Hoe houd ik mijn WordPress website veilig?
Een website maakt gebruik van meerdere systemen die allemaal verbonden met elkaar zijn. Om jouw website veilig te houden is het belangrijk om te zorgen dat elke deur goed op slot zit en alle systemen op de laatste versies draaien.
Jouw WordPress website beter beveiligen
Laten we de stappen bespreken die je moet nemen om de veiligheidsrisico’s voor jouw website te minimaliseren.
Zorg dat je up-to-date bent
Updates zijn niet alleen bedoeld voor nieuwe functies.
Updates zorgen er ook voor dat gevonden gaten in de beveiliging snel gedicht worden, dat bugs opgelost worden en dat alle losse systemen goed met elkaar werken. Verouderde applicaties zijn kwetsbaarder en werken minder goed waardoor je te maken kunt krijgen met compatibiliteitsproblemen en hackers.
Wat moet je regelmatig updaten?
- Plugins
- Thema’s
- De software van WordPress zelf
Artikel: WordPress, thema’s en plugins handmatig updaten
Daarnaast is het verstandig om te zorgen dat de PHP-versie ook op een van de laatste versies draait.
Gebruik een sterk wachtwoord en een unieke gebruikersnaam
Zeer eenvoudig te raden wachtwoorden zoals ‘12345’ worden in de praktijk nog steeds gebruikt, met alle gevolgen van dien. Het is verstandig om een wachtwoord te gebruiken dat moeilijk te raden is, door personen en algoritmes.
Enkele tips voor een sterk wachtwoord
- Gebruik minstens zes tekens. Meer is altijd beter. Langer dan twaalf tekens wordt aangeraden
- Gebruik geen persoonlijke informatie die makkelijk te achterhalen valt
- Gebruik geen makkelijke te raden reeksen cijfers of veelzeggende woorden
- Mix enkele speciale tekens in het wachtwoord
Een handige tool om wachtwoorden te maken is de Random Password Generator. Je kunt ook een Wachtwoordmanager gebruiken om wachtwoorden te maken en te onthouden, zoals Google Password Manager, 1Password of Dashlane.
Gebruik je een standaard gebruikersnaam, bijvoorbeeld ‘admin’? Dan maak je het voor hackers makkelijk om deze te achterhalen. Vervang deze met een unieke gebruikersnaam, die het liefst niet gelijk is als jouw naam – die meestal ook makkelijk te achterhalen is.
Blokkeer of beveilig je inlogpagina
Er zijn diverse manieren om je inlogpagina te beveiligen of te voorkomen dat buitenstaanders bij je inlogpagina kunnen komen. Denk hierbij aan tweestapsverificatie, het aanpassen van de URL van de inlogpagina, HTTP-authenticatie of IP-whitelisting. Ook kun je brute-forcepogingen tegengaan door het aantal inlogpogingen te beperken.
Bij xel maken alle WordPress websites standaard gebruik van IP-whitelisting en worden extra beveiligd tegen brute-forceaanvallen. Wil je ook gebruik maken van een aangepaste URL om in te loggen of tweestapsverificatie dan kun je hier gratis plugins voor gebruiken.
Gebruik een versleutelde verbinding
Gegevens die van en naar jouw website worden verstuurd, kunnen door derden onderschept worden met een packet sniffer. Om te voorkomen dat ze deze gegevens kunnen inzien en misbruiken, kun je de verbinding versleutelen met een SSL-certificaat.
Schakel niet-gebruikte functies uit
WordPress schakelt functies als bestandsbewerking, XML-RPC en REST API standaard in, terwijl deze niet altijd worden gebruikt. Deze functies zijn vooral bedoeld voor ontwikkelaars en brengen ook risico’s met zich mee.
Bestandsbewerking kan bijvoorbeeld door een hacker die toegang heeft tot het dashboard misbruikt worden om de broncode van plugins en thema’s te wijzigen. De XML-RPC en Rest API zijn vrij gevoelig voor scraping en brute-force aanvallen.
In de meeste gevallen worden deze niet gebruikt en is het raadzaam om deze uit te schakelen.
Maak gebruik van HTTP headers
Met HTTP headers kun je een extra beveiligingslaag toevoegen aan jouw website. Er zijn diverse headers die je kunt toevoegen. Je kunt bijvoorbeeld aangeven dat jouw WordPress website uitsluitend over HTTPS geladen mag worden of clickjacking voorkomen door het gebruik van iframes uit te schakelen.
Deactiveer directory browsing
Veel servers staan directory browsing standaard toe. Dit houdt in dat alle website bestanden toegankelijk zijn voor bezoekers. Om te voorkomen dat kwaadwillenden dit misbruiken om kwetsbaarheden op te sporen is het raadzaam om dit uit te schakelen.
Verwijder plugins en thema’s die je niet gebruikt
Het alleen deactiveren van plugins en thema’s is niet voldoende. Verwijder ze ook als je er geen gebruik van maakt. Ze kunnen namelijk nog steeds kwetsbaarheden bevatten en dus een risico vormen voor je WordPress website.
Kies een goede WordPress webhosting
Veel webhosters, waaronder ook xel, bieden managed WordPress hosting aan wat inhoudt dat ze verantwoordelijk zijn voor het beheer en het up-to-date houden van de hardware en software van de server.
Sommige providers gaan een stapje verder en bieden extra opties aan. Denk hierbij aan het beheer van een firewall, het scannen van malware, automatische updates, SSL certificaten en mogelijkheden om je pagina waar je kunt inloggen te beschermen. Deze opties kun je ook bij xel verwachten.