Waarom WordPress beveiligen, dat is de vraag die ik steeds van klanten krijg. Is WordPress dan niet veilig? WordPress is op zich een zeer stabiel en robust systeem! Van alle websites wordt WordPress 31% gebruikt. Dus we kunnen zeker stellen dat dit een veilig en zeer flexibel CMS systeem is.

Wat maakt WordPress onveilig of waarom is mijn website dan gehackt?

Dit kan van verschillende factoren afhangen, de meeste mensen gaan ervan uit dat enkel grote bedrijven gehackt worden. Het gaat er niet om of je nu een groot of klein bedrijf hebt maar omdat WordPress een open source platvorm is en dat dit het populairste CMS systeem is!

Hieronder enkele factoren waarom je website gehackt kan worden:

  • WordPress versie is niet up-to-date
  • Oude plugins die al meer dan een jaar geen update hebben gehad
  • Een premium thema dat niet meer geupdate wordt door de ontwikkelaar
  • Oude PHP versie
  • Geen SSL certificaat
  • Geen malware bescherming

Dit zijn enkele voorbeelden waar je rekening mee moet houden indien je een website hebt, of dit nu een WordPress website is of een ander CMS systeem. Ikzelf vergelijk dit steeds met een auto, een wagen moet ook regelmatig op onderhoud om veilig te zijn.

 

Kan ik mijn WordPress website zelf veiliger maken?

Absoluut, je kan je WordPress website zelf beveiligen! Maar vooraleer je, je eigen website beveiligd kan je beter eerst een paar zaken nakijken. Hieronder een overzicht

  1. Is mijn website gemaakt met een child theme (indien niet, eerst een child-theme aanmaken vooraleer een thema update uit te voeren)
  2. Is je WordPress versie up-to-date (momenteel versie 4.9.8)
  3. Heeft je WordPress thema de laatste versie
  4. Zijn alle plugins up-to-date

Als bovenstaande zaken in orde zijn kun je overgaan tot beveiliging van je website.

 

Enkele tips om je WordPress website te beveiligen.

 

1. Gebruik nooit “admin” als gebruikersnaam en kies een sterk paswoord

Indien er toch alreeds een gebruikersnaam met “admin” of “administrator” aanwezig is, maak dan eerst een nieuwe gebruiker aan met administratieve rechten en verwijder nadien de “admin” of “administrator” account.

Indien je niet zeker bent hoe een sterk wachtwoord eruit ziet of waar je het kan krijgen, bekijk dan zeker de Strong Password generator eens.

2. Verberg je login pagina

Door je login pagina in WordPress (wp-admin & wp-login.php) te wijzigen, maak je het hackers moeilijker om een brute force attack te kunnen uitvoeren. Een aan te raden plugin hiervoor is WPS Hide Login.

3. Beperk het inloggen

WordPress heeft standaard geen limiet op inlogpogingen, waardoor men zonder problemen oneindig kan proberen in te loggen. Beperk het aantal inlogpogingen van een gebruiker per IP-adres, zo voorkom je “brute force” aanvallen. De plugin Limit Login Attempts Reloaded blokkeert automatisch het IP-adres na verschillende foutieve inlogpogingen.

4. Houd je WordPress core, thema’s & plugins up-to-date

Meestal wordt een website gehackt dmv. een beveiligingslek in zowel plugins, thema’s of core. Dit omdat de beveiligingslekken van oudere versies van zowel plugins, thema’s of WordPress core bekend zijn. Daarom dat het zo belangrijk is om deze zaken up-to-date te houden.

Je kan je updates manueel of automatisch uitvoeren. Ik prefereer de manuele updates aangezien de automatische updates je website kunnen laten crashen indien ze niet compatibel zijn met thema’s, plugins of huidige core versie.

Indien wij updates uitvoeren doen wij dit op een development omgeving waar een kopie van de huidige website staat. Zo voorkomen wij dat een “live” website crasht of niet beschikbaar is.

5. Verwijder thema’s en plugins die niet gebruikt worden

Bij een standaard installatie van WordPress worden 3 thema’s geïnstalleerd (twentyfifteen, twentysixteen & twentyseventeen). Indien deze niet gebruikt worden kun je deze het best verwijderen. Deze thema’s worden nogal snel over het hoofd gezien indien men een ander thema gebruikt.

Hetzelfde geldt voor plugins, hoe minder plugins je website heeft ,hoe sneller de website kan geladen worden en deste minder opslagruimte je gebruikt.

6. Monitor je website activiteiten in je admin-paneel

Installeer een plugin of tool die je website activiteiten monitort, moest er iets foutlopen op je website of een plugin falen, dan kan je deze foutmeldingen en acties nakijken. Wij gebruiken steeds Sucuri Security die automatisch alle activiteiten logt, een ander alternatief is bv. WP Security audit log.

7. Hosting

Een zeer belangrijk aspect dat vaak over het hoofd wordt gezien en waar men te weinig aandacht aan geeft. Wanneer je belang hecht aan een beveiligde website is een goede hosting provider een MUST!

Waar je vooral op moet letten als je een hosting provider zoekt zijn volgende punten:

Wordt er regelmatig gescand op malware
Zijn er verschillende PHP versies mogelijk
Kan men het Let’s encrypt SSL certificaat activeren
Worden er automatische back-ups genomen

Indien bovenstaande zaken niet in je hosting aanwezig zijn, bekijk dan zeker eens de hosting van Combell en Nucleus. Ze bieden deze services aan in hun pakketten en als extra krijg je nog een zeer kwalitatieve klantendienst die technische zaken zeer snel kunnen beantwoorden!


De info en tips die hier weergegeven worden vergen geen technische kennis. Moest je vragen hebben of vastzitten met het beveiligen van je website, contacteer ons gerust per mail of telefoon.