9 tips om je WordPress website te beveiligen

WordPress is het meest gebruikte contentmanagementsysteem. Volgens W3Techs gebruikt maar liefst 35,6 procent van alle websites – gemeten op 24 januari 2020 en van alle websites waarvan ze contentmanagementsysteem konden meten – maakt gebruik van WordPress. Joomla staat met een kleine 2,6 procent op de tweede plek. Dat er dusdanig veel verschil tussen de nummer één en twee zit toont wederom de superioriteit van WordPress aan.

Helaas maakt de populariteit van het contentmanagementsysteem het niet alleen aantrekkelijk voor gebruikers, maar ook voor hackers. Er zijn namelijk veel hackers die WordPress-websites proberen te hacken om vertrouwelijke data te stelen. Het is daarom essentieel om je WordPress-website goed te beveiligen om de kans om gehackt te worden te minimaliseren. In deze handleiding geven wij verschillende tips over hoe jij je WordPress-website goed kan beschermen tegen indringers.

Let op: maak altijd een back-up voordat je wijzigingen doorvoert aan je website, zo voorkom je dat je website niet meer bereikbaar is op het moment dat er iets mis gaat. Een back-up maken? Volg onze handleiding Back-up creëren via cPanel of WordPress back-up maken in Blogvault.

9 tips om je WordPress website te beveiligen

Tip 1. Veilige WordPress hosting

Als we spreken over de beveiliging van een website, speelt er op de achtergrond veel meer dan het vergrendelen van alleen je website, hoewel dit natuurlijk wel een grote rol speelt. De beveiliging van een website begint op serverniveau – en daar is je WordPress-host verantwoordelijk voor. Bij Skyberate staan we voor performance, veiligheid en support. Bij ons mag je ervan uitgaan dat we de veiligheid van onze klanten hun websites erg serieus nemen.

Hexabot richt zich op WordPress-hosts

Onze servers maken gebruik van de allerbeste technieken om indringers buiten de deur te houden, al voordat ze überhaupt bij jouw website in de buurt kunnen komen. Denk bijvoorbeeld aan BitNinja Web Application Firewall afgekort WAF die je website beschermd tegen onbekende dreigingen. De WAF-module analyseert webverkeer en reageert direct bij verdachte signalen. Of Patchman die je website scant op verouderde software, mogelijke beveiligingsproblemen en malware. Patchman helpt met signaleren, voorkomen en oplossen.

Tip 2. Gebruik van de nieuwste PHP-versie

PHP speelt een belangrijke rol in de werking van een WordPress-website. Het gebruik van de juiste PHP-versie is bij WordPress daarom extra belangrijk. Elke major release van PHP wordt meestal ondersteund tot ongeveer drie jaar na de release. In de tussentijd worden bug- en securityfixes opgelost om de versies veilig en toegankelijk te houden. Websites die gebruik maken van PHP 7.1 of lager hebben geen ondersteuning meer en worden dus blootgesteld aan kwaadwillende – simpelweg omdat deze niet meer wordt bijgewerkt.

Volgens de officiële WordPress Stats-pagina gebruikt maar liefst 47,7% van de WordPress-gebruikers op het moment PHP 7.0 of lager. Dat is erg zorgwekkend.

Tip 3. Wijzig de WordPress login URL “wp-admin”

Kwaadwillende zoals hackers gebruiken spiders en bots om het web te ‘crawlen’. Zij gaan bijvoorbeeld op zoek naar websites die www.domeinnaam.nl/wp-admin als URL gebruiken. Als ze deze vinden zullen ze proberen om deze te hacken, en je wilt natuurlijk voorkomen dat zoiets jou overkomt. Door de URL te wijzigen verklein je de kans dat je een doelwit bent. Het is een vrij makkelijk te implementeren trucje om de beveiliging van je website te verbeteren.

Wijzig je WordPress login URL met een plug-in

WPS Hide Login

De meest gebruikte plug-in voor het wijzigen van een WordPress login URL is WPS Hide Login. WPS Hide Login heeft meer dan 500.000+ actieve installaties. Het is een zeer lichte plug-in waarmee je de URL van de inlogpagina eenvoudig en veilig kunt wijzigen in alles wat je maar wilt. De plug-in hernoemt of wijzigt bestanden niet letterlijk in de kern, noch voegt het herschrijfregels toe. Het onderschept eenvoudig pagina verzoeken en werkt op elke WordPress-website. Bij het gebruik van deze plug-in is de map wp-admin en de pagina wp-login.php ontoegankelijk, daarom is het handig om de URL als bladwijzer toe te voegen of te onthouden. Bij het deactiveren van de plug-in keert je website terug naar de oude staat en is die weer te bereiken via www.jouwdomeinnaam.nl/wp-admin.

Tip 4. Inlogpogingen limiteren

Cerber WordPress Security

Het wijzigen van de aanmeldings-URL is een mooie stap in de juiste richting om het aantal inlogpogingen te verminderen. Een ander vrij eenvoudig toe te passen trucje is het limiteren van het aantal inlogpogingen. Net als dat er een plug-in is voor het wijzigen van de aanmeldings-URL, is er ook een plug-in ontwikkeld om het aantal inlogpogingen te limiteren. De gratis Cerber Limit Login Attemps plug-in is een goede manier om vrij eenvoudig de belangrijkste zaken in te regelen, zoals de tijdsduur, het aantal foute inlogpogingen, de lock-out periode en het white- en blacklisten van IP-adressen.

Tip 5. HTTPS – SSL-certificaat

Een SSL-certificaat is de beveiligingsnorm voor webwinkels en websites. In principe staat een SSL-certificaat aan de basis voor het beveiligen van een website of webshop. Er zijn een tal van verschillende SSL-certificaten te krijgen. Hoe uitgebreider het certificaat hoe betrouwbaarder je overkomt. Kies voor een SSL-certificaat, dan kies je voor alle voordelen die met het certificaat meekomen, bijvoorbeeld: 

✔ Vertrouwen
✔ Betere vindbaarheid
✔ Beveiligde verbinding

Geheel zorgeloos een SSL-certificaat afnemen? Kies voor Skyberate. Plan een belafspraak in en laat je adviseren over de juiste keuze. Daarnaast verzorgen wij de installatie van het certificaat en de verlenging ervan. 

Tip 6. Updates

Het is van groot belang jouw WordPress website up-to-date te houden om zo beveiligingslekken te voorkomen. Volg onderstaande stappen om te controleren of jouw WordPress website up-to-date is.

1. Log in op het dashboard van je WordPress site.

WordPress login

2. Ga met je muis op het kopje Dashboard staan in het menu aan de linkerkant en klik op Updates.

Updates

3. Hier kun je de WordPress installatie updaten, maar ook jouw plug-ins en thema’s bijwerken.

WordPress thema en plugins bijwerken

Updaten modules

Wanneer je jouw WordPress installatie update, zodat deze de laatste versie draait, is het van belang dat je ook jouw WordPress modules update. Als je verouderde versies van plug-ins draait brengt dit beveiligingsrisico’s met zich mee en hier kunnen hackers van profiteren om binnen te dringen in jouw WordPress installatie. Onder het kopje Plug-ins in het menu aan de linkerkant, kun je zien welke plug-ins je op dit moment geïnstalleerd hebt. Als van de desbetreffende plug-in een nieuwere versie bestaat, dan wordt dat onder de plug-in weergegeven en kan je deze handmatig bijwerken.

Tip 7. Andere username als admin

Doordat de standaard username in WordPress ‘admin’ is, worden de meeste Brute-Force Attacks op deze username gedaan. Deze username kan je veranderen op deze manier:

1. Log in op het dashboard van je WordPress site (domeinnaam.nl/wp-admin).