9 tips om je WordPress website te beveiligen

WordPress is het meest gebruikte contentmanagementsysteem. Volgens W3Techs gebruikt maar liefst 35,6 procent van alle websites – gemeten op 24 januari 2020 en van alle websites waarvan ze contentmanagementsysteem konden meten – maakt gebruik van WordPress. Joomla staat met een kleine 2,6 procent op de tweede plek. Dat er dusdanig veel verschil tussen de nummer één en twee zit toont wederom de superioriteit van WordPress aan.

Helaas maakt de populariteit van het contentmanagementsysteem het niet alleen aantrekkelijk voor gebruikers, maar ook voor hackers. Er zijn namelijk veel hackers die WordPress-websites proberen te hacken om vertrouwelijke data te stelen. Het is daarom essentieel om je WordPress-website goed te beveiligen om de kans om gehackt te worden te minimaliseren. In deze handleiding geven wij verschillende tips over hoe jij je WordPress-website goed kan beschermen tegen indringers.

Let op: maak altijd een back-up voordat je wijzigingen doorvoert aan je website, zo voorkom je dat je website niet meer bereikbaar is op het moment dat er iets mis gaat. Een back-up maken? Volg onze handleiding Back-up creëren via cPanel of WordPress back-up maken in Blogvault.

9 tips om je WordPress website te beveiligen

Tip 1. Veilige WordPress hosting

Als we spreken over de beveiliging van een website, speelt er op de achtergrond veel meer dan het vergrendelen van alleen je website, hoewel dit natuurlijk wel een grote rol speelt. De beveiliging van een website begint op serverniveau – en daar is je WordPress-host verantwoordelijk voor. Bij Skyberate staan we voor performance, veiligheid en support. Bij ons mag je ervan uitgaan dat we de veiligheid van onze klanten hun websites erg serieus nemen.

Hexabot richt zich op WordPress-hosts

Onze servers maken gebruik van de allerbeste technieken om indringers buiten de deur te houden, al voordat ze überhaupt bij jouw website in de buurt kunnen komen. Denk bijvoorbeeld aan BitNinja Web Application Firewall afgekort WAF die je website beschermd tegen onbekende dreigingen. De WAF-module analyseert webverkeer en reageert direct bij verdachte signalen. Of Patchman die je website scant op verouderde software, mogelijke beveiligingsproblemen en malware. Patchman helpt met signaleren, voorkomen en oplossen.

Tip 2. Gebruik van de nieuwste PHP-versie

PHP speelt een belangrijke rol in de werking van een WordPress-website. Het gebruik van de juiste PHP-versie is bij WordPress daarom extra belangrijk. Elke major release van PHP wordt meestal ondersteund tot ongeveer drie jaar na de release. In de tussentijd worden bug- en securityfixes opgelost om de versies veilig en toegankelijk te houden. Websites die gebruik maken van PHP 7.1 of lager hebben geen ondersteuning meer en worden dus blootgesteld aan kwaadwillende – simpelweg omdat deze niet meer wordt bijgewerkt.

Volgens de officiële WordPress Stats-pagina gebruikt maar liefst 47,7% van de WordPress-gebruikers op het moment PHP 7.0 of lager. Dat is erg zorgwekkend.

Tip 3. Wijzig de WordPress login URL “wp-admin”

Kwaadwillende zoals hackers gebruiken spiders en bots om het web te ‘crawlen’. Zij gaan bijvoorbeeld op zoek naar websites die www.domeinnaam.nl/wp-admin als URL gebruiken. Als ze deze vinden zullen ze proberen om deze te hacken, en je wilt natuurlijk voorkomen dat zoiets jou overkomt. Door de URL te wijzigen verklein je de kans dat je een doelwit bent. Het is een vrij makkelijk te implementeren trucje om de beveiliging van je website te verbeteren.

Wijzig je WordPress login URL met een plugin

WPS Hide Login

De meest gebruikte plugin voor het wijzigen van een WordPress login URL is WPS Hide Login. WPS Hide Login heeft meer dan 500.000+ actieve installaties. Het is een zeer lichte plug-in waarmee je de URL van de inlogpagina eenvoudig en veilig kunt wijzigen in alles wat je maar wilt. De plugin hernoemt of wijzigt bestanden niet letterlijk in de kern, noch voegt het herschrijfregels toe. Het onderschept eenvoudig pagina verzoeken en werkt op elke WordPress-website. Bij het gebruik van deze plugin is de map wp-admin en de pagina wp-login.php ontoegankelijk, daarom is het handig om de URL als bladwijzer toe te voegen of te onthouden. Bij het deactiveren van de plugin keert je website terug naar de oude staat en is die weer te bereiken via www.jouwdomeinnaam.nl/wp-admin.

Tip 4. Inlogpogingen limiteren

Cerber WordPress Security

Het wijzigen van de aanmeldings-URL is een mooie stap in de juiste richting om het aantal inlogpogingen te verminderen. Een ander vrij eenvoudig toe te passen trucje is het limiteren van het aantal inlogpogingen. Net als dat er een plugin is voor het wijzigen van de aanmeldings-URL, is er ook een plugin ontwikkeld om het aantal inlogpogingen te limiteren. De gratis Cerber Limit Login Attemps plugin is een goede manier om vrij eenvoudig de belangrijkste zaken in te regelen, zoals de tijdsduur, het aantal foute inlogpogingen, de lock-out periode en het white- en blacklisten van IP-adressen.

Tip 5. HTTPS – SSL-certificaat

Een SSL-certificaat is de beveiligingsnorm voor webwinkels en websites. In principe staat een SSL-certificaat aan de basis voor het beveiligen van een website of webshop. Er zijn een tal van verschillende SSL-certificaten te krijgen. Hoe uitgebreider het certificaat hoe betrouwbaarder je overkomt. Kies voor een SSL-certificaat, dan kies je voor alle voordelen die met het certificaat meekomen, bijvoorbeeld: 

✔ Vertrouwen
✔ Betere vindbaarheid
✔ Beveiligde verbinding

Geheel zorgeloos een SSL-certificaat afnemen? Kies voor Skyberate. Plan een belafspraak in en laat je adviseren over de juiste keuze. Daarnaast verzorgen wij de installatie van het certificaat en de verlenging ervan. 

Tip 6. Updates

Het is van groot belang jouw WordPress website up-to-date te houden om zo beveiligingslekken te voorkomen. Volg onderstaande stappen om te controleren of jouw WordPress website up-to-date is.

1. Log in op het dashboard van je WordPress site.

WordPress login

2. Ga met je muis op het kopje Dashboard staan in het menu aan de linkerkant en klik op Updates.

Updates

3. Hier kun je de WordPress installatie updaten, maar ook jouw plugins en thema’s bijwerken.

WordPress thema en plugins bijwerken

Updaten modules

Wanneer je jouw WordPress installatie update, zodat deze de laatste versie draait, is het van belang dat je ook jouw WordPress modules update. Als je verouderde versies van plugins draait brengt dit beveiligingsrisico’s met zich mee en hier kunnen hackers van profiteren om binnen te dringen in jouw WordPress installatie. Onder het kopje Plugins in het menu aan de linkerkant, kun je zien welke plugins je op dit moment geïnstalleerd hebt. Als van de desbetreffende plugin een nieuwere versie bestaat, dan wordt dat onder de plugin weergegeven en kan je deze handmatig bijwerken.

Tip 7. Andere username als admin

Doordat de standaard username in WordPress ‘admin’ is, worden de meeste Brute-Force Attacks op deze username gedaan. Deze username kan je veranderen op deze manier:

1. Log in op het dashboard van je WordPress site (domeinnaam.nl/wp-admin).

WordPress login

2. Klik op Gebruikers in het menu aan de linkerkant.

wordpress dashboard

3. Je maakt een nieuw account aan door middel van de knop Nieuwe toevoegen.

Nieuwe gebruiker toevoegen

4. Vul jouw gegevens in met een gewenst gebruikersnaam en klik op Nieuwe gebruiker toevoegen.

Rol beheerder

Let op: zorg dat de rol op Beheerder staat

5. Log uit en log opnieuw in met de nieuwe gebruiker.

6. Ga opnieuw naar Gebruikers in het menu aan de linkerkant.

Gebruiker verwijderen

7. Plaats je muis op de gebruiker admin en klik vervolgens op Verwijderen.

8. Hier kies je voor de optie: Alle berichten koppelen aan: *(hier kies je jouw nieuwe gebruiker)* en klik vervolgens op Verwijdering bevestigen.

alle berichten koppelen aan

Tip 8. Controleer jouw PC op virussen

Het is van belang dat je de bovenstaande stappen doorvoert voor een veilige WordPress blog. Ook raden wij aan om jouw pc eens in de week te scannen op virussen, het kan namelijk zijn dat je per ongeluk, zonder dat je het door hebt, schadelijke software mee installeert op het moment dat je iets download of installeert. Door jouw pc wekelijks te scannen verklein je de kans hierop aanzienlijk en het houdt jouw wachtwoorden en gebruikersnamen veilig.

Tip 9. Gebruik de juiste map rechten

Wanneer je WordPress installeert zal de installatie een aantal mappen aanmaken met bestanden die van belang zijn voor de werking van jouw site. Op deze mappen structuur zit een rechtensysteem verbonden, dit rechtensysteem is onderverdeeld in Read Recht, Write Recht & Execute Recht. Het is zo dat de rechten van mappen op het nummer 755 moet staan & de bestanden moeten het rechten nummer 644 hebben. Wanneer je het op deze manier instelt, kan niemand zomaar bestanden aanpassen waar ze geen rechten voor hebben.

Contact

Mocht je nog vragen hebben naar aanleiding van deze handleiding, neem dan contact met ons op. Dit kan via een live chat, mail naar info@skyberate.nl of bel ons op 0316-712000.

in WordPress
Was dit artikel behulpzaam?