Je WordPress website beveiligen met deze 10 tips

wordpress website beveiliging
Waarom een WordPress website beveiligen, dat is de vraag die regelmatig terugkomt. Is WordPress dan niet veilig? WordPress is een zeer stabiel en robust systeem! Van alle websites wordt WordPress meer dan 34% gebruikt. Dus we kunnen zeker stellen dat dit een veilig en zeer flexibel CMS systeem is.

Wat maakt mijn WordPress website onveilig of waarom ben ik gehackt?

Dit kan van verschillende factoren afhangen, de meeste mensen gaan ervan uit dat enkel grote bedrijven gehackt worden. Het gaat er niet om of je nu een groot of klein bedrijf hebt maar omdat WordPress een open source platvorm is en dat dit het populairste CMS systeem is!Hieronder enkele factoren waarom je website gehackt kan worden:
  • WordPress versie is niet up-to-date
  • Oude plugins die al meer dan een jaar geen update hebben gehad
  • Een gratis of premium thema dat niet meer ge-update wordt
  • Geen SSL certificaat
  • Geen malware bescherming
Dit zijn enkele voorbeelden waar je rekening mee moet houden indien je een website hebt, of dit nu een WordPress website is of een ander CMS systeem. Ikzelf vergelijk dit steeds met een auto, een wagen moet ook regelmatig op onderhoud om veilig te te kunnen rondrijden.

Kan ik zelf mijn WordPress website beveiligen?

Absoluut, je kan je WordPress website zelf beveiligen! Maar vooraleer je, je eigen website beveiligd kan je beter eerst een paar zaken nakijken. Hieronder een kort overzicht:
  1. Is mijn website gemaakt met een child-theme (indien niet, maak eerst een child-theme aan vooraleer je een thema update uitvoert)
  2. Is je WordPress versie up-to-date (momenteel versie 5.2.4 ) November 2019
  3. Heeft je WordPress thema de laatste versie
  4. Zijn alle plugins up-to-date
Als bovenstaande zaken gecontroleerd zijn en je een back-up gemaakt hebt, kun je overgaan tot het beveiligen van je website.

Een wordpress website beveiligen met deze 10 tips!

1. Gebruik nooit “admin” als gebruikersnaam en kies een sterk paswoord

Indien er toch alreeds een gebruikersnaam met “admin” of “administrator” aanwezig is, maak dan eerst een nieuwe gebruiker aan met administratieve rechten en verwijder nadien de “admin” of “administrator” account. (TIP: Indien je de vraag krijgt om je gegevens aan een ander admin account te koppelen en deze is van jou, klik dan op ja!). Anders gaat de data verloren die met de andere admin account is gemaakt, denk maar aan blogpost en dergelijke.Indien je niet zeker bent hoe een sterk wachtwoord eruit ziet of waar je het kan aanmaken, bekijk dan zeker de Strong Password generator eens en last but not least gebruik zeker niet telkens hetzelfde wachtwoord, Pixel privacy heeft hier een zeer interessant blogbericht over geschreven “reusing passwords“.

2. Verberg je login pagina

Door je log-in pagina in WordPress (wp-login.php) te wijzigen, maak je het hackers moeilijker om een brute force attack te kunnen uitvoeren. Een aan te raden plugin hiervoor is WPS Hide Login.

3. Beperk het inloggen

WordPress heeft standaard geen limiet op inlogpogingen, waardoor men zonder problemen oneindig kan proberen in te loggen. Beperk het aantal inlogpogingen van een gebruiker per IP-adres, zo voorkom je “brute force” aanvallen. De plugin Limit Login Attempts Reloaded blokkeert automatisch het IP-adres na verschillende foutieve inlogpogingen.

4. Houd je WordPress core, thema’s & plug-ins up-to-date

Meestal wordt een website gehackt dmv. een beveiligingslek in zowel plugins, thema’s. Dit omdat de beveiligingslekken van oudere versies voor zowel van plugins en thema’s bekend zijn. Daarom dat het zo belangrijk is om deze zaken up-to-date te houden.Je kan je updates manueel of automatisch uitvoeren. Ik prefereer de manuele updates aangezien de automatische updates je website kunnen laten crashen indien ze niet compatibel zijn met thema’s, plugins of huidige core versie.Indien wij updates uitvoeren doen wij dit op een development omgeving waar een kopie van de huidige website staat. Zo voorkomen wij dat een “live” website crasht of niet beschikbaar is.

5. Verwijder thema’s en plugins die niet gebruikt worden

Bij een standaard installatie van WordPress worden 4 thema’s geïnstalleerd (twentysixteen, twentyseventeen, twentynineteen & twentytwenty). Indien ze niet gebruikt worden kun je deze het best verwijderen. Deze thema’s worden nogal snel over het hoofd gezien indien men een ander thema gebruikt.Hetzelfde geldt voor plug-ins, hoe minder plug-ins je website heeft, hoe sneller de website kan geladen worden en deste minder opslagruimte je verbruikt.

6. Monitor je website activiteiten in je admin-paneel

Installeer een plug-in of tool die je website activiteiten monitort, moest er iets foutlopen op je website of een plug-in falen, dan kan je deze foutmeldingen en acties nakijken. Wij gebruiken steeds Sucuri Security die automatisch alle activiteiten logt, een ander alternatief is bv. WP Security audit log.

7. Hosting

Een zeer belangrijk aspect dat vaak over het hoofd wordt gezien en waar men te weinig aandacht aan geeft. Wanneer je belang hecht aan een beveiligde website, is een goede hosting provider een MUST!Waar je vooral op moet letten als je een hosting provider zoekt zijn volgende punten:
  • Wordt er regelmatig gescand op malware
  • Zijn er verschillende PHP versies mogelijk
  • Kan men het Let’s encrypt SSL certificaat activeren
  • Worden er automatische back-ups genomen
Indien bovenstaande zaken niet in je hosting aanwezig zijn, bekijk dan zeker eens de hosting van Combell en Nucleus. Ze bieden deze services aan in hun pakketten en als extra krijg je nog een zeer kwalitatieve klantendienst die technische zaken zeer snel kunnen beantwoorden!

8. Neem regelmatig een back-up van je website en / of webshop

 Moest je ooit gehackt worden, hopelijk niet maar indien het toch ooit zover moest komen zijn er steeds 2 opties 1 – Je website met een back-up terug zetten 2 – De gehackte bestanden zoeken, de infectie verwijderen en de beveiliging opschroeven
Met onderstaande plug-ins kan je een WordPress back-up maken:

9. Kies steeds voor een beveiligde verbinding SSL / HTTPS

 Een beveiligde website met een slotje, geeft aan dat de website een SSL certificaat geïnstalleerd heeft. Deze voorkomt dat de
 communicatie tussen browser (chrome, firefox, edge) en server minder snel onderschept kan worden.
Dit lijkt moeilijk maar is eigenlijk zeer gemakkelijk indien je een goede hosting provider onder de arm genomen hebt. Bij de goede hosting partners kan je dit eenvoudig in het controle paneel aanvinken en is dit alreeds actief na een tiental minuten.

10. E-mail notificaties via Google Search Console

 Google is zeer actief in het herkennen van security issues op websites, je krijgt hiervan zelfs een e-mail indien je website beveiligingslekken heeft. Het kan zelfs zover gaan dat je blacklisted wordt op google. Wij raden dus steeds aan op je website te koppelen met Google Search Console.
De info en tips die hier weergegeven worden om een WordPress website beveiliging toe te passen, vergen geen technische kennis. Moest je vragen hebben of vastgelopen zijn met het beveiligen van je website, contacteer ons gerust per mail of telefoon.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *