Je WordPress beveiligen met enkele basisregels

Wat zijn de vuistregels om je WordPress te beveiligen? Dit CMS, dat op bijna 25% van de websites op het internet draait, is op zich best veilig. Maar hoe meer plug-ins, thema’s en extra code je toevoegt, hoe groter de kans op een hack.

Je WordPress beveiligen is dus enorm belangrijk, gebruik deze tips:

1. Houd WordPress up-to-date

  • Log je in op je dashboard en zie je dat er een update beschikbaar is, voer die zo snel mogelijk uit.
  • Laat je niet weerhouden door angst dat je site gebroken wordt doordat een van de plug-ins of thema’s niet compatibel is met deze nieuwe versie.
  • Maak altijd een back-up voor de installatie, zodat je terug kan naar de vorige versie. BackWPup is alvast een handige backup plugin.

2. Speel op veilig met plug-ins en thema’s

  • Houd ook plug-ins en thema’s up-to-date. Zij zijn een achterdeur naar het admin-gedeelte van je site! Denk eraan: de informatie van de Panama Papers werd volgens de meeste bronnen buit gemaakt via een verouderde en niet-gepatchte plug-in!
  • Verwijder plug-ins en thema’s die je niet gebruikt. Het is niet voldoende om ze te deactiveren.
  • Download enkel plug-ins en thema’s van betrouwbare bronnen zoals de Theme Directory en de Plugin Directory bij WordPress zelf, van dev-sites zoals wpmudev.org of van sites met een goede reputatie zoals Themeforest.

3. Hanteer een gezonde wachtwoord-hygiëne

  • Gebruik nooit ‘admin’ als gebruikersnaam. Hackers gaan bij hun aanvallen op zoek naar sites met ‘admin’ als beheerdersnaam. Toch gedaan? Volg de instructies in dit filmpje om de admin-usernaam te wijzigen.
  • Zorg voor een sterk wachtwoord, bestaande uit cijfers, kleine letters en hoofdletters. Sinds versie 3.7 bevat WordPress een tool die aangeeft hoe sterk het wachtwoord is.
  • Verander regelmatig je wachtwoord; gebruik een wachtwoord-manager zoals 1Password of Lastpass die voor jou je wachtwoorden onthoudt.
  • Zorg dat ook jouw gebruikers sterke gebruikersnamen en wachtwoorden gebruiken.
  • Gebruik NOOIT hetzelfde wachtwoord voor meerdere sites.

4. Beperk het inloggen

Hackers maken vaak gebruik van brute force aanvallen, waarbij zij keer op keer trachten in te loggen op de site tot ze het wachtwoord geraden hebben. Neem deze maatregelen:

  • Installeer een plug-in die het aantal keren beperkt dat een gebruiker binnen een bepaalde tijd van een bepaald IP-adres kan trachten in te loggen, bijvoorbeeld Login LockDown. Een dergelijke tool vind je meestal ook in beveiligingspakketten die nog meer andere beveiligingsfuncties bevatten, zoals iThemes Security of Securi Scanner.
  • Wil je helemaal veilig zijn, werk dan met twee-factoren authenticatie, waarbij zowel een wachtwoord vereist is als een token (een code die als sms naar je telefoon gestuurd wordt). De plug-ins Duo bijvoorbeeld zorgen voor 2factor authentication.

5. Beperk het aantal gebruikers met rechten

Werk je met een team aan een website, geef elk teamlid, bij het aanmaken van zijn account op je site, de passende rol:

  • Administrator (Beheerder): beheert de website in zijn geheel, zorgt voor het updaten van plug-ins en thema’s, maakt user accounts aan en beheert ze, kan de code bewerken van de website. Beperk gebruikers met deze rol tot het stricte minimum
  • Editor (Redacteur): creëert, bewerkt, publiceert berichten van zichzelf en anderen.
  • Author (Auteur): creëert bewerkt en publiceert berichten.
  • Contributor (Schrijver): creëert berichten maar kan deze niet publiceren – dat moet de admin of editor doen.
  • Subscriber (Abonnee): een gast die een account aangemaakt heeft, om niet telkens zijn gegevens te moeten invullen wanneer hij op een artikel wil reageren.

Een gulden regel: log zelf niet als beheerder in wanneer je geen onderhoudstaken moet uitvoeren.

6. Voer security scans uit

Net zoals je op jouw computer een antivirus hebt staan, die je machine controleert op virussen en malware, zou je eigenlijk ook een scanner moeten gebruiken bij WordPress. Die zoekt naar schadelijke code in je plug-ins, je core bestanden, je thema’s om na te gaan of daarmee niet geknoeid werd. Enkele vaak gebruikte scanners: Antivirus, Sucuri Security.

7. Monitor de activiteit in je admin-paneel

Installeer een tool die in het oog houdt wat er gebeurt in je beheersmodule. WordPress logt deze informatie wel automatisch, maar de data zijn niet gemakkelijk te lezen. Gebruik WP Security Audit Log, Aryo Activity Log of Simple History. Wanneer er iets fout gaat op je site, kan je de stappen terug volgen tot aan het cruciale moment: de installatie van een bepaalde plug-in, een wijziging in je code, het uploaden van een bestand…

8. Altijd HTTPS!

Telkens je je aanmeldt op jouw admin-paneel, zendt jouw browser een authenticatie cookie samen met het request naar de server. Bij een niet-versleutelde communicatie kan een andere persoon dit cookie onderscheppen en het gebruiken om in te loggen op de server en commando’s uit te voeren.

Door gebruik te maken van het https-protocol wordt de communicatie, en dus ook het cookie versleuteld. Je hebt hiervoor wel een SSL-certificaat nodig. Een SSL-certificaat van Let’s Encrypt is kosteloos bij onze webhosting inbegrepen.

9. Kies voor een goede hosting

Heb je geen goede hosting provider, dan zijn al jouw inspanningen voor niets. Volgens beveiligingsexpert WP White Security zou 41% van de hacks op een WordPress site geschied zijn als gevolg van een beveiligingsfout op de host zelf. Kies daarom je hosting provider met zorg! Onderhoud en beveiligingsupdates van je CMS zijn bij Kreanet inbegrepen!

10. Gezond wantrouwen kan geen kwaad

Wees altijd voorzichtig en let vooral op het volgende:

  • Log niet op je admin-account in vanuit een publieke Wifi zoals bij Starbucks of een hotel.
  • Gebruik enkel een vertrouwde internetverbinding zoals bij jouw thuis of je kantoor.
  • Gebruik bij voorkeur een VPN (Virtual Private Network).
  • Denk als een hacker: wat zijn de zwakste punten van mijn installatie? Hoe zou iemand gemakkelijk binnen kunnen raken bij mij?
  • Als ontwikkelaar mag je nooit de content van je users zomaar vertrouwen.
  • Ga van de veronderstelling uit dat er altijd ergens iemand is die zal trachten om jouw site te kraken.

De bovenstaande tips vergen geen speciale technische kennis. Je moet enkel gezond verstand hebben en vertrouwd zijn met het installeren van plug-ins. In een volgend artikel gaan we een stap verder en geven we concrete voorbeelden van codes die je kan toevoegen en instellingen die je kan wijzigen om je WordPress nog veiliger te maken.

Je WordPress beveiligen voor gevorderden

11. Extra beveiligen door middel van .htaccess

Htaccess staat voor Hypertext Access. Het is een configuratiebestand dat wordt gebruikt op apache servers.

Door middel van configuratiebestanden, kunt u de basisinstellingen van de server configureren. Oftewel, een .htaccess bestand kan gebruikt worden om de server op een bepaalde manier te laten werken. Elke functie is eigenlijk gewoon een regel tekst, of code, die de server vertelt wat te doen. U kunt een functionaliteit toevoegen of wijzigen door de code toe te voegen in een .htaccess bestand.

Waar kan ik .htaccess voor gebruiken?

Er zijn veel toepassingsmogelijkheden met .htaccess, bijvoorbeeld:

  • Bescherm uw website door middel van een wachtwoord.
  • Maak een eigengemaakte foutmeldingspagina
  • Redirect bezoekers naar een andere pagina.
  • Afblokken van mappen en files

Enkele aan te raden beveiliging scripts dewelke u in uw .htaccess bestand kan toevoegen kan u hier terug vinden.