Met naar schatting 60 miljoen websites die tegenwoordig op WordPress draaien is het CMS niet alleen populair onder gebruikers en website-eigenaars, maar helaas ook onder hackers en spammers. Gelukkig is WordPress een solide en veilig platform – mits je de nodige maatregelen neemt om dit zo te houden. WordPress beveiliging hoeft niet moeilijk te zijn, maar vereist wel voortdurend aandacht. Met deze tips en technieken kan je je website beter wapenen tegen kwaadwillenden.
1. Backups!
Deze tip staat niet voor niets op nummer 1. Het belang van backups kan niet genoeg worden benadrukt. Zorg voor dagelijkse backups van je volledige site: bestanden, thema’s, plugins, database. En bewaar de backups niet op dezelfde server als je website, maar gebruik een dienst als Dropbox, Google Drive, S3 of een andere dienst waarmee je graag werkt. Mocht er dan iets fout gaan, dan kun je altijd een backup terugzetten. Bij ABCwebsites gebruiken we UpdraftPlus en Dropbox om dagelijkse backups te maken van onze eigen websites en die van onze klanten, maar ook andere backup-diensten werken prima: BackupBuddy bijvoorbeeld, of BackWPup.
2. Login pagina
Elke standaard WordPress installatie heeft dezelfde inlog pagina: */wp-admin. En elke hacker in de wereld weet dat. Verander dit dus naar iets wat minder voor de hand ligt, en de meeste hackers zullen hun tijd liever besteden aan makkelijkere slachtoffers. Geen idee hoe je dit moet aanpakken? Een makkelijke manier om dit (en nog veel meer security-gerelateerde taken) te doen, is met behulp van de plugin All In One WP Security & Firewall.
3. Admin accounts en wachtwoorden
De standaard gebruikersnaam is “Admin”, en dat is het eerste waar hackers en bots naar zullen scannen. Maak daarom een nieuwe beheerder aan, log uit en weer in onder die nieuwe naam, en verwijder het Admin account onmiddellijk. En als je toch bezig bent: zorg voor een goed wachtwoord voor alle gebruiker accounts. Ik weet het: niemand wil het, het is zo’n gedoe, maar het is echt van levensbelang. En tot slot: wees streng als het gaat om het uitdelen van beheerderstoegang. Meer dan 2 tot 3 beheerders heb je waarschijnlijk echt niet nodig – meestal is 1 beheerder ook al voldoende.
4. Updaten, updaten, updaten
Eén van de meest voorkomende oorzaken van kwetsbare WordPress websites is het gebruik van oude versies. Zie je een bericht van WordPress in je Dashboard dat er een nieuwe versie beschikbaar is? Druk dan op die knop en update je WordPress versie. Sommige hosting providers kunnen dit overigens ook automatisch voor je doen. Update daarnaast ook je plugins en thema’s. Deze krijgen meestal niet alleen een nieuwe versie omdat er nieuwe functionaliteiten beschikbaar zijn, maar juist ook om bekende gaten in de beveiliging te dichten. En vind je het eng om dit te doen, bang dat er wat mis gaat? Geen probleem, als je punt 1 hebt gevolgd kun je altijd nog een backup terugzetten.
5. Wees wijs met plugins en thema’s
Plugins zijn super: voor elke gewenste functionaliteit is wel een plugin te vinden die je website weer net wat beter maakt. Maar de ene plugin is de andere niet. Helaas zetten sommige plugins de deur wagenwijd open voor hackers – bewust maar meestal onbewust. Kies daarom alleen voor plugins uit de WordPress Plugin Directory, die veel gebruikt worden en die goede reviews krijgen. En hou je plugins up-to-date! Update de plugins die je gebruikt, en verwijder de plugins die je niet meer nodig hebt. Dit alles geldt ook voor thema’s. Mijn advies: kies altijd voor een betaald thema, waarbij de support en updates goed geregeld zijn.
6. Scherm bepaalde bestanden af
Hackers schuimen het internet af op zoek naar informatie over websites waar ze iets mee kunnen. Daarom is het verstandig om bepaalde bestanden met die informatie af te schermen voor het publiek: readme.html, read.txt, wp-config.php, install.php, wp-includes.php, en .htaccess. Je kunt dit doen door deze bestanden aan te passen, of door gebruik te maken van een plugin zoals All In One WP Security & Firewall. En verbied dan meteen dat scripts kunnen schrijven naar het wp-config.php bestand en het .htaccess bestand.
7. Bescherm je database
Veel van de informatie van je website is opgeslagen in een database. Dat maakt ook je database een geliefd doelwit voor hackers. Verander daarom de table prefix van “wp_” naar iets wat lastiger te raden is. Te technisch? Ook hiervoor kun je een plugin gebruiken.
8. IP-restricties
Beheer jij je website altijd vanaf hetzelfde, statische IP-adres? Dan kun je het .htaccess bestand zo aanpassen dat toegang alleen is toegestaan vanaf dat adres (of die adressen, als je met meerdere mensen of vanaf meerdere locaties werkt). Ook kun je inbreekpogingen monitoren, en IP’s blokken.
9. Beperk het aantal login pogingen
Als je je wachtwoord bent vergeten, mag je het van WordPress gewoon nog een keer proberen. En nog een keer. En nog een keer. En… nou ja, je snapt mijn punt. Een beetje hacker kan zo wachtwoord na wachtwoord proberen, net zolang totdat hij erin is. Stel dus in dat het aantal login pogingen beperkt wordt, en zet IP-adressen die het een aantal keer achter elkaar zonder succes proberen op een zwarte lijst.