Een WordPress-hack; daartegen wil je jouw website optimaal beschermen. Met de drie tips die we in dit artikel geven houd je jouw website veilig. Ga vandaag nog aan de slag.
Met deze drie trucs vergroot je de veiligheid van je WordPress-site. Zo maak je, na het lezen van dit artikel, een veilige update en beveilig je jouw WordPress-website met de juiste plugins.
Truc 1: Update de WordPress website
Wereldwijd gebruiken inmiddels meer dan 60 miljoen websites WordPress . Dit maakt het open source CMS-platform erg aantrekkelijk voor hackers. Die proberen op verschillende manieren binnen te komen.
Om een WordPress-hack tegen te gaan, moet je regelmatig inloggen op jouw website om te kijken of er nog nieuwe updates klaarstaan. Dit kunnen zowel nieuwe versies van het template zijn of van plugins die geïnstalleerd zijn. Zie je in de updatelijst plugins staan die je helemaal niet meer gebruikt, dan kun je deze het beste direct verwijderen.
Omdat het WordPress CMS open source wordt aangeboden, passen ontwikkelaars de software regelmatig aan. Met deze updates worden verbeterpunten doorgevoerd, foutjes verwijderd en eventuele lekken gedicht.
Naast het actueel houden van plugins en thema’s is het belangrijk de laatste WordPress-versie te gebruiken. Op die manier zijn kwetsbaarheden sneller verholpen.
Truc 2: WordPress beveiligen met plugins
Plugins kunnen voor een lek zorgen waardoor een hacker binnen kan vallen wanneer je ze niet update. Maar er bestaan ook plugins die ontwikkeld zijn om jouw WordPress-website juist te beschermen tegen mensen met kwaad in de zin.
iTheme Security
Deze plugin heeft uitgebreide beveiligingsmogelijkheden. Met iThemes Security wijzig je bijvoorbeeld veel standaardinstellingen voor jouw persoonlijke situatie. Omdat hackers uitgaan van de bekende standaard configuratie, maak je het ze lastiger om in te breken.
Jouw WordPress-website gehackt? iThemes Security helpt je dit te voorkomen. Het maakt standaarden uniek. Zo kan de gebruikersnaam beter niet ‘admin’ zijn en het wachtwoord ook niet ‘admin1234’. De plugin helpt je hier direct verandering in aan te brengen.
iThemes Security registreert daarnaast gebeurtenissen zoals mislukte inlogpogingen, 404-fouten, wijzigingen aan bestanden en je kunt malware scans laten uitvoeren. De plugin legt dit vast in logs.
Vervolgens kun je op jouw dashboard zien welke stappen je nog moet ondernemen voor een veiligere website. Een voorbeeld hiervan is dat je een restrictie geeft aan het aantal mislukte inlogpogingen die er op jouw website mogen plaatsvinden.
Ook Wordfence Security helpt een WordPress-hack voorkomen
Met de plugin Wordfence Security kun je een WordPress-site scannen op hacks.
Wordfence controleert na installatie of de site al geïnfecteerd is of niet. Het geeft je een overzicht van bestanden die mogelijk zijn aangetast, zodat je daar actie op kunt ondernemen. De plugin beveiligt jouw website en blokkeert actief verdachte zaken zoals bekende aanvallers of kwaadaardige netwerken.
Ook voor gevoelige plugins zoals de Revolution Slider biedt Wordfence oplossingen. Zo worden pogingen om PHP-documenten via onveilige plugins te downloaden direct geblokkeerd. Daarnaast zorgt de open source plugin voor loginbescherming.
Met Wordfence Security heb je een prima WordPress-firewall. Het is af te raden om de optie voor real-time scannen van bezoekers continu te gebruiken. Deze functie in Wordfence kan je website flink vertragen. Op websites die bij ons gehost worden blokkeren we deze functie.
Truc 3: Doe de deur dicht en voorkom een WordPress-hack
De beste manier om mensen buiten te houden is natuurlijk door gewoon de deur dicht te doen. Er zijn een aantal manieren waardoor ongewenste gasten niet binnen kunnen gluren.
Pas de gebruikersnaam aan
Om te beginnen is het belangrijk dat hackers niet weten wat jouw gebruikersnaam is. Admin is per definitie geen goede gebruikersnaam. Vind je het moeilijk om een geschikte gebruikersnaam te bedenken dan kun je het aanpassen in de plugin iThemes.
Maak een veilig wachtwoord
Pas ook het wachtwoord aan. Kwaadwillenden kunnen hun aanvallen namelijk beramen met Brute Force. Dit is een methode om heel snel, heel veel verschillende letter- en cijfercombinaties te proberen en zo binnen te dringen.
Wachtwoorden met bestaande woorden en logische cijfercombinaties zoals ‘12345’ lopen daarom snel gevaar. Met de Password Generator die WordPress aanbiedt creëer je ook moeilijk kraakbare wachtcodes.
Beveilig het FTP-account
Naast het wachtwoord dat je gebruikt om in de backend van jouw website te komen, moet je er ook voor zorgen dat het wachtwoord van jouw FTP-account niet te kraken is. Dit maakt het voor hackers moeilijker om toegang te krijgen tot jouw bestanden.
Zorg voor een afscherming tegen onbekende IP-adressen. Stel de FTP-verbinding alleen open voor het IP-adres van thuis of op kantoor. Hiervoor stel je een regel in via het htaccess-bestand van de administrator map in WordPress.
.htaccess toelaten van meerdere IP-adressen
order deny,allow
allow from 157.193.1.1 (dit vervang je door jouw IP-adres)
allow from 157.193.1.2 (deze vervang je door overige IP-adressen die je toelaat)
deny from allZo krijg je alleen toegang tot de inlog van WordPress met de opgegeven locaties waarvan je het IP-adres hebt vrijgegeven.
Houd de juiste rechten aan
Voor het beveiligen van de bestanden op jouw website geldt dat je het beste het advies van WordPress kunt aanhouden qua rechten van mappen en bestanden (CHMOD).
- Mappen en directories: 755 of 750
- Bestanden: 644 of 640
- WP-config.php: 600
Er bestaan verschillende CHMOD-codes waarmee je rechten per gebruiker aangeeft. Zorg er bijvoorbeeld voor dat er geen mappen of bestanden met 777-rechten op jouw server staan.
Bescherm het WordPress configuratiebestand
Zet de onderstaande code in het .htaccess-bestand. Dit zorgt ervoor dat het wp-config-bestand, oftewel het WordPress configuratiebestand, goed wordt beschermd.
order allow,deny
deny from all
Samenvatting voor optimale WordPress-beveiliging
Kort samengevat zijn er vier belangrijke zaken die je sowieso op orde moet hebben om een WordPress hack tegen te gaan:
- Installeer betrouwbare plugins en thema’s
- Houd WordPress, thema’s en plugins up-to-date
- Gebruik geen logische gebruikersnamen zoals ‘admin’ of je naam. Een gebruikersnaam mag logisch zijn voor jou, maar moet zeer moeilijk te kraken zijn voor hackers.
- Kies sterke en unieke wachtwoorden met bijvoorbeeld iThemes Security
WordPress gehackt?
Is je WordPress website toch slachtoffer geworden van hackers? Zo los je een WordPress hack op.
Heeft dit je geholpen?
Bedankt voor het delen van je mening! Wat had je wél verwacht?
Heb je nog vragen?
Vraag het onze helpdesk