Als je onze blog regelmatig leest, weet je dat de beveiliging van websites en de beveiliging van de hosting de meest kritische punten zijn. Belangrijker dan prestaties, artwork en andere functionaliteiten. Als je een website maakt, moet je ervoor zorgen dat die veilig is. Maar veilige hosting en serverbeveiliging zijn niet genoeg als je WordPress niet veilig houdt.
WordPress is kwetsbaar voor aanvallen
Hoe populairder de app, hoe groter de kans dat hij gehackt wordt door hackers. WordPress drijft momenteel meer dan de helft van de websites in de wereld aan. Het succes ervan werd vooral bepaald door de combinatie van eenvoud en de mogelijkheid tot ontwikkeling. De open structuur maakt de ontwikkeling van websites door plugins mogelijk.
Helaas brengt het aantal WordPress-installaties ook enkele schandelijke resultaten met zich mee. Volgens Wordfence werden op 9 december 2021 meer dan 1,5 miljoen op WordPress gebouwde websites aangevallen. Gedurende 36 uur werden meer dan 13 miljoen pogingen gedaan om de toegang tot sitebeheerpanelen over te nemen.
Cybercriminelen zitten niet stil en zijn voortdurend op zoek naar zwakke plekken in websites en applicaties, dankzij welke ze waardevolle gegevens kunnen bemachtigen. Sucuri wijst op een ander cruciaal element van beveiliging. Meer dan 50% van de gehackte pagina’s op WordPress heeft te maken met een verouderde versie van de applicatie. Keycdn.com voegt daar nog andere statistieken aan toe: bijna 56% van de bedreigingen en beveiligingslekken wordt veroorzaakt door verouderde plugins of thema’s.
Hoe kun je WordPress veilig houden?
Maar zelfs het patchen van een applicatie is geen garantie voor veiligheid. Zorg zelf voor je website. Doe het volgens onze richtlijnen. Hoe meer je ervan gebruikt, hoe veiliger je je website maakt.
Sommige oplossingen vereisen een basiskennis van het phpMyAdmin paneel, waarin je de database kunt bewerken. Een verkeerde bewerking van tabellen kan leiden tot gedeeltelijke ontoegankelijkheid van de pagina of de hele website
Een andere kritische factor van hostingbeveiliging is het hosten op een beveiligde server. Je hebt twee oplossingen: VPS hosting of beveiligde WordPress hosting. Ik raad de tweede aan omdat die ingebouwde beveiligingsmaatregelen heeft om WordPress te beschermen tegen aanvallen. Laten we nu naar de lijst gaan.
WordPress bijwerken
Klinkt cliche? Misschien wel, maar het gaat erom dat je WordPress niet veroudert. Sinds versie 3.7 kan WordPress het CMS, thema’s en plugins automatisch updaten. Het uitstellen van updates is erg riskant.
Verander het standaard wp_ prefix voor tabellen in de database
Dankzij een prefix voor tabellen in de MySQL database kan de applicatie herkennen welke gegevens erbij horen. Meerdere toepassingen kunnen immers één database gebruiken. Een van de zwakke punten van WordPress is dat het de standaard wp_ prefix in de database laat staan; dat maakt het hackers gemakkelijker. Verander daarom dit prefix in een ander, minder opvallend prefix (bijvoorbeeld xtmx4_).
Je kunt dit op twee manieren doen – bij de installatie van WordPress en na de installatie door in te loggen op de MySQL database via het phpMyAdmin paneel. Dankzij deze wijziging zal een website gebaseerd op WordPress minder gevoelig zijn voor SQL Injectie aanvallen.
Het wijzigen van de tabelprefixnaam vereist het wijzigen van vermeldingen in twee WordPress tabellen: xtmx4_options en xtmx4_usermeta. Je kunt dit doen door een van de twee SQL-commando’s (het is noodzakelijk om de door jezelf voorgestelde prefixen aan te geven):
- SELECT * FROM `xtmx4_options` WHERE` option_name` LIKE ‘% wp_%’;
- SELECT * FROM `xtmx4_usermeta` WHERE` meta_key` LIKE ‘% wp_%’;
Vergeet niet de regel met het prefix in het bestand wp-config.php aan te passen na deze wijziging.
Wijzig login en administrator ID
De standaard login die WordPress voorstelt is “admin” – die is gemakkelijk te raden door iemand die probeert in te loggen op het Dashboard. Tijdens de installatie is het de moeite waard deze te veranderen in een andere, minder “logische” vanuit het oogpunt van een externe gebruiker. Vergeet niet dat de login niet wordt weergegeven onder blogartikelen, omdat de weergavenaam individueel wordt geconfigureerd in het WordPress paneel.
Verander de login na de installatie via phpMyAdmin in de tabel (je-prefix)_users. Op dezelfde plaats verander je ook de account-ID. Je kunt het beste een hoog getal invoeren met een willekeurige reeks getallen (bijvoorbeeld in plaats van 333333, voer je 158062 in).
Beperk de toegang tot het WordPress dashboard met .htaccess
De toegang tot de inlogpagina beperken is een heel verstandige oplossing. In het .htaccess bestand is het voldoende om de toegestane verbindingen naar het geselecteerde IP-adres te configureren. Hieronder staat de juiste formule om in de inhoud op te nemen:
- AuthName “Voorbeeld Toegangscontrole”
- AuthType Basis
- volgorde weigeren, toestaan
- weigeren van alle
- toestaan van IP_adres
Voer in plaats van “IP_adres” het adres in van waaruit je toegang wilt krijgen tot het paneel.
Verander je WordPress backend login adres
Kwaadaardige scripts vallen vooral subpagina’s aan die te maken hebben met de inhoud en de uitgave ervan, dus “/ wp-admin”. Daarom is het het overwegen waard om dit adres te veranderen in een ander adres dat vriendelijker is en minder opvalt voor cybercriminelen. Installeer de WPS Hide Login plugin en configureer hem naar wens. Het nieuwe inlogadres van het paneel zal onmiddellijk beschikbaar zijn.
Een ander type bescherming tegen het “kapen” van de WordPress inlogpagina is het gebruik van het .htaccess bestand op de hosting en de verwijzing naar het .htpasswd bestand, waarin je de toegangsgegevens configureert om de inlogpagina weer te geven.
Verander de inlogmethode naar je e-mailadres
Door te veranderen hoe de applicatie de gebruiker verifieert, verhoog je de veiligheid van het WordPress dashboard. Installeer hiervoor de WP Email Login plugin en vervang de inlognaam door het e-mailadres dat aan de gebruiker is toegewezen. Verander na het opslaan van de wijzigingen de standaard login in een reeks willekeurige tekens (vooral, als je “admin” hebt gebruikt).
Schakel Extra Application Protection op Hosting (WAF)
Secure WordPress Hosting beschermt je met een extra beveiligingslaag – een Web Application Firewall. Als je een andere provider gebruikt, vraag hem dan naar WAF. Het beschermt je tegen aanvallen met het gebruik van kwetsbaarheden met betrekking tot MySQL databases of met het gebruik van kwaadaardige headers.
Schakel het bewerken van plugin- en themabestanden uit
Ben je klaar met het personaliseren van je thema en het lanceren van de plugins? Beveilig je bestanden door verdere bewerking van code in het WordPress dashboard te voorkomen. Voeg hiervoor één regel toe aan het bestand wp-config.php:
- define (‘DISALLOW_FILE_EDIT’, true);
Gebruikersregistratie uitschakelen
Met WordPress kun je standaard gebruikers registreren, maar als je een website beheert die deze optie niet nodig heeft (bijvoorbeeld alleen leesgericht), kun je die beter blokkeren in de instellingen van WordPress. Het is weer een “venster” voor een potentiële aanvalspoging.
Schakel twee-factor-authenticatie in
Het extra beveiligingsniveau bij het inloggen heeft nog niemand kwaad gedaan. Gebruik de twee-factor-authenticatie plugin om een dubbele login op het paneel te configureren. Na het invoeren van een login en een wachtwoord zou je een unieke code moeten invoeren die naar je smartphone wordt gestuurd. Deze oplossing vereist de installatie van de Google Authenticator applicatie op je smartphone, beschikbaar op Android en iOS.
Beveiligingsplugins voor WordPress – waarom is het NIET de moeite waard om ze te gebruiken?
Je vindt verschillende extra plugins op de markt die verschillende van de bovenstaande functionaliteiten bevatten en WordPress bovendien beschermen tegen brute force en andere aanvallen. Ze besparen dus tijd (je hoeft er alleen maar een te installeren en in een paar minuten in te stellen) en zorgen (in theorie) voor verschillende onderwerpen op het gebied van beveiliging.
Maar weet je het zeker? Laten we niet vergeten dat het gewoon weer een plugin is. Zelfs beveiligingsplugins kunnen kwetsbaarheden bevatten die het voor een potentiële hacker gemakkelijker zouden maken om toegang te krijgen tot je WordPress-dashboard.
Plugins als Wordfence, Sucuri, of iThemes Security zijn trendy, bieden verschillende functies, en zien er verleidelijk uit, maar de statistiek uit het WPwhiteSecurity onderzoek is zorgwekkend. Bij de 10 meest kwetsbare WordPress plugins in 2019 nam Wordfence de 4e plaats in.
Maak extra kopieën van je gegevens
Op UltaHost servers wordt de back-up ’s nachts cyclisch uitgevoerd, op een puntvormige manier. Alle bestanden en databases in de back-up weerspiegelen de toestand van de server van een bepaald uur. In elk geval kan de gebruiker dergelijke gegevens van de laatste 16 dagen terugzetten. Het is een van de beste deals op de markt, maar dat mag geen verrassing zijn. UltaHost heeft een security-first beleid.
Als je website dynamisch is en je er veel inhoud op publiceert (bijvoorbeeld in de vorm van een advertentieportaal), installeer dan extra WordPress back-up toepassingen. Een daarvan is Updraft, dankzij welke je zelfs elke 60 minuten een back-up kunt programmeren. Vergeet niet om back-ups te maken wanneer je verkeer laag is, want elke back-up operatie is een zware belasting voor de server.
Verwijder onnodige plugins en thema’s
Met WordPress kun je een website maken voor elk doel. Geen wonder dat je er nieuwe thema’s en plugins op gaat testen. Vergeet niet ze te verwijderen als je ze niet gaat gebruiken. Zelfs gedeactiveerde maar verouderde plugins kunnen de reden zijn voor een aanval op je website.
Download plugins alleen van een vertrouwde bron. Dat hoeft niet per se een officiële WordPress repository te zijn, want er zijn premium plugins die je alleen van de website van de auteur kunt downloaden. Maar vermijd plugins uit onbetrouwbare bronnen zoals e-mail of gratis bestandsdiensten. Die ondergaan geen controle en zijn ook niet onderworpen aan controle.
Werk het thema vaak bij
Dit is de derde potentiële bron van een probleem dat een website gebaseerd op WordPress kan tegenkomen. Thema-ontwikkelaars moeten zo vaak mogelijk updates uitbrengen om bugs en softwarekwetsbaarheden te verhelpen. Die kunnen door hackers worden uitgebuit en mogen niet worden onderschat.
Gebruik een SSL-certificaat
WordPress biedt volledige ondersteuning voor een versleutelde HTTPS-verbinding via de browser. Vanaf 2017 vereist de CMS-toepassing dat de server dit protocol ondersteunt. SSL certificaat is ook essentieel vanwege SEO optimalisatie.
Bovendien markeren de populairste browsers (Google Chrome, Mozilla Firefox) websites zonder SSL-certificaat als “onbeveiligd”. Psychologisch gezien staat dit gelijk aan het ontmoedigen van de gebruiker om de site in de toekomst te bezoeken.
Gebruik lange wachtwoorden
Hoe langer en gevarieerder het wachtwoord is, hoe beter. WordPress biedt automatisch aan om het wachtwoord op te slaan in de vorm van meerdere tekens zonder woordenboekzinnen. Meestal willen we in deze stap ons wachtwoord voorstellen, maar in de meeste gevallen zal het niet sterk genoeg zijn.
Als je van dit artikel hebt genoten, dan zul je het veilige UltaHost hosting platform geweldig vinden. Krijg 24/7 ondersteuning van ons support team. Onze aangedreven infrastructuur richt zich op automatisch schalen, prestaties en beveiliging. Laat ons je het verschil zien! Bekijk onze Veilige WordPress Hosting plannen!