Mijn-eigen-website.nl

Websitebouw voor doe-het-zelvers

Hoe kun je een WordPress-website optimaal beveiligen?

Bang dat je WordPress-site wordt gehackt? Met deze maatregelen is WordPress beveiligen helemaal niet zo moeilijk!

Van nature is een WordPress-website wat gemakkelijker te hacken dan een website die alleen bestaat uit onveranderlijke html-pagina’s. Maar WordPress heeft ook zo veel voordelen, dat veel mensen er toch voor kiezen om hun website met dit systeem te bouwen. En gelukkig is WordPress beveiligen helemaal niet zo moeilijk. Op deze pagina leg ik uit hoe je dat doet.

WordPress beveiligen is heel belangrijk

WordPress-hosting

  • Kies een goede hosting provider, die zijn servers goed beschermt.

  • Kies een goed hosting-pakket. Het beste is dedicated hosting, maar daarmee drijf je de kosten van je website ook direct flink op. Iets goedkoper is managed hosting, en de goedkoopste optie is shared hosting (waarbij je de ruimte op de server van je webhost deelt met anderen). Als je op een shared server zit, let dan nóg meer op de volgende punten waarmee je WordPress beveiligen kunt.

Dataverkeer

  • Zorg ervoor dat je op een veilige manier contact legt tussen je eigen computer en de server van je webhost. Maak als het kan gebruik van een sftp-verbinding, of van ftp over ssl. Hiermee worden de gegevens die worden overgedragen, versleuteld.

  • Als je op een openbaar netwerk zit te werken, log dan – als dat mogelijk is tenminste – niet in met je beheerdersaccount, maar met een account dat wat minder rechten heeft. Als je bijvoorbeeld alleen een artikel wilt toevoegen aan je site, dan kan dat ook met een account die een ‘lagere rol’ heeft. Mocht iemand dan toch toegang tot je WP-dashboard weten te krijgen, dan kan hij veel minder schade aanrichten dan wanneer hij dat met je beheerdersaccount weet te doen.

  • Zorg dat kwaadwillend verkeer je website niet eens bereikt: zet een CDN (content delivery network) tussen jou en je website. Een gratis CND is cloudflare.com.

WordPress-installatie

  • WordPress slaat alle gegevens op in een verzameling tabellen in een database. Om die tabellen van andere te kunnen onderscheiden die misschien al in dezelfde database staan, krijgen alle WP-tabellen een zogenaamde prefix: een paar karakters vooraf. Standaard is dat de lettercombinatie: wp_. Kies in plaats daarvan iets anders, zodat alleen jij weet wat de exacte naam van al die tabellen is.

  • Houd je WordPress-installatie up-to-date. Er komt ongeveer elke twee maanden een nieuwe WordPress-versie uit en elke keer als dat gebeurt, moet je WordPress updaten. Dat is niet moeilijk; als je inlogt in je WordPress-dashboard zie je vanzelf een melding staan als het weer zover is. En - over updates gesproken - houd ook je thema’s en plugins up-to-date.

  • Schakel een firewall in voor je website die belangrijke bestanden als je .htaccess-bestand en wp-config.php goed afschermt.

  • Zorg ervoor dat de toegangsrechten voor je bestanden en mappen goed zijn ingesteld: de rechten voor alle mappen moeten zijn ingesteld op 755, die voor de bestanden op 644.

  • Zorg dat nergens te zien is dat je je website met WordPress hebt gemaakt. Gebruik je een thema waarin in de voetregel een link naar WordPress staat en het versienummer wordt vermeld, haal dat dan weg. In de head van al je pagina’s staat standaard een meta-tag met daarin een vermelding naar WordPress en de versie daarvan. Haal ook die weg.

  • Zorg ervoor dat je site er niet gloednieuw uitziet. Haal daarom alle standaardpagina’s, -berichten en -reacties weg.

  • Installeer alleen thema’s en plugins via de WordPress-site. Alle thema’s en plugins die je daar vindt, zijn gecontroleerd. Kies plugins die een goede ranking hebben (kijk naar het aantal sterren), die vaak worden bijgewerkt en die door veel mensen gebruikt worden.

WordPress-login

  • Kies een sterke inlogcombinatie. Dat betekent onder andere: géén beheerdersaccount met de naam admin, webmaster, demo, test, of je websitenaam, en géén 1234, 1111, abc123, admin123 of iets dergelijks als wachtwoord. En vergeet niet je wachtwoord van tijd tot tijd te veranderen.

  • Voeg een captcha-code aan je inlogscherm toe.

  • Verander je standaard inlogpagina (wp-login.php) in een andere.

  • Stel de inlogprocedure zo in dat iemand nooit meer dan een maximum aantal pogingen mag doen in een bepaalde tijd. Blokkeer gebruikers die daar overheen gaan een tijdje.

WordPress-accounts

  • Plaats je berichten niet met je beheerdersaccount, maar maak een andere account voor jezelf aan, die minder rechten heeft (geef die account de rol van ‘redacteur’, ‘auteur’ of ‘schrijver’). Stel een afwijkende schermnaam voor dat account in. Standaard is de schermnaam altijd dezelfde als de accountnaam, maar zo kunnen hackers gemakkelijk je accountnaam raden, en toegang proberen te krijgen tot de achterkant van je site.

  • Ben je ingelogd met je beheerdersaccount, dan kun je zonder meer de broncode van plugins en thema’s veranderen met de Plugin Bewerker en Weergave Editor. Schakel deze beide mogelijkheden uit.

WordPress-onderhoud

  • Verwijder plugins en thema’s die je niet gebruikt.

  • Maak regelmatig een backup van je site.

Tip:
Veel van deze acties kun je uitvoeren met behulp van security plugins, zoals de All In One WP Security & Firewall Plugin.