Websites & WordPress

8 simpele tips om je WordPress website te beveiligen

Heb je een WordPress website, dan wil je dat deze natuurlijk zo veilig mogelijk blijft. Veel mensen denken dat alleen grote, populaire websites doelwit zijn van hackers, maar hackers gaan juist op zoek naar websites waar mogelijke beveiligingslekken in zitten. Omdat WordPress zo populair is, is het ook de ideale kandidaat om slachtoffer te worden van een hack. WordPress is dan ook niet voor niets het meest gehackte CMS ter wereld. Vervolgens wordt zo’n hack gebruikt om bijvoorbeeld spam e-mails rond te sturen via jouw server of persoonlijke gegevens te stelen. Iets wat je natuurlijk wilt voorkomen. Gelukkig zijn er een aantal simpele tips om jouw website zo veilig mogelijk te houden en de kans op een hack te verkleinen.

1. Houd WordPress, thema’s en plugins up-to-date

De basis is altijd; houd WordPress, gebruikte thema’s en plugins altijd up-to-date. WordPress is open source software en iedereen kan de code hiervan bekijken. Ook mensen die hier misbruik van willen maken. Zit er bijvoorbeeld een beveiligingslek in een plugin, dan weten ook hackers dit en gaan zij actief op zoek naar websites die deze plugin draaien om dit lek uit te buiten. Zorg dus altijd dat je thema, plugins en WordPress is bijgewerkt naar de laatste versie.

2. Gebruik een veilig wachtwoord

Hoe simpel deze tip ook klinkt, toch komt het nog steeds voor dat mensen een te makkelijk wachtwoord gebruiken voor hun beheerders account van WordPress of een wachtwoord gebruiken die bij andere hacks, zoals bij datalekken van grote websites, eerder zijn buitgemaakt. Gebruik dus voor elke website een ander, uniek wachtwoord. Kies voor een wachtwoord met zoveel mogelijk tekens dat bestaat uit kleine letters, hoofdletters, cijfers en speciale tekens.

3. Gebruik geen ‘admin’ als gebruikersnaam

Probeer altijd het woord ‘admin’ te vermijden als je kiest een voor gebruikersnaam binnen WordPress. Dit is een veelgebruikte gebruikersnaam en zo maak je het hackers nog makkelijker om inloggegevens te raden. Ze hoeven dan namelijk alleen nog het wachtwoord te raden.

4. Gebruik two-factor authenticatie

Wil je nog verder gaan met het beveiligen van je gebruikersaccount? Kies dan voor two-factor authenticatie. Tijdens het inloggen met je gebruikersnaam (of e-mailadres) en wachtwoord krijg je op bijvoorbeeld je telefoon of via een e-mail een unieke code die beperkte tijd geldig is. Deze code voer je tijdens het inloggen in. Op deze manier weet de website 100% zeker dat jij eigenaar bent van het account waarmee je probeert in te loggen en kan dit dus een stuk moeilijker misbruikt worden. Het is wel een extra stap tijdens het inloggen, maar wel de meest veilige manier. Er zijn diverse WordPress plugins waarmee je two-factor authenticatie snel en eenvoudig kunt activeren.

5. Wijzig de WordPress database prefix

Standaard wordt ‘wp_’ als prefix gebruikt voor database tabellen. Bij mogelijke aanvallen met SQL injectie wordt het voor hackers makkelijker gemaakt omdat ze exact weten welke database tabellen er beschikbaar zijn. Kies dus tijdens de installatie van WordPress voor een eigen, unieke prefix voor de database tabellen.

6. Schakel ‘file editing’ uit

Als iemand beheerdersrechten heeft en toegang heeft tot de achterkant van WordPress, kan iemand ook makkelijk code aanpassen, zoals code van plugins en thema’s. Mocht een hacker onverhoopt toegang krijgen tot de admin van WordPress, dan kan diegene dus ook code wijzigen en zo kwaadaardige code toevoegen. Gelukkig kun je dit eenvoudig uitschakelen door de volgende regel toe te voegen aan het wp-config.php bestand van jouw WordPress installatie:

define(‘DISALLOW_FILE_EDIT’, true);

7. Verberg het versie nummer van WordPress

Standaard wordt in de broncode (HTML) van een website het versienummer van WordPress weergegeven. Zo weet iemand met kwaadaardige bedoelingen precies welke versie van WordPress er gebruikt wordt en dus ook welke mogelijke zwakke plekken van die versie misbruikt kunnen worden. Met het volgende stukje code (dit kun je in het functions.php bestand van je thema plaatsen), kun je het versienummer verbergen:

remove_action(‘wp_head’, ‘wp_generator’);

8. Maak backups

Tot slot, maak altijd én regelmatig backups van je website. Backups zijn een onderdeel van WordPress onderhoud. Mocht er toch onverhoopt iets gebeuren met je website, dan heb je altijd iets om op terug te vallen. Mocht je website zijn gehackt en wil je een backup terugzetten, zorg er dan wel voor dat je achter de oorzaak van de hack komt voordat je de backup terugzet. Anders is het wachten tot je website weer slachtoffer wordt van dezelfde hack.

Website beveiliging hulp nodig?

Naast bovenstaande tips die je relatief eenvoudig zelf kunt toepassen, zijn er natuurlijk nog veel meer maatregelen die je kunt nemen om te zorgen voor een veilige website. Zowel op WordPress niveau als op serverniveau. Als jij jouw website host bij Kwaaijongens met WordPress hosting dan zorgen wij voor een zo veilig mogelijke omgeving waar jouw WordPress website op draait zodat de kans op een hack zo klein mogelijk blijft.

Vragen? Stel ze gerust