Hoe beveilig je jouw WordPress website
Goede beveiliging voor je website is belangrijk om misbruik te voorkomen en hackers buiten de deur te houden.
Dit geldt niet alleen voor druk bezochte of uitgebreide websites maar misschien nog wel meer voor de kleinere WordPress websites met minder verkeer. Hackers weten dat deze sites vaak ook minder goed beveiligd zijn en zien daar hun beste kansen liggen. Het gaat er niet om hoe druk een website bezocht wordt maar om hoe goed de site is beveiligd.
Het buiten de deur houden van hackers zal altijd een kat en muis spel blijven. Het doel is om hackers altijd een stapje voor te zijn. De meeste hacks gebeuren door het misbruiken van kwetsbare of gedateerde scripts in thema's en plugins en door het gebruik van te eenvoudige/zwakke wachtwoorden. Geef deze onderdelen dan ook wat extra aandacht om je website zo veilig mogelijk te houden.
Een aantal aanbevelingen om je website minder aantrekkelijk te maken voor hackers:
- Gebruikersnaam/Wachtwoord - Gebruik een unieke gebruikersnaam om in te loggen op je Wordpress website.
Bij de installatie van Wordpress wordt de gebruikersnaam standaard als 'admin' gesuggereerd. Hackers weten dat en weten ook dat veel beheerders dit zo laten staan. Verander de gebruikersnaam bij de installatie dan ook direct. Hoe creatiever de gebruikersnaam, des te beter het is voor de veiligheid.
Bij het wachtwoord is dit ook het geval. Stel een sterk wachtwoord in. Je kunt jouw wachtwoord controleren op bijvoorbeeld de website howsecureismypassword. Een sterk wachtwoord bestaat het liefst uit een combinatie van cijfers, letters, speciale tekens en hoofdletters.
Verstandig is ook om wachtwoorden regelmatig te wijzigen.
- Thema's en Plugins - Zorg ervoor dat thema's en plugins op de juiste manier geïnstalleerd worden.
Er worden ontzettend veel thema's en plugins gemaakt door derden. Sommige gratis, andere betaald. Download nooit betaalde thema's of plugins die gratis worden aangeboden! Vaak zijn deze al voorzien van de nodige virussen, trojans of malware. Bij voorkeur download je ze vanaf betrouwbare bronnen, bijvoorbeeld via Wordpress zelf. Alles wat bij Wordpress wordt aangeboden is ook door Wordpress gecontroleerd. Je kan er dan ook van uit gaan dat dit veilig is. Kijk bij het kiezen van een thema of plugin altijd naar het aantal keer dat het is gedownload en bekijk de beoordelingen van de gebruikers. Belangrijk is ook om te kijken wanneer de laatste update heeft plaatsgevonden. Niet elke programmeur maakt veilige scripts of houdt ze goed up-to-date.
- Security Plugins - Installeer Wordpress beveiliging plugins voor extra controle en veiligheid van jouw website.
Ook al is jouw website een minder aantrekkelijk doelwit door bovenstaande aanbevelingen, toch blijft de kans altijd aanwezig dat de site wordt gehackt.
Er zijn diverse plugins in omloop die de veiligheid van jouw website kunnen vergroten. Een voorbeeld hiervan is iThemes Security. Zelfs de gratis versie verhoogt de veiligheid aanzienlijk. Een ander veel gebruikte plugin is Wordfence Security.
1 security plugin is voldoende om je website veiliger te maken. Wanneer je meerdere security plugins tegelijk installeert kan dit voor problemen zorgen. Niet alleen kunnen ze elkaar in de weg zitten, ook kan het voor overmatig bronnengebruik zorgen wat een negatief effect heeft op de prestaties van alle websites die op de server staan.
- SSL - Door het gebruiken van een SSL verbinding garandeer je jouw website bezoekers van een beveiligde communicatie op de website via bijvoorbeeld een contactformulier. Door de beveiligde verbinding Bekijk het artikel SSL instellen op de website.
- (re)Captcha - Bij het contact via de website horen niet alleen de contactformulieren, registratieformulieren, aanmeldformulieren maar ook de 'Share this' mogelijkheden (verstuur naar vriend etc.) en de mogelijkheid om reacties te plaatsen (Comments).
Om deze formulieren en invoervelden te beveiligen maak je gebruik van een (re)Captcha.
Hiermee voorkom je dat spam wordt verstuurd vanaf jouw website of dat er reclame of andersoortige teksten worden geplaatst onder de artikelen/blogs.
De Captcha beveiliging is noodzakelijk om jouw website te beschermen tegen negatieve invloeden op reputatie lijsten (blacklists /zwarte lijsten), waar onder andere de e-mail functionaliteiten van afhankelijk zijn.
In de handleiding: Je website beschermen tegen spam gaan we hier dieper op in.
- Back-up - Ook wanneer je af en toe scans uitvoert en de website goed beveiligd is, kan deze worden gehackt. Er kan daarnaast altijd iets mis gaan bij het updaten van de website, installeren van nieuwe onderdelen of problemen op de server. Dan is het erg belangrijk dat je een actuele back-up van de website hebt.
Voor WordPress zijn er diverse back-up plugins beschikbaar die je daarbij kunnen helpen.
Let er wel op dat je de back-up niet op de server zelf bewaart. Verstandig is om een back-up op verschillende plekken op te slaan. Zet een kopie bijvoorbeeld op je eigen computer, laptop, externe schijf en 'in de cloud'.
Het is redelijk eenvoudig om handmatig een back-up te maken. In de handleiding: Een backup maken van je website lees je hier meer over.