.

Jeffrey Schipper

Jeffrey Schipper

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

WordPress website beveiligen; onze handleiding

Ben jij een website eigenaar en is jouw WordPress website goed beveiligd? Vraag je zelf eens af wat jij doet om je website veilig te houden. Veel website eigenaren geven niet enorm veel om de beveiliging van hun WordPress website. Totdat ze een keer gehackt worden, maar dan is het vaak al te laat. Hieronder bespreken we wat je zelf zou kunnen doen om hackers, bots of andere malware tegen te gaan.

Waarom zouden ze mijn WordPress website hacken?

Jouw WordPress website beveiligen, waarom zou je dat doen? Allereerst een korte samenvatting over hoe groot WordPress (WP) eigenlijk is. WordPress is een Content Management Systeem (CMS) waarmee je een website kunt bouwen en onderhouden. WordPress is ooit begonnen als een blog-systeem, maar tegenwoordig wordt het voor veel meer doeleinden gebruikt. 

Een aantal feiten op een rij:

  1. WordPress bezit meer dan 50% van het CMS marktaandeel.
    Tegenwoordig zou dit inmiddels al 76.4 procent zijn. Dit wil zeggen dat alle websites waar een CMS achter draait, meer dan driekwart op WordPress draait.
  2. Overheden maken ook gebruik van WordPress.
    Wereldwijd draaien er talloze overheidswebsites op WordPress. Er is niets mis met de veiligheid van WordPress, zolang je het zelf maar goed aanpakt.
  3. 50.000 nieuwe websites per dag.
    Er worden dagelijks meer dan 50.000 duizend nieuwe websites opgezet met behulp van WordPress.
  4. Elke 152 dagen een nieuwe versie.
    Gemiddeld wordt er elke 152 dagen een nieuwe WordPress versie uitgerold. 
  5. Populaire plugin Akismet.
    Akismet houdt in totaal zo’n 7.500.000 spamberichten per uur tegen.
  6. WordPress is open source.
    WordPress is open source, wat inhoudt dat iedereen de code kan inzien, aanpassen en verspreiden. Daarnaast is het dus ook gratis te gebruiken.

Uit deze feiten kun je dus concluderen dat WordPress de nummer één CMS ter wereld is. En dat maakt het nou nieuwsgierig voor hackers. Het is open source, iedereen maakt er gebruikt van (ook overheden).

Maar waarom zouden hackers jouw website hacken als je maar een paar bezoekers per dag hebt? Het klinkt logisch wanneer je denkt dat hackers zich richten op overheidswebsites. 

Veel hackers zijn niet op zoek naar websites met veel verkeer. Ze gebruiken jouw website om via jouw mail server spam rond te sturen. Hierbij maakt het dus niks uit of jij 10 bezoekers per dag hebt of 1000. Elke website maakt dus kans om gehackt te worden. En dit is een goede reden om jouw website goed te beveiligen. 

Jefdesign - WordPress website beveiliging
“Voorkomen is beter dan genezen”

Hoe kan mijn WordPress-website gehackt worden?

De website WP White Security kwam met onderstaande afbeelding:

Hoe WordPress websites worden gehackt

Wat kunnen we uit deze afbeelding concluderen?

  • 41% van de hacks hebben te maken met hosting.
  • 29% van de hacks hebben te maken met WordPress thema’s
  • 22% van de hacks hebben te maken met onveilige plugins
  • 8% van de hacks hebben simpelweg te maken met het gebruik van een zwak wachtwoord.

Omdat voorkomen beter is dan genezen is het dus belangrijk dat je deze 4 onderwerpen in orde hebt. Zorg in eerste instantie voor een goede hosting. Je hebt talloze ‘goedkope’ hostingbedrijven, maar vaak zijn deze op gebied van beveiliging niet goed. 

Daarnaast komen 51% van de aanvallen voort uit een plugin (22%) of een thema (29%). Dit is dus meer dan de helft! Op het internet zijn er duizenden thema’s en plugins te vinden. Enkel zijn veel niet veilig en betrouwbaar. Ze worden gedownload van een onbetrouwbare website, of er wordt een premium WordPress thema gedownload van een Torrent-website. 

En als laatste komt 8% van de aanvallen voort uit het gebruik van een zwak wachtwoord. Hackers maken vaak gebruik van een ‘Brute Force aanval’. Hierbij worden alle mogelijke combinaties van beschikbare tekens geprobeerd. Het klinkt alsof dit tijdrovend is, maar dat is het niet. Hackers maken gebruik van scripts die duizenden wachtwoorden per seconde uitproberen. Een zwak wachtwoord is dan ook zo geraden. 

Wat kan ik doen tegen WordPress hackers?

Hierboven hebben we uitgelegd hoe de meeste hackers tot stand komen. Het begint bij een goede hosting, en daarnaast spelen de thema’s en plugins een belangrijke rol. Maar hoe zorg je er voor dat jouw WordPress website niet gehackt wordt? Er zijn een aantal technieken die je kunt gebruiken, vaak kosten deze nog geen uur van je tijd.

  1. Is jouw gebruikersnaam om in te loggen bij WordPress ‘admin’? Verander deze dan direct. Admin is heel standaard en bekend bij iedere hacker en script.
  2. Check wekelijks of zelf dagelijks voor updates. Een verouderde Plugin of Thema kan risico’s met zich meebrengen. Wij komen regelmatig websites tegen die 6 maanden niet onderhouden zijn. Het is een kleine moeite, en het kan je veel stres schelen.
  3. Download geen illegale premium thema’s of plugins. Wij snappen het, je komt een te gekke thema tegen die normaal heel duur is. Je kunt deze een stuk goedkoper krijgen, doe dit dus niet. 
  4. Plugins waar je geen gebruik van maakt, verwijder deze ook meteen. Hierdoor ontloop je dus het risico dat de plugin malware met zich meebrengt.

Dit waren een aantal tips die niet veel tijd kosten, ben jij een WordPress website eigenaar? Controleer dan even of jij dit in orde hebt. Hieronder bespreken we de uitgebreidere tips.

Kies de juiste hostingpartij voor een goede WordPress beveiliging

Informeer bij je hostingpartij welke maatregelen zij nemen om te voorkomen dat je website gehackt. Hoe vaak scannen zij jouw website op eventuele lekken? Worden de laatste versies van PHP en MySQL ondersteund?

Waar ik mij bij sommige hostingpartijen over verbaas, is dat er geen standaard backups worden gemaakt. Als klant moet je dit tegen een betaling zelf activeren. Vaak weten klanten dit ook niet en komen ze er na maanden pas achter dat er geen backup is van zijn of haar website. 

Daarnaast zou je voor een hostingpartij kunnen kiezen die gespecialiseerd is in WordPress websites. 

Instellingen bij het installeren van WordPress

Ook bij het installeren van een nieuwe WordPress website kun je al een aantal dingen uitvoeren wat de kwetsbaarheid van jouw website verlaagd. 

Gebruik tijdens de installatie niet de gebruikersnaam ‘admin’. Dit hebben we hierboven ook al vermeld. Standaard staat de gebruikersnaam op admin. Zorg dus dat je gebruikersnaam geen admin is.

Tijdens de installatie kun je ervoor kiezen een sterk wachtwoord te gebruiken. Deze bevat niet alleen letters, maar ook cijfers en speciale tekens. 

Wat veel mensen niet weten is dat je tijdens de installatie de ‘prefix’ kunt veranderen. Dit is de prefix die gebruikt wordt in je MySQL database. Standaard staat deze op “wp_”. Je kunt deze bijvoorbeeld veranderen in “wp_websitenaam”. Hierdoor ben je al een stuk minder voorspelbaar voor hackers.

WordPress installatie proces - WordPress Website beveiliging

Maak je WordPress-site veiliger met Limit Login Attempts

Hackers maken vaak gebruik van een ‘Brute Force aanval’. Hierbij worden alle mogelijke combinaties van beschikbare tekens geprobeerd. Hiervoor schrijven ze scripts die duizenden pogingen per seconde proberen. Met een plugin zoals Limit Login Attempts wordt je account geblokkeerd nadat iemand een X aantal keer heeft geprobeerd in te loggen zonder succes. 

Zodra iemand met een bestaande gebruikersnaam drie keer het verkeerde wachtwoord invult, kun je voor 15 minuten niet meer inloggen. Ook niet wanneer je vervolgens het juiste wachtwoord gebruikt. Het kan irritant zijn als je zelf het verkeerde wachtwoord gebruikt, maar het is een ideale manier om hackers buiten je website te houden. Daarnaast zorgt Limit Login Attempts ervoor dat de hacker niet kan zien dat het account geblokkeerd is. 

Verder is er de mogelijkheid om zelf veel dingen te veranderen in de instellingen. Je kunt aanpassen hoe vaak iemand mag proberen in te loggen. En daarnaast hoe lang je account wordt geblokkeerd. 

Heb jij je zelf buiten gesloten? Dit is ook erg makkelijk op te lossen. Wanneer je toegang hebt via FTP kun je simpelweg de plugin-folder een andere naam geven. Hierna kan je weer inloggen en activeer je de plugin weer.

De standaard plugin Akismet tegen spam

Akismet is een plugin die standaard op je WordPress-website staat. 

De plugin Akismet is bedoeld om spam te bestrijden. Zodra je geen spam-plugin gebruikt, zul je overspoeld worden met spam-reacties. Zijn hiervoor ook andere plugins? Ja zeker, enkel is Akismet van Automattic, het bedrijf van de oprichter van WordPress. Dat is ook de reden dat Akismet het voor elkaar heeft gekregen om standaard na elke installatie geactiveerd te staan. 

Als je een commerciële website of blog hebt gebouwd, dan moet je officieel €5 per maand betalen. Ik kan me voorstellen dat je daar geen zin in hebt, gelukkig zijn er ook gratis alternatieven, zoals Antispam Bee. Zolang er in ieder geval maar een plugin draait die alle spam tegenhoudt. 

Het gebruik van de plugin WordFence

De plugin WordFence is gespecialiseerd in het beveiligen van jouw WordPress website. WordFence biedt bescherming tegen DDoS aanvallen. Als eerste worden al je bestanden gecontroleerd, comments en posts op URL’s. Hierna kun je checken of je site is geïnfecteerd. Wanneer er iets niet in orde is krijg je hiervan een melding binnen. 

Wat erg handig is aan deze plugin, is dat er een instelling is over welke onderwerpen je een e-mail wilt ontvangen. Wordt er geprobeerd in te loggen vanuit een ‘onbekende’ locatie? Dan laat WordFence jouw dit weten. 

Is er geprobeerd in te loggen, maar dit is gelukt? Dit kun je allemaal terug zien. Zo zien wij wekelijks dat er wordt geprobeerd in te loggen met de gebruikersnaam ‘admin’. 

Tot slot blokkeert WordFence IPs die niet betrouwbaar zijn. Een plugin zoals WordFence is dus ideaal voor het beveiligen van jouw website, omdat het veel werk uit handen neemt. 

Jefdesign - plugin WordFence (WP website beveiliging)

Maak automatisch backups

Het is verstandig regelmatig backups te maken van jouw website en database. Wanneer na het toepassen van bovenstaande tips toch iets mis gaat, is het prettig dat er een recente backup is. Hierdoor kan je alles weer goed terug zetten.

Sommige hostingpartijen maken zelf al backups van jouw website, maar is hierin alles meegenomen? Er zijn talloze plugins die automatisch backups voor jou kunnen maken. 

Aanmelden met two-factorauthenticatie

Two-factorauthenticatie is een van de meest eenvoudige en tegelijk doeltreffende manieren om brute force-aanvallen te voorkomen. Alleen een gebruikersnaam en wachtwoord is namelijk niet meer voldoende om in te loggen. Er wordt gevraagd om een bijkomende identificatie, zoals een mobiel gegenereerde code of geheime vragen. 

Wanneer je hier gebruik van wilt maken raden wij de plugin Google Authenticator voor WP aan. Het is gemakkelijk te installeren en te gebruiken.

Beheeraanmelding URL wijzigen

Kom jij wel eens op je website en je vervolgens afvraagt of ze hier WordPress gebruiken? Dan is de eerste stap die jij waarschijnlijk uitvoert om te gaan naar de URL: websitenaam.nl/wp-admin of websitenaam.nl/wp-login. Als wij als bezoekers hier al van op de hoogte zijn, dan zijn hackers dit al helemaal. 

Je kunt jouw website eenvoudig beter beveiligen door deze te wijzigen in een minder voorspelbare URL.

De plugin iThemes Security (formerly Better WP Security) is een plugin die dit eenvoudig mogelijk maakt. 

Een SSL certificaat

Met de nieuwe AVG wet is dit al verplicht, toch zijn er nog veel websites die dit niet hebben. Overschakelen naar HTTPs. Dit vormt een versleutelde, ontoegankelijke link tussen de browser en de webserver. Hierdoor voorkom je een man-in-the-middle-aanval. 

Naast dat dit zorgt voor een betere beveiliging van jouw website, krijg je ook een betere ranking in Google. HTTPs is een factor waarmee Google rekening houdt voor zijn ranking.

WordPress website beveiliging (samenvatting)

Zoals je ziet kan je al de simpelste handelingen uitvoeren om je website beter te beveiligen. Daarnaast zijn er ook andere zaken die je kunt toevoegen waardoor je website nog veiliger wordt. Dit vraagt soms wel wat technische kennis of wat meer tijd. Het is ook niet perse nodig om een two-factorauthenticatie te gebruiken. Het zijn vaak de simpele dingen die voorkomen dat jouw website gehackt wordt. Je WordPress website beveiligen moet nu in ieder geval een stuk makkelijker en helderder zijn door bovenstaande tips.

Doorloop in ieder geval de simpele stappen wat binnen een uur aangepast kan worden. Wil je echter je website nog beter beveiligd hebben, dan zijn er nog genoeg extra dingen die je kunt veranderen om je website nog veiliger te maken.

  • Kies voor een betrouwbare hostingpartij
  • Zorg dat jouw website alleen via HTTPS bereikbaar is
  • Een sterk wachtwoord en geen admin als inlog
  • WordFence of een vergelijkbare plugin
  • Automatische backups ingeschakeld
  • Betrouwbare plugins en thema’s
  • Minimaal maandelijks plugins/thema’s updaten
  • Beperk het aantal login-pogingen
  • Verander je database prefix in iets anders dan “wp_”
  • Zorg dat gebruikers niet méér rechten dan nodig hebben
  • Gebruik een plugin die spam tegenhoudt

Extra

  • Schakel two-factorauthenticatie in
  • Noem je login pagina niet “wp-admin”
  • Voeg salts and keys toe in je wp-config bestand
  • Zet e-mail notificaties aan in Google Search Console
  • Pas je .htaccess bestand aan
  • Stel je file permissies correct in

Wij hopen dat je met onze tips een beter beveiligde WordPress website krijgt. We kunnen ons voorstellen dat sommige stappen te veel technische kennis vereist. Neem gerust contact met ons op, zodat wij je kunnen helpen.

Wij hebben 10 extra tips opgesteld voor het verbeteren van jouw website. Download hier onze 10 Gratis WordPress Tips.

Blog delen

Facebook
Twitter
LinkedIn
WhatsApp

Op de hoogte blijven van het laatste nieuws?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Anderen bekeken ook

Je nieuwe website kan al binnen twee weken online staan!

Win een gratis website

WINACTIE

Wij gaan 1 gratis website weggeven!

Ben jij een beginnende ondernemer?
Wil jij een onderneming gaan starten?
Werk je voor een goed doel of instelling en hebben jullie nog geen website?
Of is jouw huidige website niet meer van deze tijd?

Dan is nu je kans om een GRATIS website te winnen! Het enige wat je hoeft te doen is je naam en e-mailadres in te vullen.

Hey, waar ga je heen?

Wil je op de hoogte blijven van het laatste nieuws? Wij versturen regelmatig waardevolle content om jouw website naar een hoger niveau te tillen!

Website pakket Jefdesign

Win een gratis website!

Wij gaan 1 gratis website weggeven! Het enige wat je hoeft te doen is je naam en e-mailadres in te vullen.