WordPress beveiliging: 10 tips

Vandaag is het vrijdag de 13e. Wat mij betreft dé perfecte dag om het over de beveiliging van je WordPress website te hebben. Want zeg nu zelf: als WordPress gebruiker is een gehackte of geïnfecteerde website toch je allergrootste nachtmerrie Gelukkig is de veiligheid van je site niet afhankelijk van (on)geluk. In dit blogbericht geef ik je 10 tips waarmee je jouw website up and running houdt.

Waarom WordPress gehackt wordt

WordPress is het meestgebruikte CMS ter wereld: maar liefst 34% van alle websites draait op het systeem. Deze populariteit brengt zowel voor- als nadelen met zich mee. WordPress is constant in ontwikkeling, maar kwetsbaarheden worden op grote schaal misbruikt. WordPress beveiliging is daarom essentieel.

De meeste WordPress gebruikers steken weinig moeite in de beveiliging van hun website. Want waarom zou een hacker jouw simpele bedrijfssite hacken? Vergis je echter niet: kleine websites zijn juist een makkelijk doelwit tegenover grote platforms die hun beveiliging vaak goed op orde hebben.

Het hacken of infecteren van een WordPress website draait – net zoals een hoop andere dingen in het leven – meestal om geld. Een gehackte website bevat vaak links naar advertenties of commerciële websites of wordt in zijn geheel doorverwezen. Als je écht pech hebt misbruikt de hacker ook je server om spam te verzenden.

Genoeg redenen dus om de beveiliging van je WordPress website wat extra aandacht te geven.

WordPress hacker achter computer

Geen enkele hacker ziet er zo uit, but you get the point.

Gehackte WordPress website herkennen

Het is niet altijd even gemakkelijk een hack te herkennen. Soms lijkt er namelijk niets aan de hand te zijn met de ‘voorkant’ van je website. Herken je één van de volgende aandachtspunten? Dan ben je mogelijk slachtoffer van een WordPress hack:

Teksten worden aangepast of toegevoegd

Verschijnen er nieuwe pagina’s of zijn je huidige webteksten ineens aangepast? Dan ben je waarschijnlijk gehackt. In de meeste gevallen zijn deze teksten gemakkelijk te herkennen aan de grote hoeveelheid links.

Redirects naar andere websites

Redirects naar andere websites zijn een veelvoorkomend resultaat van een gehackte WordPress website. De hacker probeert op deze manier meer verkeer naar zijn eigen website te leiden of advertenties te tonen.

De website is ineens erg langzaam

Zoals ik in een eerder artikel uitlegde kunnen er verschillende redenen zijn voor een trage WordPress website. Een plotselinge afname in snelheid kan een teken zijn dat er buiten jouw weten om dubieuze code is toegevoegd.

Google Chrome waarschuwt bezoekers

Worden Google Chrome gebruikers verwelkomd door een groot rood scherm wanneer ze je website proberen te bezoeken? Dan gaat er iets goed fout en kun je er zeker van zijn dat je het slachtoffer bent van een hack.

Er verschijnen pop-ups

Ook ongewenste pop-ups kunnen duiden op een hack. De kans is groot dat je als webbeheerder gebruikmaakt van een goede browser die pop-ups automatisch blokkeert.

Vergeet je website dus niet regelmatig te bezoeken zonder blocker zodat je dit symptoom tijdig herkent.

Google Chrome deceptive site ahead

Als je deze melding ziet ben je de pineut.

WordPress website beveiliging

Nu je weet hoe je WordPress hacks kunt herkennen wordt het tijd voor het echte werk: voorkomen dat je slachtoffer wordt. Let’s go!

1. Gebruik een sterk wachtwoord

Deze beveiligingstip geldt natuurlijk niet alleen voor WordPress, maar dat maakt hem niet minder belangrijk. Zorg ervoor dat je sterke wachtwoorden gebruikt voor zowel WordPress als je hostingaccount. Zo hou je je WordPress website veilig.

Gebruik altijd een combinatie van hoofd- en kleine letters, nummers en symbolen. Victor en ik gebruiken 1Password om sterke wachtwoorden te genereren en beheren voor al onze accounts.

2. Gebruik een sterke gebruikersnaam

Voorheen registreerde WordPress standaard een beheerdersaccount met de gebruikersnaam admin. Deze gebruikersnaam wordt dus vrijwel altijd geprobeerd door hackers die gebruikmaken van de brute force methode (het op hoog tempo proberen van verschillende gebruikersnaam- en wachtwoordcombinaties).

Kies dus liever een andere gebruikersnaam. Heb je al een beheerdersaccount met de naam admin? Maak dan een nieuw profiel aan en kies een unieke naam.

3. Gebruik tweestapsverificatie

Tweestapsverificatie is een veelgebruikte methode om een extra beveiligingslaag toe te voegen aan accounts op het internet. Met tweestapsverificatie moet je naast je gebruikersnaam en wachtwoord ook een unieke code invoeren wanneer je inlogt.

Om tweestapsverificatie toe te voegen aan je WordPress website kun je gebruikmaken van de Google Authenticator WordPress plugin in combinatie met de mobiele app.

4. Wees kieskeurig met thema’s en plugins

Eén van de grote voordelen van WordPress is het enorme aanbod aan thema’s en plugins waarmee je de vorm en functionaliteit van je website kunt veranderen. Helaas is dit ook een grote kwetsbaarheid van het CMS.

Iedere ontwikkelaar kan – zonder enige vorm van controle – een thema of plugin ontwikkelen voor WordPress. Hou er dus rekening mee dat er niet alle thema’s en plugins voldoen aan dezelfde (beveiligings)standaarden.

Stel jezelf altijd de volgende vragen voordat je iets installeert:

  1. Wanneer is deze plugin voor het laatst geüpdatet?
  2. Wat zegt men in de reviews?
  3. Heb ik te maken met een ervaren of startende ontwikkelaar?
WordPress plugin overzicht

5. Verwijder ongebruikte plugins

Nu we het toch over plugins hebben: werp eens een kritische blik op je huidige plugins en verwijder alles dat je niet nodig hebt.

Bij Visia proberen we het gebruik van plugins sowieso altijd te beperken tot een minimum. Elke extra plugin voegt namelijk ook potentiële beveiligingslekken toe aan je website.

6. Hou alles up-to-date

Dankzij de enorme community achter WordPress is het systeem constant in ontwikkeling. Kwetsbaarheden in de beveiliging worden snel gedetecteerd én opgelost door middel van updates.

Controleer dus regelmatig of er updates beschikbaar zijn voor het CMS, de thema’s en plugins. Zo hou je je website veilig en stabiel.

7. Installeer een security plugin

WordPress biedt out-of-the-box een aantal standaard beveiligingsmaatregelen. Je kunt de beveiliging van je website echter nog verder opschroeven door middel van een betrouwbare security plugin.

Dit soort plugin regelt meestal de volgende zaken voor je:

  • Actieve monitoring van alles dat er op je website gebeurt;
  • Het scannen van bestanden;
  • Het opsporen en verwijderen van malware;
  • Het blacklisten van IP-adressen van aanvallers;
  • Het melden van potentiële beveiligingsrisico’s

Het aanbod aan security plugins is groot, neem dus even de tijd om uit te zoeken welke plugin het beste aansluit op jouw website. Kies in ieder geval wel voor een partij die hun software constant doorontwikkelt (zoals Sucuri, WebARX of Wordfence).

8. Maak regelmatig backups

Het regelmatig maken van backups is een belangrijk onderdeel van WordPress security. Een backup geeft je de mogelijkheid je website weer te herstellen in het geval van een hack of infectie. Met behulp van plugins zoals VaultPress of UpdraftPlus kun je dagelijks backups maken.

Bewaar je backups altijd op een externe locatie, zoals DropBox of een andere clouddienst. Zo zorg je ervoor dat de backups niet beïnvloed worden als een hacker toegang heeft tot de bestanden op je server.

Serverruimte

Bewaar je backups altijd op een externe server.

9. Kies een goede webhost

Je webhost speelt een belangrijke rol als het aankomt op de beveiliging van je WordPress website. Een goede hostingpartij neemt extra maatregelen om servers en bestanden te beschermen tegen aanvallen:

  1. Het actief monitoren van verdachte activiteiten op de servers;
  2. Het automatisch maken van volledige backups zodat je je website gemakkelijk kunt herstellen;
  3. Het bijwerken van hard- en software om beveiligingslekken te dichten.

Ga dus niet zomaar in zee met de eerste de beste webhost. Kies voor een partij die een actieve rol speelt in het beschermen van je website.

10. Gebruik SSL

Een SSL-certificaat versleutelt de verbinding tussen de webserver en de browser van een bezoeker. Deze vorm van encryptie maakt het moeilijker voor kwaadwillenden om data te onderscheppen.

SSL maakt je website dus veilig, zowel voor jou als voor je bezoeker. Daarnaast zorgt SSL ook voor een betere SEO-score en is het een verplichting volgens de AVG.

Weet je niet hoe je een SSL-certificaat aan je website toevoegt? Je webbouwer of hostingprovider kan dit vaak eenvoudig voor je regelen.

WordPress beveiligen en veilig houden

Met behulp van bovenstaande tips kun je een goede basis neerzetten voor een stabiele WordPress installatie met voldoende beveiliging. Onderschat het belang van een sterke beveiliging niet en blijf kritisch kijken naar de bescherming van je website.

Heb je het idee dat je tóch gehackt bent en kom je er zelf niet meer uit? Neem dan gerust contact met ons op, we kijken graag met je mee.