SAM Online Marketing Blog Marketing kennis uitbreiden begint bij SAM
wordpress website beveiligen

WordPress website beveiligen

05 mrt 2015

WordPress website beveiligen

Je WordPress website beveiligen. Niet het allereerste waar je aan denkt wanneer je zelf je WordPress website gaat maken. Toch is het noodzakelijk om dit wel te doen. Door je site goed te beveiligen voorkom je ongenode gasten; hackers die jouw website gebruiken om bijvoorbeeld SPAM mee te versturen. Hoe je dit doet lees je in dit uitgebreide artikel over WordPress websites beveiligen.

Heb jij al een WordPress thema gekozen?

Waarom moet ik mijn WordPress website beveiligen?

Deze week geschiedde het kwaad voor één van onze klanten: zijn website is slachtoffer geworden van hackers. Zoals altijd bieden wij onze klanten aan om de volledige beveiliging te organiseren zodat de klant zorgeloos gebruik kan maken van zijn WordPress website. Een veel gehoord argument is dan: “Och, mijn site trekt zo weinig bezoekers. Die is helemaal niet interessant voor hackers.”

Hackers zijn meestal niet op zoek naar websites met miljoenen bezoekers. Zij zijn veelal op zoek naar websites die niet goed beveiligd zijn en vanwaar ze eenvoudig SPAM kunnen versturen via jouw server.

Wanneer dit gebeurt kan het zo zijn dat Google het IP-adres van jouw server op een zogenaamde “Black-list” zet waardoor je mailtjes in de SPAM box terecht komen van de ontvanger. Een wereldramp natuurlijk als je je actief bezig houdt met e-mail marketing!

WordPress beveiligen

WordPress, een ‘onveilig’ Content Management Systeem?

De reden dat je je WordPress website goed moet beveiligen is vrij simpel. WordPress is een ‘open-source’ CMS. Dit houdt in dat developers zonder enige vorm van controle WordPress thema’s en plugins kunnen ontwikkelen, waardoor WordPress één van de populairste content management systemen ter wereld is geworden. Juist omdat WordPress zo toegankelijk is en vrijwel iedereen met basiskennis van het internet op deze wijze zelf een website kan bouwen, gaat het vaak mis. Experts schatten dat zo’n 70% van de WordPress websites niet goed beveiligd is.

Waar het vaak mis gaat in de beveiliging van je WordPress website blijkt uit de volgende afbeelding van WP White security.

wordpress website beveiligen

Het eerste wat opvalt is het hoge percentage hacks wat afkomstig is uit hosting; maar liefst 41% komt door onveilige hosting! Kies daarom bewust een kwalitatieve en betrouwbare hostingpartner wanneer je je WordPress website zelf gaat beheren. Dan heb je dat gedeelte van de beveiliging al op orde.

De 8% van de hacks die komt door zwakke wachtwoorden is niet zo spannend. Het spreekt voor zich dat je je WordPress omgeving goed beveiligd door een sterk wachtwoord te gebruiken. Een handige tool om sterke wachtwoorden te genereren is strongpasswordgenerator.com.

Wat veel interessanter is in de afbeelding is de gezamenlijke 51% van themes en plugins waarbij het mis gaat. Meer dan de helft van alle hacks komt door lekken in thema’s en plugins! Vooral bij onervaren websitebouwers en/of doe-het-zelvers is dit het speerpunt van je WordPress website beveiligen.

Je WordPress website beveiligen

Nu we weten waarom je je wordpress website goed moet beveiligen en waar het vaak mis gaat kunnen we gemakkelijker actie ondernemen wat betreft de beveiliging van onze websites. Er zijn een aantal zaken die ervoor zorgen dat je website minder vatbaar wordt voor hackers, bots en andere malware.

In willekeurige volgorde de manieren om je wordpress website te beveiligen.

1. Kies een sterk wachtwoord

Behoeft weinig uitleg. Kies een beresterk wachtwoord welke je niet voor andere accounts zoals Facebook, Twitter e.d. gebruikt. Heb je moeite om zelf een wachtwoord te verzinnen, gebruik dan de eerder genoemde password generator.

2. Werk samen met een betrouwbare hostingpartij

Bij het zoeken naar een goede hostingpartner is één tip de gouden tip: “Goedkoop is vaak duurkoop”. Wie voor een dubbeltje op de eerste rij wilt zitten, moet niet raar op kijken als de hostingpartij geen goede maatregelen neemt om hackers tegen te gaan. Kies voor een gerenommeerde speler op de markt en bespaar hierin niet op de kosten!

3. Instellingen bij het installeren van WordPress

In ons artikel over WordPress handmatig installeren schreven we al dat het veiliger is om WordPress te installeren aan de hand van FTP dan WordPress automatisch installeren via bijvoorbeeld het installatieprogramma van de hostingpartij. Dit heeft onder andere te maken met de naam van je database.

Bij een automatische installatie zal er gekozen worden voor een standaard benaming van de database zoals ‘wrdp1′ of ‘wp_’. Hackers zijn hier uiteraard van op de hoogte, waardoor je site gemakkelijker te kraken valt. Door je database een unieke naam mee te geven voorkom je dat hackers de naam van je database als cadeautje meekrijgen.

Net als de standaardbenaming van de database kiest meer dan 60% van de websitebeheerders voor de standaardtoewijzing ‘Admin’ als hoofdgebruiker (de beheerder met alle rechten). Ook dit is een cadeautje die je zomaar weggeeft. Een hacker hoeft nu alleen nog maar je wachtwoord te achterhalen om binnen te komen. Kies een unieke gebruikersnaam en laat de admin account achterwege.

Tenslotte hebben we bij de instellingen ook nog te maken met het wp-config.php bestand. In dit bestand staat informatie die ervoor zorgt dat de encryptie van opgeslagen informatie wordt verbeterd. De code in het wp-config.php bestand ziet er als volgt uit:

define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);

Met behulp van de “Salts and Keys generator” van WordPress kun je gemakkelijk een unieke code creëren die er onder meer voor zorgt dat hackers minder makkelijk je wachtwoord kunnen kraken.

4. Gebruik limit login

Via WordPress.org zijn verschillende plugins te downloaden die ervoor zorgen dat je slechts een aantal keer het verkeerde wachtwoord kunt invoeren alvorens het account tijdelijk geblokkeerd wordt. Hackers maken gebruik van een “brute-force-attack” om via een script je wachtwoord te achterhalen. Dit script kan wel duizenden gebruikersnamen en wachtwoord combinaties invoeren per seconde, waardoor er een kans bestaat dat het script op een gegeven moment de juiste combinatie weet te vinden.

Door gebruik te maken van een plugin die je slechts een aantal maal het verkeerde wachtwoord in laat vullen voorkom je dat je WordPress Website slachtoffer wordt van een brute force aanval.

5. Bedenk goed wat je besluit te downloaden

WordPress heeft zijn charme gekregen dankzij het open karakter wat we eerder in dit artikel al beschreven, maar daar zit ook direct de valkuil. Duidelijk werd al dat meer dan de helft van de hacks veroorzaakt wordt door lekken in plugins en themes. Om enig risico in z’n geheel uit te sluiten kun je deze regel voor jezelf aanhouden:

Download NIETS van torrent websites of andere websites die niet legitiem zijn en/of lijken.

Vaak zitten in de themes en/of plugins (opzettelijke) lekken in de code die hackers toegang geven tot je WordPress website. Ook is het natuurlijk zo dat niet iedere developer even goed is in zijn vak. Soms bevat een script bepaalde zwakheden die de maker niet opzettelijk heeft gemaakt, maar dat dit puur uit onkunde is ontstaan. De kans dat dit bij themes of plugins van de ‘grote jongens’ het geval is is een stuk kleiner.

De officiële website van WordPress, wordpress.org, is de plek waar je wilt zijn als je enigzins betrouwbare plugins wilt downloaden. Let bij alles wat je besluit te downloaden op recensies van anderen en eventuele updates.

Updates aan plugins, themes en WordPress zelf hebben vaak te maken met beveiligingskwesties. Een theme of plugin wat met grote regelmaat geüpdatet wordt is vanzelfsprekend beter beschermd tegen aanvallen van buitenaf, al geeft regelmatig updaten natuurlijk geen 100% garantie op een optimale beveiliging van je WordPress website.

Je moet altijd in gedachten houden dat, ook op WordPress.org, er feitelijk niet in de code wordt gecontroleerd op beveiligingsmaatregelen of eventuele lekken.

6. File permissions

Als je bent ingelogd via FTP of DirectAdmin kun je vaak bepaalde mappen en bestanden ‘permissions’ meegeven. De bestandsrechten die gegeven kunnen worden zijn lezen, schrijven en uitvoeren. De code 777 staat zo’n beetje voor ‘gratis toegang voor iedereen’. Wanneer deze code is meegegeven aan een bestand of map kan iedere handige ‘user’ met het bestand doen wat hij wilt.

Gebruik voor file permissions de waarden die WordPress zelf meegeeft:

  • Mappen en directories: 755 of 750
  • Bestanden: 644 of 640
  • WP-config.php: 600

Begrijp je niet wat hierboven staat? Neem dan contact op met je hostingpartij om te controleren wat hier voor jou van toepassing is.

7. Het .htaccess-bestand

Met het .htaccess-bestand kun je je WordPress website nog beter beveiligen. Je kunt bijvoorbeeld de toegang tot het wp-config.php ontzeggen door de volgende code in het bestand te plaatsen:

< files wp-config.php >
order allow,deny
deny from all
< /files >

Je kunt er ook voor kiezen om de toegang tot de wp-admin te beperken tot slechts één IP-adres door de volgende code in het bestand te zetten:

order deny,allow
allow from 123.456.7.8
deny from all

Uiteraard vervang je 123.456.7.8 met je eigen IP-adres.

8. Twee-staps-verificatie

Wie gebruik maakt van internetbankieren en/of digitale diensten van overheidsinstanties (DigiD) is al bekend met deze ‘nieuwe’ manier van beveiligen. Met ‘two step authentication’ beveilig je je login in de WordPress omgeving niet alleen met een gebruikersnaam en wachtwoord, maar tevens krijg je een unieke code toegestuurd via SMS. Dit klinkt wat omslachtig (iedere keer dat je wilt inloggen zul je je telefoon bij de hand moeten hebben), maar je WordPress website is op deze manier op één van de betere manier beveiligd tegen ongenode gasten.

De plugin die je moet hebben vind je op WordPress.org: Google Authenticator.

9. Je WordPress versienummer verbergen

Door je WordPress versienummer te verbergen weten hackers niet precies welke versie je van WordPress gebruikt en zodoende dus ook niet goed waar de zwakke plekken zitten. Het versienummer is meestal terug te vinden op zo’n 3 á 4 plaatsen: ‘generator tag’ (< head > gedeelte), Query strings (script of CSS-bestanden die de versie weergeven, staat tevens in het < head > gedeelte), in de automatische RSS feeds van WordPress (generator-tag) en in het readme.html bestand.

Het readme.html bestand kun je het best verwijderen via FTP. Houdt er rekening mee dat bij iedere update dit bestand opnieuw op je server wordt geplaatst en je deze dus iedere keer opnieuw zal moeten verwijderen.

Om alle overige versienummers te verbergen is de gemakkelijkste oplossing om een stuk code in het functions.php bestand te plaatsen.

De code die je in het bestand moet zetten is de volgende:

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter( ‘script_loader_src’, ‘fjarrett_remove_wp_version_strings’ );
add_filter( ‘style_loader_src’, ‘fjarrett_remove_wp_version_strings’ );

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wpmudev_remove_version’);

Door deze code toe te voegen aan het functions.php bestand zullen de versienummers op alle plaatsen binnen je website verborgen worden. Check dit uiteraard wel even!

Extra tips

Als het goed is weet je nu hoe je je WordPress website het best kunt beveiligen tegen hackers, bots en overige malware. Bovenstaande manieren om je WordPress website te beveiligen zijn natuurlijk allemaal inhoudelijke tips, er zijn natuurlijk nog een aantal zaken die ervoor zorgen dat je website minder vatbaar wordt voor aanvallen van buitenaf.

Met een beetje gezond verstand begrijp je natuurlijk zelf ook wel dat:

  • je NOOIT je wachtwoord zomaar aan deze-of-gene moet geven
  • je computer ALTIJD goed beschermd moet zijn tegen virussen e.d.
  • je NOOIT moet inloggen in je WP omgeving vanaf een onbeveiligd netwerk
  • je regelmatig back-ups moet maken
  • je wachtwoorden beter niet kan mailen, maar bijvoorbeeld beter kan SMS’en
  • als alles wat hierboven staat abracadabra voor je is, je beter de hulp van een expert in kan schakelen

WordPress website laten beveiligen door een Professional?


Doe de gratis SEO Scan

Social Media

Contactgegevens

Werkzaam door heel Nederland:

2020 © SAM Online Marketing & Webdesign
Beoordeling door klanten: 4.9/5 35 beoordelingen
Gratis SEO Scan

Doe de gratis SEO Scan!