeilijk wachtwoord. Met een wachtwoordprogramma als LastPass kan je het net zo lang en ingewikkeld maken als je zelf wilt, want het programma bewaart ze veilig voor je.

Tip. Wachtwoorden kun je extra versleutelen in de database. Bij ManagedWPHosting gebruiken we hiervoor een sterker algoritme dan het standaard algoritme

Ook kun je gratis gebruik maken van onze wachtwoordgenerator en stellen we standaard tweestapsverificatie ( 2FA ) in. Veiligheid gaat boven alles. 

6. Beperk aantal inlogpogingen bij WordPress

Waarschijnlijk herken je het wel: wanneer je drie keer de verkeerde pincode intypt als je geld opneemt, dan blokkeert de bank je pas. Deze vorm van beveiligen kan je ook toepassen op je WordPress beveiliging. Gebruikers kunnen normaliter zo vaak inloggen als ze willen. Hackers proberen dit met zogenaamde brute force attacks: ze proberen automatisch alle mogelijke gebruikersnamen en wachtwoorden, tot ze er daadwerkelijk in zitten.

Een firewall helpt WordPress beveiligen door deze brute force attacks tegen te houden. Gebruik je geen firewall en wil je de beveiliging van je WordPress toch optimaliseren? Installeer dan de plug-in Limit login attempts van Johan Eenfeldt. Daarmee kan je precies aangeven hoe vaak mensen mogen inloggen en dat helpt uiteraard om je WordPress site beter te beveiligen.

Tip. Lees hier hoe ManagedWPHosting je beschermt tegen Brute Force aanvallen

Beperk aantal inlogpogingen bij WordPress.

7. Activeer tweestapsverificatie

Tweestapsverificatie is een ander handig hulpmiddel dat je waarschijnlijk wel kent van de bank en dat je tevens kan helpen bij het beveiligen van je WordPress website. Voordat je geld overmaakt moet je in dit geval eerst een link in een SMS’je of een appje aanklikken. Wanneer je op je WordPress-site een tweestapsverificatie activeert, dan krijg je na het inloggen een mailtje of een SMS. Pas op het moment dat je op de link hebt geklikt kom je ook daadwerkelijk in de admin-omgeving. Voor WordPress zijn er verschillende handige plug-ins die tweestapsverificatie mogelijk maken. Denk aan Keyy Two Factor Authentication. Een goede hosting provider regelt dit standaard voor je.

8. Beveilig admin-omgeving en login-scherm bij WordPress 

Hackers zijn opportunistische en tamelijk ongeduldige mensen. Lukt het ze niet snel genoeg om je site binnen te dringen, dan proberen ze het wel bij een ander. Maak het ze daarom zo moeilijk mogelijk en een goede WordPress beveiliging is om die reden essentieel. Typ je ‘wp-admin’ achter de URL van een WordPress website, dan zie je het inlogscherm. Dit kan je via de server afschermen met een wachtwoord. Een wachtwoord op de admin-omgeving en het inlogscherm zorgt voor een extra drempel voor de hackers, die op die manier worden afgeschrikt. Goed om te weten: bij Managed WP Hosting is het niet mogelijk voor spamrobots om op basis van een (gestolen) WordPress-wachtwoord en gebruikersnaam in te loggen. Er zit namelijk een sterk tussenscherm voor. Zeker in combinatie met 2 factor zoals net beschreven zit je helemaal goed!

Opmerking. Bij ManagedWPHosting is het niet mogelijk voor spamrobots op basis van een (gestolen) WordPress wachtwoord en gebruikersnaam in te loggen.

9. Maak het hackers moeilijker met geoptimaliseerde .htaccess

In het bestand .htaccess staan instructies voor je server. Je kunt hier bijvoorbeeld zien welke crawlers wel of niet op je site mogen komen of welke nieuwe URL een verhuisde pagina heeft gekregen. Je kunt de .htaccess ook inzetten voor het beveiligen van je site. WordPress maakt op de server gebruik van mappen, bijvoorbeeld met afbeeldingen. De URL is in dat geval bijvoorbeeld ‘www.jouwsite.nl/images’.

Met directory browsing kunnen hackers zien hoe je site is opgebouwd. Soms vinden ze op die manier informatie of bestanden die je niet wilt delen. Ook kan je instellen dat PHP-bestanden in bepaalde mappen niet bewerkt kunnen worden. Daardoor kunnen mensen die kwaad willen je site niet op afstand bewerken. Bij Managed WP Hosting doen we dit standaard. Kijk wel uit met het bewerken van de .htacces, want je moet wel echt weten wat je doet. Heb je twijfels? Laat het dan doen door een programmeur of vraag het aan je favoriete webhostingpartij. Alles om er maar voor te zorgen dat je WordPress beveiliging volledig op orde is.

WordPress beveiligen voorkomt veel narigheid.

Narigheid voorkomen door goede WordPress beveiliging? Kies voor Managed WP Hosting!

Een website beginnen met WordPress is eenvoudig, want in een uurtje staat de eerste versie online. Maar dit wil niet zeggen dat dit altijd zo blijft. Hackers zijn altijd op zoek naar zwakke plekken in je website. Voor de lol, of juist omdat ze gevoelige informatie willen stelen. Het is dan ook cruciaal om je WordPress site goed te beveiligen. Je kunt zelf je WordPress beveiligen, maar dat kost veel tijd en je hebt er specialistische kennis voor nodig. Daarom kan je jouw site laten hosten door Managed WP Hosting. Wij regelen in dat geval ook de WordPress beveiliging, wat jou meer rust geeft en waardoor je bovendien tijd en geld bespaart. Neem gerust contact met ons op om de mogelijkheden en voordelen te bespreken en profiteer snel van de WordPress beveiliging van Managed WP Hosting. Een gratis demo? Ook dat behoort tot de mogelijkheden!

WordPress zelf beveiligen of laten doen? Dit zijn de verschillen

WatLaagste kosten per jaar per siteBij Managed WP HostingBesparing in kosten
Beveiliging99 dollar Wordfence
70 dollar Secupress
80 dollar iThemes security
120 dollar Sucuri
WAF en IPS firewalling
2Factor login
Bruteforce checks
92 dollar
Anti-spam90 euro AkismetWAF en IPS firewalling
Dagelijkse en wekelijkse reputatiescans
Land-blokkades en slimme spam filters voor reacties en contactformulieren
Monitoring op uitgaande site-mail
90 dollar
Back-ups80 dollar backupbuddy
54 dollar Vaultpress
Gratis inbegrepen to 6 maanden terug
Gaat niet van je eigen pakketopslag af
Opslag in Europa (op het vasteland)
67 dollar
Onderhoud en updatesVanaf 300 euro, meestal 540 euroAutomatische updates507 dollar
Monitoring84 dollar uptimerobot
100 euro pingdom
Servermonitoring vanaf 3 onafhankelijke systemen
Site error detectie
85 dollar
Subtotaal = 841 dollar per site per jaar
Eigen server / VPS
Malware verwijderenVanaf 80-400 euro startprijsGratis bij Growing en hoger80 – 400 euro per site per hack
Opslag site en back-upsOp Amerikaanse of gehuurde serversOp eigen servers, op het Europese vastelandOnbetaalbaar 🙂

Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *



Als je dit artikel leuk vond, dan moet je deze speciaal geselecteerde artikelen ook lezen!


Ervaringen van anderen