WordPress beveiligen in 9 simpele stappen

Categorie: Veiligheid | Tags: 2FA, beveiliging, hack, login, malware, spam, veiligheid

WordPress beveiligen is cruciaal voor je omzet, reputatie en naamsbekendheid. Met deze 9 tips verklein je de kans op hacks tot een minimum.  

Schrijf je in voor onze nieuwsbrief

Ontvang ook onze laatste handige tips en WordPress nieuwtjes.

• Maximaal 1x per week
• Makkelijk uitschrijven

Schrijf je in voor onze nieuwsbrief

Email

Achternaam

Voornaam

Een ogenblikje

Inschrijven

Bedankt voor je inschrijving!

Je moet er niet aan denken, een gehackte website. Toch gebeurt het vaak. Heel vaak zelfs en volgens schattingen wereldwijd zo’n 30,000 keer per dag! 

ManagedWPHosting beveiligt je site maximaal tegen hackers en andere ongewenste gasten. 

Host je zelf je site of twijfel je over de beveiliging? Ontdek in dit artikel hoe je het hackers zo moeilijk mogelijk maakt. 

Is WordPress een veilig CMS?

WordPress is een open source CMS, dat regelmatig wordt bijgewerkt. Kleine updates kun je automatisch laten installeren. Bij grote updates moet je dit doorgaans zelf doen. Bij ons gebeuren de updates nadat we ze nagelopen hebben, je hoeft er niets voor te doen.

WordPress is in de basis een veilig CMS. Constateren gebruikers of programmeurs veiligheidsrisico’s, dan volgen er snel updates. 

Naast de basis-software kun je WordPress uitbreiden met plug-ins en thema’s. Deze worden ontwikkeld door externe partijen.

Plug-ins en thema’s zijn handig, maar ze kunnen je site ook kwetsbaar maken voor hackers. Installeer daarom alleen software van betrouwbare ontwikkelaars die hun producten regelmatig vernieuwen en verwijder ze als je ze niet meer gebruikt. Vergeet ook niet dat als je een plugin uitzet hij alsnog kan worden misbruikt. Weggooien is dan dus het devies!

Houd updates ook altijd in de gaten en installeer ze zo snel mogelijk. Dan blijft je site zo veilig mogelijk.

WordPress beveiligen begint bij een betrouwbare hoster

Je website staat online, bij een hosting provider. Heeft de hosting provider zijn beveiliging slecht op orde? Dan is de kans op hacks levensgroot. 

Eind 2020 werd een inbraakpoging gedaan bij het Nederlandse Alfa Host. Of er gegevens buit zijn gemaakt, wilde het bedrijf niet zeggen. Maar het stemt zeker tot nadenken. 

ManagedWPHosting maakt van beveiliging topprioriteit. Zo richtten we ons volledig op WordPress en kennen we dit CMS tot in het kleinste detail. 

We beschermen onze servers 24/7 tegen veel voorkomende cyber-aanvallen met hardware en specifieke maatwerk WordPress filters. Zelfs de commentaren en contactformuliieren checken we op spamrobots. En .. we maken het hackers onmogelijk wijzigingen aan te brengen aan essentiële WordPress Core bestanden. Uiteraard is dit maar het topje van de ijsberg.

Host je je site bij een andere provider? Of wil je extra drempels opwerpen voor eventuele kwaadwillenden? Volg dan deze stappen. 

1. WordPress beveiligen begint met goede back-ups

Voorkomen is beter dan genezen. Mocht je site ooit gehacked worden, zorg dan in elk geval voor een recente back-up van je site en database. 

Een professionele hostingprovider maakt tenminste dagelijks updates van je site. Hoe lang ze deze bewaren verschilt per aanbieder. Wees hier kritisch op ! Zie ook deze pagina (met een knipoog, maar het klopt wel): dailybackups.is-what-we-eat-for-breakfa.st

Tip. ManagedWPHosting bewaart back-ups tot 6 maanden terug. Zo weet je zeker dat je website altijd veilig is terug te halen.

Host je zelf je site, of weet je niet of je hosting provider back-ups maakt? Regel dan back-up. Er zijn verschillende plug-ins waarmee je dit kunt doen. Handmatig, of automatisch op vastgestelde tijdstippen. 

"Wordt je site ooit gehacked, zorg dan dat je een recente back-up hebt."

2. Beveilig je WP-site met een security plugin

Na het zorgen voor back-ups is het goed om verdachte activiteiten op je site te monitoren

Daarbij kun je denken aan pogingen om bestanden te wijzigen, mislukte inlog-activiteiten, malware aanvallen etc. 

Een professionele hostingprovider monitort verdachte activiteiten op je site. Maar je kunt het ook zelf doen, met een plug-in. 

Sucuri Scanner is zo’n tool waarmee je eenvoudig hackpogingen op je site monitort. De plug-in is verkrijgbaar in een gratis en betaalde variant. We raden de betaalde met klem aan.

Nota bene: we hebben meer dan voldoende sites gezien die niet bij ons stonden met een security plugin die alsnog gehacked werden doordat er een zwak beheer wachtwoord werd gebruikt. Puur enkel deze optie inzetten is NIET voldoende.

Tip. ManagedWPHosting monitort je site en verdacht verkeer 24/7. Host je bij ons, dan heb je geen security plug-in nodig. 

3. WordPress beveiligen met een firewall

‘Sorry, maar jij bent niet welkom’. Dat is in het kort wat een firewall voor je website doet. Als een virtuele uitsmijter houdt de firewall verdacht verkeer tegen 

Firewalls zijn er in verschillende varianten. 

Een DNS Level Website Firewall leidt verkeer om via proxy servers. Daar filtert de firewall traffic en stuurt hij alleen echte bezoekers door naar je site. 

Een Application Level Firewall filtert bezoekers als ze op je server komen. Dit werkt net zo goed, maar belast je server extra. Dit kan je site vertragen, zeker als je veel bezoekers hebt. 

"Application Level Firewalls belasten je server extra."

Een andere bekende optie voor het beveiligen van WordPress is Wordfence Security. Deze plug-in is verkrijgbaar in een gratis en betaalde variant. 

Krijg je veel ongewenst bezoek op je site, bijvoorbeeld van dubieuze crawlers? Installeer dan een firewall of switch naar een provider die dit verkeer voor je afvangt. 

Een van de bekendste voorbeelden van een DNS Firewall is Cloudflare. Je kent de verificatie-schermen vast. Hiermee vang je verkeer op voordat het je server bereikt.

Je hebt ook nog WAF firewalling welke in de proxy server actief kan zijn. Wij passen WAF regels toe in al onze proxies en als extra laag op de WordPress servers.

Als laatste heb je IDS en IPS hardware firewalling. Deze zijn beter dan puur een hardware firewall. Alle verkeer gaat er doorheen en wordt bekeken. Een IDS logt een fout verzoek maar doet verder niets. Een IPS ondermeemt direct actie door, indien het nodig is, het verkeer te blokkeren. Zoek dus naar een provider met IPS firewalling.

4. Beveilig je verbinding met TLS/HTTPS

Van SSL heb je vast gehoord, de verbeterde opvolger is TLS. Dit protocol versleutelt data tussen gebruikers en je site. 

Met een verbinding via HTTPS kunnen hackers gegevens niet ‘afluisteren’. Het is dus veiliger voor je bezoekers. TLS/HTTPS is bovendien een rankingfactor voor SEO. 

Werkt je website nu nog niet via TLS? Installeer dan direct een veiligheidscertificaat, of laat dit doen door je hostingprovider. 

Let op: het is geen garantie dat je site niet gehacked kan worden, maar het verkleint de kans dat je inloggevens op straat liggen. Ook ingevulde contact en bestelformulieren op je site worden qua transport tussen de bezoeker en de server dichtgetimmerd. Conform AVG/GDPR ben je verplicht een certificaat te (laten) installeren.

Tip. ManagedWPHosting regelt gratis je WordPress certificaat met een A+ rating en een fatsoenlijke bitkey grootte. We passen je instellingen automatisch aan. Ook stellen we een 301-redirect in van http naar https. Zo blijft je SEO optimaal. 

5. Wijzig te makkelijke gebruikersnamen en wachtwoorden

De mens is de zwakste schakel bij online beveiliging. Stel daarom een moeilijk te raden gebruikersnaam en wachtwoord in voor je WordPress-site. 

Vroeger was de standaard gebruikersnaam voor WordPress ‘admin’. Daarmee wisten hackers al de helft van je login. Niet handig dus. Ook is het mogelijk om gebruikersnamen te raden, dit is standaard uitgeschakeld bij ManagedWPHosting.

Tegenwoordig kun je gelukkig wel zelf een gebruikersnaam instellen. Bedenk een moeilijke naam, of laat hem automatisch genereren door een wachtwoordkluis als LastPass. 

Kies ook een moeilijk wachtwoord. Met een wachtwoordprogramma als LastPass kun je het zo lang en ingewikkeld maken als je zelf wilt. Het programma bewaart ze veilig voor je. 

Tip. Wachtwoorden kun je extra versleutelen in de database. Bij ManagedWPHosting gebruiken we hiervoor een sterker algoritme dan het standaard algoritme. 

Ook kun je gratis gebruik maken van onze wachtwoordgenerator en stellen we standaard tweestapsverificatie ( 2FA ) in. Veiligheid gaat boven alles. 

6. Beperk aantal inlogpogingen bij WordPress

Typ je 3 keer de verkeerde pincode in als je geld opneemt? Dan blokkeert de bank je pas. Zo’n beveiliging kun je ook instellen in WordPress. 

Standaard kunnen gebruikers zo vaak inloggen als ze willen. Hacker proberen dit met zogenaamde brute force attacks. Ze proberen automatisch alle mogelijke gebruikersnamen en wachtwoorden, tot ze erin zitten. 

Een firewall houdt brute force attacks tegen. Gebruik je geen firewall, installeer dan de plug-in Limit login attempts van Johan Eenfeldt. Daarmee kun je precies aangeven hoe vaak mensen mogen inloggen. 

Tip. Lees hier hoe ManagedWPHosting je beschermt tegen Brute Force aanvallen. 

7. Activeer tweestapsverificatie

Tweestaps verificatie ken je ook van de bank. Voor je geld overmaakt moet je eerst een link in een SMS of app aanklikken. Dit principe kun je ook gebruiken in WordPress. 

Activeer je tweestapsverificatie op je WordPress-site? Dan krijg je na het inloggen een mail of SMS. Pas als je op de link klikt kom je in de administrator-omgeving. 

Voor WordPress zijn er verschillende handige plug-ins die tweestapsverificatie mogelijk maken, zoals Keyy Two Factor Authentication. Een goede hosting provider regelt dit standaard voor je. 

"Een goede hosting provider regelt tweestapsverificatie standaard voor je"

8. Beveilig admin-omgeving en login-scherm bij WordPress 

Hackers zijn opportunistisch. Lukt het ze niet snel genoeg om je site binnen te dringen, dan proberen ze het bij een ander. Maak het ze daarom zo moeilijk mogelijk. 

Typ je achter de URL van een WordPress-site /wp-admin, dan zie je het inlogscherm.

Dit kun je via de server afschermen met een wachtwoord. 

Met een wachtwoord op je admin-omgeving en login-scherm werp je een extra drempel op. En schrik je hackers af. 

Opmerking. Bij ManagedWPHosting is het niet mogelijk voor spamrobots op basis van een (gestolen) WordPress wachtwoord en gebruikersnaam in te loggen.

9. Maak het hackers moeilijker met geoptimaliseerde .htaccess

In het bestand .htaccess staan instructies voor je server. Bijvoorbeeld welke crawlers wel of niet op je site mogen komen. Of welke nieuwe URL een verhuisde pagina heeft gekregen. 

Je kunt de .htaccess ook inzetten voor het beveiligen van je site. 

WordPress maakt op de server gebruik van mappen, bijvoorbeeld met afbeeldingen. De URL is dan bijvoorbeeld www.jouwsite.nl/images.

Met directory browsing kunnen hackers zien hoe je site is opgebouwd. En soms vinden ze zo bestanden of informatie die je niet wilt delen. 

"Via directory browsing vinden hackers soms bestanden of informatie die je niet wilt delen"

Ook kun je instellen dat PHP-bestanden in bepaalde mappen niet bewerkt kunnen worden. Daardoor kunnen kwaadwillenden je site op afstand niet bewerken. Bij ManagedWPHosting doen we dit standaard. 

Kijk wel uit met het bewerken van de .htaccess, want je moet echt weten wat je doet. Twijfel je? Laat het dan doen door een programmeur, of vraag het je webhoster. 

WordPress beveiligen voorkomt veel narigheid

Een website beginnen met WordPress is eenvoudig. In een uurtje staat de eerste versie online. Maar dat wil niet zeggen dat dit altijd zo blijft. 

Hackers zijn altijd op zoek naar zwakke plekken in websites. Voor de lol, of omdat ze gevoelige informatie willen stelen. Het is daarom cruciaal dat je je site goed beveiligt.

Een website beveiligen kun je zelf doen. Maar het kost veel tijd en je hebt er specialistische kennis voor nodig. 

Laat je je site hosten door ManagedWPHosting, dan regelen wij de beveiliging. Dit geeft je rust en bespaart tijd en geld. 

WordPress zelf beveiligen of laten doen? Dit zijn de verschillen

Als je dit artikel leuk vond, dan moet je deze speciaal geselecteerde artikelen ook lezen!