WordPress beveiligen tegen hackers

Wat kan jij zelf doen om je website veilig te houden.

Wordpress beveiligen tegen hackers 1

door Ricardo

WPsupporter

WordPress is een van de grootste CMS-systemen van dit moment. Hierdoor wordt het steeds verder ontwikkeld en werken er wereldwijd tal van developers aan, om het systeem door te blijven ontwikkelen.

Aan de ene kant is dit natuurlijk geweldig, maar aan de andere kant is het hierdoor ook een populair CMS-systeem voor hackers. In dit blogbericht gaan we je daarom uitleggen hoe je WordPress beter kunt beveiligen tegen hackers!

Hoe zit het met de beveiliging van WordPress?

WordPress zelf is goed beveiligd en krijgt ook regelmatig beveiligingsupdates. Doordat er dagelijks wereldwijd verschillende developers aan WordPress websites werken, komen exploits en beveiligingsproblemen ook sneller aan het licht. Hierdoor kun je wel stellen dat WordPress zelf over het algemeen een veilig systeem is, dat hackers weinig kansen geeft om in te breken.

Dit wil natuurlijk niet zeggen dat WordPress websites nooit worden aangevallen. Sterker nog, er vinden dagelijks duizenden aanvallen plaats, van brute force aanvallen tot aan aanvallen via exploits. Daarom is het dan ook aan te raden om je WordPress website goed te beveiligen!

Voorkomen is beter dan genezen

Met de beveiliging van WordPress zelf zit het wel goed, maar waar gaat het dan vaak mis? Het antwoord is kort, maar het gaat vaak mis bij code van derden. Dit wil zeggen, dat het vaak verkeerd gaat bij plugins, themes, handmatige aanpassingen aan de WordPress Core en ga zo maar door!

Bij plugins en themes gaat het vooral vaak mis, wanneer deze verouderd zijn. Het updaten van plugins en themes is belangrijk, omdat op deze manier ook bijvoorbeeld lekken worden gedicht. Ook kunnen oudere plugins en themes problemen opleveren, wanneer ze geen updates meer krijgen. Heb je dus het idee dat een plugin al heel lang geen update heeft gehad? Dan kun je zelf een Googlen op “pluginnaam exploit”. Hiermee kun je ontdekken of deze plugin dan vatbaar is voor een eventuele hack. Is dit het geval, dan kun je beter een andere plugin installeren die wel up-to-date is.

WordPress updaten: Uiteraard is het ook belangrijk om WordPress zelf up-to-date te houden en dit doe je door updates te installeren. Sinds een tijdje kun je ook kiezen voor automatische updates, zowel voor plugins, themes en WordPress zelf. Op deze manier, mis je nooit een update!

Verder met het beveiligen van WordPress

Laten we even wat dieper in de beveiliging duiken. Bovenstaande tips zijn erg belangrijk, maar aanvallen vinden op verschillende manieren plaats. Vooral brute force aanvallen zijn erg populair! Daarom zullen we het eerst hebben over het beveiligen van het inlog-gedeelte.

Wat is een Brute Force aanval?

Bij een Brute Force aanval, gebruiken hackers speciale software om het wachtwoord van een WordPress account te achterhalen. Met behulp van deze software kan een gebruikersnaam en wachtwoord honderden keren per minuut worden ingevuld, net zolang tot het juiste wachtwoord is achterhaald.

Beveiliging tegen een Brute Force aanval: Gelukkig kan dit type aanval vertraagd/gestopt worden. Om te beginnen kun je een sterker wachtwoord gebruiken. Langere wachtwoorden met een paar speciale tekens als (@#$%^&) zijn lastiger te kraken.

Limit Login Attempts. Vervolgens installeer je de plugin “Limit login attempts”. Met deze plugin kun je instellen hoe vaak een verkeerd wachtwoord ingevuld mag worden. Worden er meermaals verkeerde gegevens gebruikt? Dan wordt het ip-adres van de aanvaller geblokkeerd.

Two Factor Authentication.Wil je het inloggen nog beter beveiligen? Dan kun je kiezen voor een extra laag beveiliging door de plugin “Two Factor Authentication” te installeren. Deze plugin ondersteunt Google Authenticator en zorgt er dan ook voor dat je nog een extra code moet invoeren op het moment dat je gaat inloggen.

Wps Hide Login.Natuurlijk kun je NOG een stapje verder gaan en dan maak je het voor een aanvaller nog lastiger om een brute force aanval uit te voeren. Je kunt namelijk ook nog de link wijzigen voor het inloggen. Standaard ga je voor het inloggen naar jouwdomeinnam.nl/wp-login.php of naar jouwdomeinnaam.nl/wp-admin.php en op deze twee vinden dan ook de meeste aanvallen plaats! Door de links te wijzigen, wordt het nog lastiger om een aanval uit te kunnen voeren.

Om de links voor het inloggen te wijzigen, kun je een plugin als Wps Hide Login gebruiken. Je kunt vervolgens een eigen link maken, bijvoorbeeld: “wpsupporterslogin”.

WordPress beveiligen tegen aanvallen via XML-RPC

XML-RPC wordt gebruikt om via verschillende soorten software verbinding te maken met een WordPress website. Bijvoorbeeld om wijzigingen aan te brengen, blogs te uploaden zonder in te loggen en ga zo maar door.

XML-RPC is erg krachtig in gebruik, maar wordt ook vaak gebruikt door hackers. Daarom is het verstandig om XML-RPC uit te schakelen wanneer je er geen gebruik van maakt. Het uitschakelen van XML-RPC kan handmatig of met een plugin.

Installeer de disable xml rpc plugin en nadat je deze geactiveerd hebt, is het gelijk uitgeschakeld. Ook kun je dit handmatig doen, hiervoor maak je gebruik van FTP. Zoek het bestand .htaccess en voer daar het volgende stukje code in:

Order deny, allow

Deny from all

Allow from xxx.xxx.xxx.xxx

WordPress nog beter beveiligen tegen hackers

Met bovenstaande stappen hebben we al een behoorlijke fundering gebouwd als het om beveiliging gaat, maar er zijn natuurlijk nog meer mogelijkheden om extra beveiliging in te bouwen. Niemand wil dat zijn of haar website de dupe wordt van een aanval door hackers, daarom is het nooit een slecht idee om je WordPress website een extra laag aan beveiliging te geven.

Naast alle beveiligingen tegen hackers, is het ook nooit verkeerd om een ander soort beveiliging in te bouwen, namelijk een fallback beveiliging, voor wanneer je zelf niet meer in het administratiegedeelte van je website kunt komen. We nemen zo een paar plugins met je door, die je WordPress website op verschillende manieren extra beveiliging bieden.

iThemes Security

iThemes Security is een allround plugin voor WordPress beveiliging. iThemes Security onderscheidt zich door het uitgebreide notificatie systeem. Gebeurt er iets met je WordPress website, dan zal iThemes het detecteren en je op de hoogte brengen.

iThemes is voorzien van een malware scanner, exploit scanner en is altijd actief. Voordat een aanval schade aan je website kan toebrengen, wordt het ip-adres van de aanvaller al geblokkeerd. Gebruikt deze een VPN of verschillende proxies? Dan worden deze uiteraard ook geblokkeerd!

Sucuri Security

Sucuri staat bekend als een van de beste WordPress plugins wanneer het gaat om beveiliging. Door deze plugin te installeren, zorg je voor een betere beveiliging en ook dat je bijvoorbeeld op de hoogte wordt gebracht van exploits. Ook is Sucuri voorzien van een malware scanner, die bijvoorbeeld bestanden in de gaten houdt en een waarschuwing geeft, wanneer er foutieve code wordt gevonden.

UpdraftPlus

Er kan van alles gebeuren met een WordPress website. Daarom is het ALTIJD een goed idee om back-ups te maken, waarmee je altijd terug kan naar een moment waarop je website nog goed werkte. Dit is ook precies waar UpdraftPlus heel goed in is!

Met deze plugin kun je automatisch back-ups maken van je hele website en deze back-ups automatisch naar bijvoorbeeld Google Drive sturen! Heb je dan ooit een probleem, waardoor je terug moet naar een moment waarop jouw website nog goed functioneerde? Dan kun je een back-up gebruiken, natuurlijk kun je deze ook gebruiken in geval van een hack.

Really Simple SSL

Met een SSL certificaat stel je een beveiligde verbinding in voor je WordPress website. SSL-certificaten waren voorheen vrij duur, maar door de komst van LetsEncrypt waren deze hoge prijzen verleden tijd. Een SSL-certificaat zorgt niet alleen voor een beveiligde verbinding, maar biedt bijvoorbeeld ook SEO voordelen.

Ook geven de meeste browsers aan dat een website zonder SSL-certificaat onveilig is. Dit hoeft niet altijd daadwerkelijk zo te zijn, maar het kan je wel bezoekers kosten! Om SSL te activeren in WordPress, kun je gebruik maken van de plugin “Really Simple SSL”. Deze zet je website dan om van http naar https. Uiteraard moet je wel een certificaat geïnstalleerd hebben.

Nog een paar tips om hackers buiten de deur te houden

Tip 1. We hadden het eerder in dit bericht al over plugins en themes. Deze twee worden in WordPress natuurlijk veel gebruikt, maar kunnen ook beveiligingsproblemen veroorzaken. Om een website mooi te maken, wordt vaak gebruik gemaakt van een Premium Theme en om speciale functionaliteit toe te voegen, gebruiken we natuurlijk vaak Premium Plugins.

Nu kunnen themes en plugins soms behoorlijk prijzig zijn om aan te schaffen of er kan een abonnement aan vastzitten. Veel eigenaren van websites gaan hierdoor op zoek naar manieren om goedkoper aan deze themes of plugins te komen of zelfs gratis!

Hier gaat het dan ook vaak fout, vooral bij de zogenaamde “nulled plugins/themes”. Het gaat hier in de meeste gevallen om gekraakte versies die in sommige gevallen slechte code bevatten, maar ook in VEEL gevallen malware. Trap hier dus zeker niet in, het kan namelijk in beide gevallen veel problemen opleveren!

Tip 2. Dit is eigenlijk een toevoeging aan bovenstaande tip. Er bestaan namelijk ook websites waarbij je tegen betaling premium plugins of themes kan open (natuurlijk niet die van de uitgever). Deze manier is weliswaar minder tricky, maar alsnog niet aan te raden. Automatisch updaten is vaak niet mogelijk en daarnaast zijn de plugins en themes vaak aangepast om het licentiegedeelte te omzeilen. Hierdoor kunnen er risico’s ontstaan, met alle gevolgen van dien!

Tip 3. Eerder hadden we het over beveiliging vanuit WordPress, maar er zijn nog meer beveiligingsmogelijkheden die vaak nog veel beter kunnen werken. Het gaat dan bijvoorbeeld om anti-DDos en incremential back-up vanaf de server.

Een goede hostingpartij zorgt voor extra beveiliging. Dit wordt gedaan om zowel jouw website te beschermen, als de server waarop jouw website staat. Biedt jouw hostingpartij geen degelijke beveiliging? Dan kan het rendabel zijn om over te stappen. WPsupporters kan je daar uiteraard bij helpen!

Hopelijk hebben wij je kunnen helpen met dit blogbericht. Mocht je nog vragen hebben of WPsupporters willen inzetten om jouw website te beveiligen, dan horen wij graag van je!

Geef ons een beetje support, en deel met belangstellenden.

Facebook
Google+
Twitter
LinkedIn
WhatsApp

Lees ook:

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *