WordPress beveiliging

WordPress beveiliging is belangrijk omdat het erg populair is bij hackers en spammers. Dit is niet zo vreemd als je bekijkt dat WordPress het meest gebruikte cms is voor het bouwen van eenvoudige tot zeer complexe professionele websites en webshops.

WordPress beveiliging

Er zijn verschillende manieren om je WordPress website of webshop te beveiligen. De makkelijkste is om een WordPress onderhoudspakket te nemen. Maar het is ook mogelijk dat je enkele zaken zelf doet en deze zullen we hier gaan bespreken.

Of je nu een grote website hebt met heel veel bezoekers of niet, de WordPress beveiliging is en blijft belangrijk voor je website. De grotere website en vooral met heel veel bezoekers zijn het meest gewild bij hackers, maar de kleinere zijn vaker minder goed beveiligd en dus makkelijker om te hacken. Deze informatie is dus belangrijk voor iedereen die zijn WordPress website wil beveiligen.

• SSL-certificate voor https
• Updates
• WordPress instellingen
• Gebruikersnaam en wachtwoord verbeteren
• File editors uitschakelen
• Limiteer de login pogingen en verberg de login
• Plugins voor WordPress beveiliging
• Hosting en WordPress beveiliging

SSL-certificate voor https

Dit is niet een beveiliging dat speciaal voor WordPress maar iets dat voor elke website belangrijk is tegenwoordig. Zelfs je browser vertelt je dat een website geen SSL gebruikt en dat je dan geen persoonlijke gegevens moet achterlaten.

Voor informatie over SSL installeren voor WordPress zie SSL installeren zonder plugin voor WordPress

SSL staat voor Secure Socket Layer. Dit is een klein bestandje dat zorgt dat communicatie tussen je bezoekers en je website wordt gecodeerd, versleuteld. Hierdoor kunnen hackers en dergelijke deze gegevens niet lezen en tegen je gebruiken.

SSL vraag je aan via je hosting en vaak wordt dit al standaard en gratis aangeboden. Maak er gebruik van want het is beter te voorkomen dan te genezen. En vergeet niet dat dit ook helpt voor je SEO maar belangrijkste is dat je de bezoekers een veiligere communicatie heeft op je website.

Updates

Als je WordPress en de plugins en thema up-to-date houd dan kan je al een hoop problemen voorkomen. Dit is basic WordPress beveiliging. Door het up-to-date houden van cms, plugins en thema zorgt ervoor dat je ook altijd de laatste beveiligingsupdates hebt. Je kan dit automatisch laten doen door WordPress. Probleem hiermee is dat je dan je niet direct in de gaten hebt als een plugin update een probleem is voor je website, bijvoorbeeld.

plugins

Plugins zijn altijd universeel en moeten zo veel mogelijk mensen kunnen helpen. Hierdoor staat er heel veel code in dit je helemaal niet nodig hebt. Vooral populaire plugins zijn doelwit voor hackers. Zij kunnen de plugin downloaden en kijken of er beveiligingslekken zijn en hoe ze hiervan kunnen profiteren.

Gebruik nooit meer plugins dan je echt nodig hebt. De meer plugins, de meer mogelijkheden voor hackers om aan te vallen. Als plugins zijn uitgeschakeld verwijder ze dan ook. Kijk naar de overige plugins welke je misschien makkelijker met een klein stukje code kan doen dan dat je een hele plugin installeert. Probeer altijd om zo min mogelijk plugins te gebruiken.

Ga nooit zaken wijzigen in een plugin. Als je namelijk iets aanpast in een plugin dan kan je deze niet meer updaten. Gevolg is dat je dan geen nieuwe beveiligingsupdates kan doen.
Minder plugins kan ook de pagespeed van je website verbeteren en is dus goed voor Web Vitals en hiermee goed voor je SEO. Het is dus niet alleen een WordPress beveiliging maar ook een verbetering voor je pagespeed en Web Vitals.

Thema’s

Je kan maar één thema tegelijk gebruiken dus alle overige zijn overbodig. Je zou er altijd ééntje extra kunnen plaatsen voor als je problemen hebt met je thema. Door te switchen kan je namelijk bepalen of het probleem in je thema zit of ergens anders.

Veel beter is dat je maar 1 thema geïnstalleerd hebt. Als er een probleem is kan je altijd nog een andere thema installeren om dit te testen.

Als je wijzigingen aanbrengt in je thema, doe dat dan ook altijd in een child-theme. Op deze manier kan je dan altijd nog het thema updaten zonder al je aanpassingen kwijt te raken. Heb je deze nog niet lees dan eens WordPress child-theme maken.

WordPress instellingen

De standaard instellingen zijn niet altijd de beste voor je website maar dat is geheel afhankelijk van wat voor website je hebt. Bijvoorbeeld als jij de enige bent, dan moet je zorgen dat niemand zich kan registreren en dat jij de enige bent met de beheerders rol.

Rollen

Als mensen kunnen registreren en daarna kunnen inloggen dan moet je zorgen dat deze mensen niet meer mogelijkheden hebben dan ze nodig hebben. WordPress heeft verschillende rollen voor verschillende bezoekers.

Als je klikt op “Instellingen” in het WordPress dashboard dan kom je bij de “algemenen instellingen”. Als je geen registratie toestaat schakel dan bij lidmaatschap de “Iedereen kan registreren” uit. Bij “Standaard rol voor nieuwe gebruikers” selecteer je “abonnee” of de rol die het best past bij de lidmaatschap die je wilt bieden. Voor meer informatie rollen en de capaciteiten hiervoor zie roles-and-capabilities.

Als het echt nodig is dat iemand toegang krijgt tot de website voor bijvoorbeeld een freelancer om wat verbeteringen aan te brengen of problemen op te lossen. Je dan deze dan een account geven maar verwijder deze direct nadat het werk is gedaan.

Reacties

Bij de “Instellingen” >> “Discussie” kan je de reacties uitschakelen voor als je dat niet gebruikt. Gebruik je geen reacties op je berichten zorg dan dat bij “Standaard berichtinstellingen” alle drie zijn uitgeschakeld. Wil je het wel gebruiken, schakel dan alleen de laatste in.

Als je spam wilt voorkomen in de reacties dan kan je het best bij “Voor een reactie verschijnt” de “Reactie moet handmatig worden goedgekeurd” inschakelen. Je moet dan wel zorgen dat je regelmatig kijkt of er nieuwe reacties zijn om deze goed te keuren of te verwijderen.

Gebruikersnaam en wachtwoord verbeteren

Als men probeert in te loggen dan moet je zorgen dat het zo moeilijk mogelijk wordt gemaakt om je gebruikersnaam en wachtwoord te raden. Enkele belangrijke tips hiervoor zijn:

• Gebruik nooit admin of administrator als gebruikersnaam, zelfde geld voor andere rollen
• Neem een gebruikersnaam die men niet kan raden zoals je naam
• Gebruik een complex wachtwoord met speciale tekens zoals !, @, #, $ en ? en nummers
• Probeer een zo lang mogelijk wachtwoord te kiezen, minimaal 8 tekens

WordPress beveiliging met .htaccess

De meeste veilige manier om je website te beveiligen is dit te doen via de .htaccess file. Deze file werkt op server niveau waardoor het voor hackers veel moeilijker wordt gemaakt.

De .htaccess file is de file dat ook gebruikt wordt voor “Tekstcompressie voor pagespeed” en “Browser cache voor pagespeed”. In de .htacces file kan je verschillende beveiligingen plaatsen zoals:

• .htaccess file beveiligen
• xmlrpc.php uitschakelen
• wp-config.php beveiligen
• Voorkom hotlinking van afbeeldingen en foto’s
• Beveilig i-frame gebruik
• Blokkeer IP-adressen
• Blokkeer domeinen

Zie voor meer informatie en de code die je kan gebruiken WordPress beveiligen met .htaccess

File editors uitschakelen

In de WordPress dashboard zijn er twee mogelijkheden om files te bewerken. Bij plugins de plugin editor en bij de thema de thema editor. Als deze uitgeschakeld dan kan je voorkomen dat een hacker direct files kan bewerken van je plugins en thema. Dit is het eerste dat een hacker zal proberen nadat die is binnengekomen op je WordPress dashboard.

Je kan deze editors uitschakelen door de volgende code in je wp-config.php te plaatsen.

define('DISALLOW_FILE_EDIT', true);

Hierna kan je altijd nog je files bewerken via ftp of de file manager van je hosting.

Limiteer de login pogingen en verberg de login

Iedereen weet dat je kan inloggen via mijndomein.nl/wp-login.php. Een hacker zal dan gewoon gaan proberen om de gebruikersnaam en wachtwoord en raden. En mooier nog een programma gebruiken dat duizenden gebruikersnamen en wachtwoord per seconden zal proberen tot het is ingelogd.
Als je eerst zorgt dat je via een andere link moet inloggen dan wordt het de hacker weer iets moeilijker gemaakt.

Als je dan ook zorgt dat men maar een bepaald aantal keren kan proberen om in te loggen dan wordt het helemaal moeilijk gemaakt. Je kan bijvoorbeeld zorgen dat iemand maximaal 3 keer kan proberen om in te loggen en nadat ze drie keren dat ze dan voor 6 uur geen pogingen meer kunnen doen. Op deze manier reduceer je het aantal mogelijke poging tot 12 keer per dag. Dit zal de hacker ontmoedigen om het te blijven proberen.

Je kan dit doen door een plugin te gebruiken maar om een extra plugin te voorkomen kan je het ook zonder plugin doen. Zie hiervoor WordPress inlogpogingen beperken zonder plugin

Plugins voor WordPress beveiliging

Er zijn verschillende plugins te vinden om je website te beveiligen. Hier heb je enkele belangrijke onderdelen gelezen die je zelf kan doen. Als je een plugin wilt gebruiken moet je heel goed alle instellingen bekijken. Dergelijks plugins zijn niet direct goed ingesteld voor jouw website omdat iedere website anders is en andere beveiliging nodig heeft. Neem hier dan ook de tijd voor en laat je eventueel adviseren door een expert.

Een goede gratis plugin is Wordfence. Deze heeft een firewall, een scan voor malware en het houd voortdurend je website in de gaten.

Hosting en WordPress beveiliging

Dit kan een heel belangrijk onderdeel zijn want al beveilig je nog zo goed je WordPress website dan kan je het altijd nog zijn dat je hosting de servers niet goed beveiligd en niet regelmatig hun software update. Dan is je website nog steeds vatbaar voor hackers en dit moet je natuurlijk voorkomen.

Voor je een hosting neemt zoek dan eventjes uit hoe anderen hier over spreken in forums, websites en social media. Dit kan je vaak al een goed beeld geven of een hosting goed genoeg is voor jouw website. kijk dan ook naar de snelheid want pagespeed is erg belangrijk tegenwoordig dus hou dat ook in je achterhoofd als je een hosting zoekt. Laat je in ieder geval niet leiden door de verkooppraatjes.