Waarom een WordPress website beveiligen, dat is de vraag die regelmatig terugkomt. Is WordPress dan niet veilig?
WordPress is een zeer stabiel en robust systeem! Van alle websites wordt WordPress meer dan 34% gebruikt. Dus we kunnen zeker stellen dat dit een veilig en zeer flexibel CMS systeem is.
Dit kan van verschillende factoren afhangen, de meeste mensen gaan ervan uit dat enkel grote bedrijven gehackt worden.
Het gaat er niet om of je nu een groot of klein bedrijf hebt maar omdat WordPress een open source platvorm is en dat dit het populairste CMS systeem is!
Hieronder enkele factoren waarom je website gehackt kan worden:
- WordPress versie is niet up-to-date
- Oude plugins die al meer dan een jaar geen update hebben gehad
- Een gratis of premium thema dat niet meer ge-update wordt
- Geen SSL certificaat
- Geen malware bescherming
- …
Dit zijn enkele voorbeelden waar je rekening mee moet houden indien je een website hebt, of dit nu een WordPress website is of een ander CMS systeem. Ikzelf vergelijk dit steeds met een auto, een wagen moet ook regelmatig op onderhoud om veilig te te kunnen rondrijden.
Absoluut, je kan je WordPress website zelf beveiligen! Maar vooraleer je, je eigen website beveiligd kan je beter eerst een paar zaken nakijken. Hieronder een kort overzicht:
Als bovenstaande zaken gecontroleerd zijn en je een back-up gemaakt hebt, kun je overgaan tot het beveiligen van je website.
Indien er toch alreeds een gebruikersnaam met “admin” of “administrator” aanwezig is, maak dan eerst een nieuwe gebruiker aan met administratieve rechten en verwijder nadien de “admin” of “administrator” account. (TIP: Indien je de vraag krijgt om je gegevens aan een ander admin account te koppelen en deze is van jou, klik dan op ja!). Anders gaat de data verloren die met de andere admin account is gemaakt, denk maar aan blogpost en dergelijke.
Indien je niet zeker bent hoe een sterk wachtwoord eruit ziet of waar je het kan aanmaken, bekijk dan zeker de Strong Password generator eens en last but not least gebruik zeker niet telkens hetzelfde wachtwoord, Pixel privacy heeft hier een zeer interessant blogbericht over geschreven “reusing passwords“.
Door je log-in pagina in WordPress (wp-login.php) te wijzigen, maak je het hackers moeilijker om een brute force attack te kunnen uitvoeren. Een aan te raden plugin hiervoor is WPS Hide Login.
WordPress heeft standaard geen limiet op inlogpogingen, waardoor men zonder problemen oneindig kan proberen in te loggen. Beperk het aantal inlogpogingen van een gebruiker per IP-adres, zo voorkom je “brute force” aanvallen. De plugin Limit Login Attempts Reloaded blokkeert automatisch het IP-adres na verschillende foutieve inlogpogingen.
Meestal wordt een website gehackt dmv. een beveiligingslek in zowel plugins, thema’s. Dit omdat de beveiligingslekken van oudere versies voor zowel van plugins en thema’s bekend zijn. Daarom dat het zo belangrijk is om deze zaken up-to-date te houden.
Je kan je updates manueel of automatisch uitvoeren. Ik prefereer de manuele updates aangezien de automatische updates je website kunnen laten crashen indien ze niet compatibel zijn met thema’s, plugins of huidige core versie.
Indien wij updates uitvoeren doen wij dit op een development omgeving waar een kopie van de huidige website staat. Zo voorkomen wij dat een “live” website crasht of niet beschikbaar is.
Bij een standaard installatie van WordPress worden 4 thema’s geïnstalleerd (twentysixteen, twentyseventeen, twentynineteen & twentytwenty). Indien ze niet gebruikt worden kun je deze het best verwijderen. Deze thema’s worden nogal snel over het hoofd gezien indien men een ander thema gebruikt.
Hetzelfde geldt voor plugins, hoe minder plugins je website heeft, hoe sneller de website kan geladen worden en deste minder opslagruimte je verbruikt.
Installeer een plug-in of tool die je website activiteiten monitort, moest er iets foutlopen op je website of een plug-in falen, dan kan je deze foutmeldingen en acties nakijken. Wij gebruiken steeds Sucuri Security die automatisch alle activiteiten logt, een ander alternatief is bv. WP Security audit log.
Een zeer belangrijk aspect dat vaak over het hoofd wordt gezien en waar men te weinig aandacht aan geeft. Wanneer je belang hecht aan een beveiligde website, is een goede hosting provider een MUST!
Waar je vooral op moet letten als je een hosting provider zoekt zijn volgende punten:
- Wordt er regelmatig gescand op malware?
- Zijn er verschillende PHP versies mogelijk?
- Kan men het Let’s encrypt SSL certificaat activeren?
- Worden er automatische back-ups genomen?
Indien bovenstaande zaken niet in je hosting aanwezig zijn, bekijk dan zeker eens de hosting van Siteground. Ze bieden deze services aan in hun pakketten en als extra krijg je nog een zeer kwalitatieve klantendienst die technische zaken zeer snel kunnen beantwoorden!
Siteground biedt bovenop ook 2 kwalitatieve plugin SG Optimizer en SG Security!
Met onderstaande plugins kan je een WordPress back-up maken:
Een beveiligde website met een slotje, geeft aan dat de website een SSL certificaat geïnstalleerd heeft. Deze voorkomt dat de
communicatie tussen browser (chrome, firefox, edge) en server minder snel onderschept kan worden.
Dit lijkt moeilijk maar is eigenlijk zeer gemakkelijk indien je een goede hosting provider onder de arm genomen hebt. Bij de goede hosting partners kan je dit eenvoudig in het controle paneel aanvinken en is dit alreeds actief na een tiental minuten.
Google is zeer actief in het herkennen van security issues op websites, je krijgt hiervan zelfs een e-mail indien je website beveiligingslekken heeft. Het kan zelfs zover gaan dat je blacklisted wordt op Google.
Wij raden dus steeds aan op je website te koppelen met Google Search Console.
De info en tips die hier weergegeven worden om een WordPress website beveiliging toe te passen, vergen geen technische kennis. Moest je vragen hebben of vastgelopen zijn met het beveiligen van je website, contacteer ons gerust per mail of telefoon.
