Geschatte leestijd: 16 minuten
Elke website-eigenaar moet het belang begrijpen van beveiliging van WordPress. Google plaatst wekelijks ongeveer 20.000 websites op een blacklist vanwege malware en ongeveer 50.000 vanwege phishing.
Als je serieus bent over het beschermen van je website, moet je de best practices voor WordPress-beveiliging kennen. Deze handleiding biedt de beste WordPress-beveiligingstips om je website te beschermen tegen hackers en malware.
Hoewel de kern van WordPress zeer veilig is en regelmatig wordt gecontroleerd door honderden ontwikkelaars, zijn er toch manieren om de beveiliging van jouw WordPress-website te verbeteren.
Bij WPuptodate geloven we dat beveiliging niet alleen gaat over het elimineren van risico’s, maar ook over het verminderen van risico’s. Als eigenaar van een website kun je veel doen om de beveiliging van WordPress te verbeteren, zelfs als je geen technische kennis hebt.
We hebben een aantal uitvoerbare stappen samengesteld die je kunt nemen om de beveiliging van jouw WordPress-website te verbeteren. Om het je gemakkelijk te maken, hebben we een inhoudsopgave gemaakt waarmee je eenvoudig door onze ultieme WordPress-beveiligingshandleiding kunt navigeren.
Inhoudsopgave
Basis WordPress beveiliging
- Waarom is websitebeveiliging belangrijk?
- WordPress up-to-date houden
- Sterke wachtwoorden en gebruikersrollen
- De rol van WordPress Hosting
WordPress beveiliging in makkelijke stappen (geen code)
- Installeer een automatisch WordPress back-up systeem
- Beste WordPress beveiligingsplugin
- Firewall voor webapplicaties inschakelen (WAF)
WordPress beveiliging voor DIY gebruikers
- Verander de standaard “admin” gebruikersnaam
- Schakel File Editing uit
- Schakel PHP-bestandsuitvoering uit in bepaalde WordPress-mappen
- Limit Login Attempts
- Wijzig de WordPress database prefix
- Beveilig de WordPress admin en login pagina
- Schakel directory indexering en -browsing uit
- Schakel XML-RPC uit in WordPress
- Automatisch inactieve gebruikers afmelden in WordPress
- Een gehackte WordPress website repareren
Klaar? Laten we beginnen.
Basis WordPress beveiliging
Waarom is websitebeveiliging belangrijk?
Wanneer jouw WordPress-website is gehackt, kan dit ernstige schade toebrengen aan zowel jouw bedrijfsinkomsten als reputatie. Hackers hebben de mogelijkheid om gebruikersinformatie en wachtwoorden te stelen, schadelijke software te installeren en zelfs malware te verspreiden onder jouw gebruikers.
In het ergste geval plaatsen hackers ransomware op jouw website, waardoor je gedwongen wordt om geld te betalen om weer toegang te krijgen tot jouw website.
In maart 2016 meldde Google dat meer dan 50 miljoen websitegebruikers zijn gewaarschuwd voor een website die ze bezoeken, mogelijk malware bevatten of informatie stelen.
Bovendien zet Google elke week ongeveer 20.000 websites op de blacklist voor malware en ongeveer 50.000 voor phishing.
Als jouw website een business is, moet je extra aandacht besteden aan de beveiliging van jouw WordPress website.
Vergelijkbaar met hoe het de verantwoordelijkheid van de bedrijfseigenaars is om hun fysieke winkel te beschermen, als een online bedrijfseigenaar is het jouw verantwoordelijkheid om jouw bedrijfswebsite te beschermen.
[Terug naar boven ↑]
WordPress up-to-date houden
WordPress is een open source-software die regelmatig wordt onderhouden en bijgewerkt. Standaard installeert WordPress automatisch kleine updates. Voor belangrijke releases moet je de update handmatig starten.
WordPress wordt ook geleverd met duizenden plugins en thema’s die je op uw website kunt installeren. Deze plugins en thema’s worden onderhouden door externe ontwikkelaars die regelmatig ook updates publiceren.
Deze WordPress updates zijn cruciaal voor de veiligheid en stabiliteit van jouw WordPress website. Je moet ervoor zorgen dat jouw WordPress core, plugins en thema up-to-date zijn.
In dit artikel leg ik precies uit hoe jij WordPress kan controleren op beveiligingsupdates.
[Terug naar boven ↑]
Sterke wachtwoorden en gebruikersrollen
De meest voorkomende hackpogingen van WordPress gebruiken gestolen wachtwoorden. Je kunt dat moeilijk maken door sterkere wachtwoorden te gebruiken die uniek zijn voor jouw website. Niet alleen voor het Admin-gebied van WordPress, maar ook voor FTP-accounts, database, WordPress hostingaccount en jouw professionele e-mailadres.
De belangrijkste reden waarom beginners het gebruik van sterke wachtwoorden niet leuk vinden, is omdat ze moeilijk te onthouden zijn. Het goede nieuws is dat je wachtwoorden niet meer hoeft te onthouden. Je kunt een wachtwoord manager gebruiken.
Een andere manier om het risico te verkleinen is om niemand toegang tot jouw WordPress admin account te geven, tenzij je absoluut moet. Als je een groot team of gastauteurs hebt, zorg er dan voor dat je de gebruikersrollen en -mogelijkheden in WordPress begrijpt voordatjeu nieuwe gebruikers en auteurs toevoegt aan jouw WordPress site.
[Terug naar boven ↑]
De rol van WordPress Hosting
Jouw WordPress hostingprovider speelt de belangrijkste rol in de beveiliging van jouw WordPress website. Een goede shared hosting provider zoals BlueHost of Siteground neemt de extra maatregelen om hun servers te beschermen tegen veel voorkomende bedreigingen.
Bij shared hosting deel je echter de server capaciteiten met veel andere klanten. Dit opent het risico van cross-site verontreiniging waarbij een hacker een aangrenzende site kan gebruiken om jouw website aan te vallen.
Het gebruik van een beheerde WordPress hostingservice biedt een veiliger platform voor jouw website. Managed WordPress hostingbedrijven bieden automatische back-ups, automatische WordPress updates en geavanceerdere beveiligingsconfiguraties om jouw website te beschermen
We raden Siteground aan als onze favoriete WordPress hostingprovider. Ze zijn ook één van de meest populaire provider.
[Terug naar boven ↑]
WordPress beveiliging in makkelijke stappen (geen code)
We weten dat het verbeteren van WordPress beveiliging een angstaanjagende gedachte kan zijn voor beginners. Vooral als je geen techneut bent. Raad eens, je bent niet de enige.
We hebben honderden WordPress gebruikers geholpen hun WordPress beveiliging te verbeteren.
We laten je zien hoe jij jouw WordPress beveiliging kunt verbeteren met slechts een paar klikken (geen code vereist).
Als je een muis kan bewegen en klikken, gaat jou dit lukken!
Installeer een automatisch WordPress backup systeem
Backups zijn jouw eerste verdediging tegen elke aanval met WordPress. Vergeet niet dat niets 100% veilig is. Als overheidswebsites kunnen worden gehackt, dan kan ook die van jou gehackt worden.
Met backups kan je snel jouw WordPress site herstellen voor het geval er iets ergs zou gebeuren.
Er zijn veel gratis en betaalde WordPress backup-plugins die je kunt gebruiken. Het belangrijkste dat je moet weten als het gaat om backups, is dat je regelmatig backups van de volledige site naar een externe locatie (niet uw hostingaccount) moet opslaan.
We raden aan het op te slaan op een cloudservice zoals Amazon, Dropbox of privé cloud zoals Stash.
Op basis van hoe vaak jij jouw website bijwerkt, is de ideale instelling mogelijk eenmaal per dag of realtime backups.
Gelukkig kan dit eenvoudig worden gedaan met behulp van plugins zoals VaultPress of BackupBuddy. Ze zijn zowel betrouwbaar als vooral gebruiksvriendelijk (codering is niet nodig).
Daarnaast is het ook mogelijk om gratis een backup te maken met de BackWPup plugin. Lees hier meer over in onze uitgebreide tutorial.
[Terug naar boven ↑]
Beste WordPress beveiligingsplugin
Na backups is het volgende dat we moeten doen, een auditing- en controlesysteem opzetten dat alles bijhoudt wat er op jouw website gebeurt.
Dit omvat controle van de bestandsintegriteit, mislukte inlogpogingen, scannen van malware, enz.
Gelukkig kan dit alles worden verzorgd door de beste gratis WordPress beveiligingsplugin, Sucuri.
Na activering moet je naar het Sucuri-menu gaan in je WordPress admin backend.
Het eerste dat u moet doen, is een gratis API-key genereren. Dit maakt controlelogging, integriteitscontrole, e-mailwaarschuwingen en andere belangrijke functies mogelijk.
Het volgende dat je moet doen, is op het tabblad Hardening klikken in het Sucuri-menu. Doorloop elke optie en klik op de knop “Harden”.
Met deze opties kan je de belangrijkste gebieden vergrendelen die hackers vaak gebruiken bij hun aanvallen. De enige hardeningoptie die een betaalde upgrade is, is de Web Application Firewall die we in de volgende stap zullen uitleggen, dus sla deze voor nu over.
We hebben later in dit artikel ook veel van deze opties voor “Hardening” behandeld voor degenen die het willen doen zonder een plugin te gebruiken of voor degenen die extra stappen nodig hebben, zoals “Wijziging database prefix” of “De beheerders-gebruikersnaam wijzigen”.
Na het hardening gedeelte zijn de meeste standaardinstellingen van deze plugin goed en hoeven deze niet te worden gewijzigd. Het enige dat we aanbevelen aan te passen zijn de Email Alerts.
De standaard waarschuwingsinstellingen kunnen van jouw Postvak IN een rommel maken. We raden je aan meldingen te ontvangen voor belangrijke acties zoals wijzigingen in plugins, nieuwe gebruikersregistratie, enz. Je kunt de waarschuwingen configureren door naar Sucuri Settings »Alerts te gaan.
Deze WordPress beveiligingsplugin is zeer krachtig, dus blader door alle tabbladen en instellingen om alles te zien wat het doet, zoals Malware scannen, Auditlogboeken, Mislukte inlogpogingen, enz.
[Terug naar boven ↑]
Firewall voor webapplicaties inschakelen (WAF)
De eenvoudigste manier om jouw website te beschermen en zelfvertrouwen te hebben over jouw WordPress beveiliging is door een webapplicatie-firewall (WAF) te gebruiken. De firewall blokkeert al het kwaadaardige verkeer voordat deze jouw website bereikt.
Het beste deel van de firewall van Sucuri is dat deze ook wordt geleverd met een malwareopruiming en verwijdering van de blacklist. Kortom, als je met hun firewall gehackt zou worden, garanderen ze dat ze je website zullen repareren (ongeacht hoeveel pagina’s je hebt).
Dit is een behoorlijk sterke garantie omdat het repareren van gehackte websites duur is. Beveiligingsexperts rekenen normaal gesproken € 200 per uur. Terwijl je de hele Sucuri-beveiligingsstack voor $ 199 per jaar kunt krijgen.
Sucuri is niet de enige firewallprovider die er is. De andere populaire concurrent is Cloudflare.
[Terug naar boven ↑]
WordPress beveiliging voor DIY gebruikers
Als je alles doet wat we tot nu toe hebben genoemd, dan ben je al goed op weg.
Maar zoals altijd is er meer dat je kunt doen om jouw WordPress beveiliging te verbeteren.
Voor sommige van deze stappen is mogelijk programmeer kennis vereist.
Verander de standaard “admin” gebruikersnaam
Vroeger was de standaard gebruikersnaam van WordPress admin “admin”. Aangezien gebruikersnamen de helft van de inloggegevens zijn, maakte dit het voor hackers gemakkelijker om brute-force-aanvallen uit te voeren.
Gelukkig heeft WordPress sindsdien dit veranderd en moet je nu een aangepaste gebruikersnaam kiezen bij het installeren van WordPress.
Echter, enkele 1-klik WordPress installers, zetten nog steeds de standaard admin gebruikersnaam op “admin”. Als je merkt dat dit het geval is, is het waarschijnlijk een goed idee om van webhosting te veranderen.
Omdat WordPress je niet toestaat gebruikersnamen standaard te wijzigen, zijn er drie methoden die je kunt gebruiken om de gebruikersnaam te wijzigen.
- Maak een nieuwe beheerders gebruiker en verwijder de oude gebruiker
- Gebruik de plugin Username Changer
- Update de gebruikersnaam via phpMyAdmin
Opmerking: we hebben het over de gebruikersnaam “admin”, niet de beheerdersrol.
[Terug naar boven ↑]
Schakel File Editing uit
WordPress wordt geleverd met een ingebouwde codebewerker waarmee je jouw thema- en pluginbestanden rechtstreeks vanuit jouw WordPress admin backend kunt bewerken. In de verkeerde handen kan deze functie een beveiligingsrisico zijn en daarom raden we aan het uit te schakelen.
Je kan dit eenvoudig doen door de volgende code toe te voegen aan uw wp-config.php-bestand.
| 1 2 | // Disallow file editdefine( 'DISALLOW_FILE_EDIT', true ); |
Als alternatief kan je dit doen met 1 klik met behulp van de hardening functie in de gratis Sucuri-plugin die we hierboven hebben genoemd.
[Terug naar boven ↑]
Schakel PHP-bestandsuitvoering uit in bepaalde WordPress-mappen
Een andere manier om jouw WordPress-beveiliging te verbeteren, is door PHP-bestandsuitvoering uit te schakelen in mappen waar dit niet nodig is, zoals /wp-content/uploads/.
Je kan dit doen door een teksteditor zoals Notepad te openen en deze code te plakken:
| 1 2 3 | <Files *.php>deny from all</Files> |
Vervolgens moet je dit bestand opslaan als .htaccess en uploaden naar /wp-content/uploads/ mappen op je website met behulp van een FTP-client.
Als alternatief kan je dit doen met 1 klik met behulp van de hardening functie in de gratis Sucuri-plugin die we hierboven hebben genoemd.
[Terug naar boven ↑]
Limit Login Attempts
Standaard kunnen gebruikers zich zo vaak als ze willen in proberen te loggen. Hierdoor blijft uw WordPress-site kwetsbaar voor brute force-aanvallen. Hackers proberen wachtwoorden te kraken door in te loggen met verschillende combinaties.
Dit kan eenvoudig worden opgelost door de mislukte inlogpogingen die een gebruiker kan maken te beperken. Als je de firewall van de webapplicatie gebruikt die eerder is genoemd, wordt dit automatisch afgehandeld.
Als je echter niet over de firewall beschikt, ga je verder met de onderstaande stappen.
Eerst moet je de plugin Login LockDown installeren en activeren.
Ga bij activering naar Instellingen » Login LockDown pagina om de plugin in te stellen.
[Terug naar boven ↑]
Wijzig de WordPress database prefix
WordPress gebruikt standaard wp_ als prefix voor alle tabellen in jouw WordPress-database. Als jouw WordPress site de standaard prefix gebruikt, maakt dit het voor hackers gemakkelijker om te raden wat jouw tabelnaam is. Dit is de reden waarom we aanbevelen dit te veranderen.
Opmerking: dit kan jouw website breken als dit niet correct wordt uitgevoerd. Ga alleen verder als u vertrouwd bent met uw codeervaardigheden.
[Terug naar boven ↑]
Beveilig de WordPress admin en login pagina
Normaal gesproken kunnen hackers zonder enige beperking jouw wp-admin map en inlogpagina opvragen. Hiermee kunnen hackers hun hacktrucs uitproberen of DDoS-aanvallen uitvoeren.
Je kan extra wachtwoordbeveiliging aan de serverzijde toevoegen die deze verzoeken effectief blokkeert.
[Terug naar boven ↑]
Schakel directory indexering en -browsing uit
Directory browsing kan worden gebruikt door hackers om erachter te komen of je bestanden met bekende kwetsbaarheden hebt, zodat zij van deze bestanden gebruik kunnen maken om toegang te krijgen.
Directory browsing kan ook door anderen worden gebruikt om naar jouw bestanden te kijken, afbeeldingen te kopiëren, jouw mappenstructuur en andere informatie te achterhalen. Dit is de reden waarom het ten zeerste wordt aanbevolen om directory indexering en -browsing uit te schakelen.
Je moet verbinding maken met jouw website met behulp van FTP of de bestandsbeheerder van je controlepaneel. Zoek vervolgens het .htaccess-bestand in de hoofdmap van jouw website.
Hierna moet je de volgende regel toevoegen aan het einde van het .htaccess-bestand:
Options -Indexes
Vergeet niet het .htaccess-bestand op te slaan en te uploaden naar jouw site.
[Terug naar boven ↑]
Schakel XML-RPC uit in WordPress
XML-RPC was standaard ingeschakeld in WordPress 3.5 omdat het helpt bij het verbinden van jouw WordPress website met web- en mobiele apps.
Vanwege zijn krachtige aard kan XML-RPC de brute-force aanvallen aanzienlijk versterken.
Als een hacker bijvoorbeeld 500 verschillende wachtwoorden op jouw website wilde proberen, moesten ze traditioneel 500 afzonderlijke inlogpogingen doen die door de plugin voor inlogvergrendeling zullen worden geblokkeerd.
Maar met XML-RPC kan een hacker de system.multicall functie gebruiken om duizenden wachtwoorden te proberen met bijvoorbeeld 20 of 50 verzoeken.
Dit is de reden dat wij aanraden XML-RPC uit te schakelen wanneer je deze niet gebruikt.
Als je de eerder genoemde webapplicatie firewall gebruikt, kan dit door de firewall worden geregeld.
[Terug naar boven ↑]
Automatisch inactieve gebruikers afmelden in WordPress
Ingelogde gebruikers kunnen soms van het scherm weglopen en dit vormt een beveiligingsrisico. Iemand kan zijn sessie kapen, wachtwoorden wijzigen of wijzigingen aanbrengen in zijn account.
Dit is de reden waarom veel banken en financiële sites automatisch een inactieve gebruiker uitloggen. Je kan ook vergelijkbare functionaliteit op jouw WordPress site implementeren.
Je moet de plugin Idle User Logout installeren en activeren. Ga na de activering naar de pagina Instellingen » Idle User Logout om de plugin te configureren.
Stel eenvoudig de tijdsduur in en verwijder het vinkje uit het selectievakje naast ‘Uitschakelen in wp admin’ voor een betere beveiliging. Vergeet niet op de knop Wijzigingen opslaan te klikken om jouw instellingen op te slaan.
[Terug naar boven ↑]
Een gehackte WordPress website repareren
Veel WordPress gebruikers realiseren zich het belang van backups en websitebeveiliging pas als hun website is gehackt.
Het opruimen van een WordPress website kan erg moeilijk en tijdrovend zijn. Ons eerste advies zou zijn om een professional ervoor te laten zorgen.
Hackers installeren achterdeurtjes op getroffen sites en als deze achterdeuren niet goed zijn opgelost, wordt jouw website waarschijnlijk opnieuw gehackt.
Als een professioneel beveiligingsbedrijf zoals Sucuri jouw website repareert, zorg je ervoor dat jouw site weer veilig kan worden gebruikt. Het beschermt je ook tegen toekomstige aanvallen.
[Terug naar boven ↑]
Dat is alles, we hopen dat dit artikel je heeft geholpen om de beste best practices van WordPress beveiliging te leren kennen en om de beste WordPress beveiligingsplugins voor jouw website te ontdekken.
Heb je nog vragen over dit artikel, laat hieronder een reactie achter en we zullen je vraag zo snel mogelijk beantwoorden.
Vond je dit artikel waardevol? Deel het op social media zodat wij meer mensen kunnen helpen met het beveiligen van hun WordPress website.
