In onze gastblog hebben vandaag Tony Messer te gast, medeoprichter van het Britse webhostingbedrijf pickaweb.co.uk. Tony richtte het bedrijf op met medeoprichter Pilar Torres Wahlberg en sindsdien leveren ze hoogwaardige hostingservices aan tienduizenden kleine tot middelgrote ondernemingen.
Gebruik jij WordPress? Als dat zo is, heb je een goede keuze gemaakt. Het is gebruiksvriendelijk en biedt heel wat geweldige functies en krachtige SEO. Het is dan ook geen verrassing dat WordPress het meest gebruikte Content Management Systeem (CMS) ter wereld is.
Maar die populariteit brengt risico's met zich mee. Net zoals alle populaire software, trekt WordPress hackers aan die jouw website op verschillende manieren proberen te misbruiken. Het laatste dat je wil, is dat je website gehackt en misbruikt wordt om malware te hosten of phishing-e-mails te verzenden.
De gevolgen voor je reputatie en de kosten om de schade te herstellen en je site opnieuw veilig te maken, kunnen bijzonder zwaar zijn. Bovendien kost het veel tijd om het vertrouwen van je klanten te herstellen. En dan hebben we het nog niet over de negatieve gevolgen voor jouw plaats in de zoekresultaten als Google van mening is dat je website een te groot risico vormt.
Maar panikeer nog niet. Je kan een WordPress-site op een eenvoudige manier beveiligen en de meeste pogingen tot hacking voorkomen met enkele eenvoudige ingrepen.
Hieronder vind je tien simpele manieren om je WordPress-site te beveiligen.
Tip 1 – Aanmelden met two-factorauthenticatie
Two-factorauthenticatie gebruiken om je aan te melden, is een van de meest eenvoudige en tegelijk doeltreffende manieren om brute force-aanvallen te voorkomen. Deze verificatiemethode biedt een extra beveiligingslaag door bij het aanmelden om bijkomende identificatie te vragen, zoals een mobiel gegenereerde code of geheime vragen.
De plug-in Google Authenticator voor WP is een uitstekend voorbeeld van een plug-in voor two-factorauthenticatie die je gemakkelijk kan installeren om de aanmelding op je website te beveiligen.
Tip 2 – Het aantal aanmeldingspogingen beperken
Het aantal aanmeldingspogingen beperken is een eenvoudige en tegelijk doeltreffende manier om vastberaden hackers en ongeautoriseerde handmatige aanmeldingspogingen tegen te houden. Het enige dat je hiervoor nodig hebt, is een vergrendelingsmechanisme op jouw WordPress-aanmeldingspagina.
Met de plug-in WP Limit Login Attempts kan je brute force-aanvallen op je aanmeldingspagina voorkomen door IP-adressen te blokkeren die het toegestane aantal mislukte aanmeldingspogingen in een bepaalde periode overschrijden.
Tip 3 – De URL voor beheerderaanmelding wijzigen
De meeste mensen laten hun WordPress-beheerderaanmelding ingesteld op de standaard-URL. Deze eindigt meestal op wp-admin of wp-login.php.
Je kan website eenvoudig beter beveiligen door deze te wijzigen in een minder voorspelbare URL, zoals /wp-login.php? of my_login.php enz.
Deze eenvoudige stap stopt de meeste automatische brute force-aanvallen die gericht zijn op de standaard-URL van de beheerpagina. De plug-in iThemes Security is een uitgebreide beveiligingsplug-in die dit mogelijk maakt.
Tip 4 – Maak je wachtwoorden veiliger
De eenvoudigste methodes zijn soms het meest doeltreffend en je wachtwoorden wijzigen biedt een goede basisbeveiliging.
Want als je een eenvoudig wachtwoord zoals abcd123 gebruikt, is het slechts een kwestie van tijd voordat iemand je website hackt. Je gebruikt best een combinatie van kleine letters, hoofdletters, speciale tekens en cijfers voor jouw wachtwoorden. Maak een wachtwoord van minstens 10 van deze tekens en je site zal meteen een stuk veiliger zijn.
Als je hulp nodig hebt om een veilig wachtwoord te maken, kan je deze wachtwoordgenerator gebruiken.
Tip 5 – Beveilig de wp-admin directory met een wachtwoord
De belangrijkste directory van je WordPress-website is de wp-admin directory. Daarom is het belangrijk dat je deze voorziet van een extra beveiligingslaag door deze te beveiligen met een wachtwoord - een om je aan te melden en een voor het beheergedeelte van WordPress. Je kan dit doen met de plug-in AskApache Password Protect.
Een beheerder heeft uiteraard vaak toegang nodig tot een bepaalde directory van wp-admin. Je kan die directories ontgrendelen om het beheer te vereenvoudigen en de rest van de directory vergrendelen.
Tip 6 – Sterke wachtwoorden voor gebruikersaccounts afdwingen
Als je blog meerdere gebruikers heeft, bijvoorbeeld leden van je blog of externe medewerkers, kan je er best voor zorgen dat ze sterke wachtwoorden gebruiken.
Met een plug-in zoals Force Strong Passwords zorgt je ervoor dat jouw beheergedeelte veilig is. Deze plug-in dwingt je gebruikers om veilige, moeilijk te kraken wachtwoorden te kiezen volgens goede wachtwoordprotocollen, zoals een combinatie van letters (kleine letters en hoofdletters), cijfers en symbolen.
Tip 7 – Overschakelen naar HTTPs (SSL/TLS)
Een man-in-the-middle-aanval (MITM) is een aanval waarbij informatie die wordt verzonden tussen twee partijen, wordt onderschept door een derde persoon die de verzonden informatie bespioneert.
De meest eenvoudige manier om dit te voorkomen, is overschakelen van onveilige HTTP naar veilige HTTPs met behulp van een SSL-certificaat. Dit vormt een versleutelde, ontoegankelijke link tussen de browser en de webserver.
Naast het voordeel van extra beveiliging, is HTTPs een factor waarmee Google rekening houdt voor zijn ranking. Behalve een betere beveiliging krijgt u dus ook een betere ranking!
Tip 8 – WordPress-bestanden actief controleren
Als WordPress-bestanden worden gemanipuleerd door een hacker, wil je dit zo snel mogelijk weten om de schade te beperken. Plug-ins zoals Acunetix WP Security en Wordfence controleren of je WordPress-bestanden gewijzigd worden en waarschuwen u.
Wordfence is zelfs een van de meest geïnstalleerde beveiligingsplug-ins in WordPress. Deze plug-in bevat een live beveiligingsscan en bewakings-, inbraakdetectie- en preventiefuncties. Als je op zoek bent naar een uitstekende beveiligingsoplossing, is deze plug-in een uitstekende oplossing.
Tip 9 – Maak regelmatig back-ups
Als je de tips in dit artikel volgt, gaat jouw site hopelijk niet gehackt worden. Mocht het nu toch voorvallen dat je gehackt wordt, wil je vooral niet opnieuw vanaf nul beginnen of proberen te achterhalen hoe je geïnfecteerde bestanden kan verwijderen en je website opnieuw veilig kunt maken.
De beste oplossing hiervoor is om regelmatig back-ups van je site te maken. Door een back-up te maken van jouw websites, kan je jouw websites indien nodig herstellen op basis van vorige, correct werkende versies. Een aantal WordPress-plug-ins kunnen je hierbij helpen, zoals Vaultpress, Backup Buddy of blogVault.
Sommige van deze plug-ins zijn betalend, maar als je rekening houdt met de kosten veroorzaakt door een gehackte website zonder back-up, is dit zeker een goede investering.
Tip 10 – Houd WordPress en zijn plug-ins up-to-date
Als hostingbedrijf hebben we gemerkt dat een van de meest voorkomende beveiligingsproblemen bij WordPress en andere CMS-systemen zoals Joomla een verouderde versie of een verouderde plug-in is.
Een van methodes die hackers het vaakst gebruiken om je WordPress-website te hacken, zijn plug-ins waarvoor geen patches of updates geïnstalleerd zijn. Veel plug-ins beschikken echter over automatische updatemogelijkheden die we u aanraden om te gebruiken.
WordPress heeft een automatische updatefunctie sinds versie 3.7. Als je niet weet of de meest recente versie gebruikt, kan je dit controleren op de officiële website van WordPress.
TIP: Download enkel plug-ins van de officiële website van WordPress. Zo ben zeker dat je geen malware naar je website downloadt.
Conclusie
Zoals je ziet, kan je heel wat eenvoudige dingen doen om te voorkomen dat je website gehackt wordt. Sommige zijn slechts basisprocedures, zoals complexe wachtwoorden gebruiken, maar er zijn ook een groot aantal plug-ins die speciaal werden ontwikkeld om je website veilig te houden.
Het zijn vaak de simpele dingen die voorkomen dat jouw website gehackt wordt!
Tony helpt zijn klanten graag om het meeste te halen uit hun online aanwezigheid. Hij is de auteur van het op Amazon met 5 sterren beoordeelde boek "The Lazy Website Syndrome", waarin hij de lezer een eenvoudig 3-stappenplan geeft om zijn bedrijf te laten groeien met behulp van online marketing. Tony woont momenteel in het zuiden van Spanje.
Pickaweb heeft een uitgebreid aanbod aan services voor kleine en middelgrote bedrijven, waaronder domeinnamen, webhosting, hosting voor resellers, virtual private servers, cloudservers, dedicated servers, SSL-certificaten en een gebruiksvriendelijke tool om websites te bouwen.
