Je WordPress website beveiligen doe je zo!

Afgelopen week is er een nieuwe ‘security release’ geplaatst namens WordPress. Alle WordPress websites die draaien op een lagere versie dan 4.7.2 worden kwetsbaar voor hacks gesteld en deze dienen zo snel mogelijk bijgewerkt te worden naar de recente update. Bij WordPress is het essentieel om je website goed te onderhouden en zo veilig mogelijk in de lucht te hebben. Soms komt het echter toch voor dat je website gehackt word. Bepaalde bots spelen hierin een grote rol echter zijn er gelukkig ook vele veiligheidsmaatregelen beschikbaar om dit te voorkomen. Maar wat maakt jouw WordPress website nou zo gevoelig voor hackers? Dit kan aan een aantal zaken liggen. WordPress is een van de populairste Content Management Systemen om websites mee te bouwen, bij Bubblefish werken wij er veel mee en de mogelijkheden zijn enorm. WordPress is gevoelig voor het gebruik van verouderde templates en plug-ins. WordPress bied talloze plug-ins aan die je gemakkelijk op je website kunt installeren. Helaas zijn ook deze niet altijd te vertrouwen. Hoe kun je nou zo veel mogelijk voorkomen dat jouw mooie WordPress website niet gehackt wordt? Ik geef je wat tips uit de praktijk die wij zelf ook toepassen.

 

Sterke wachtwoorden: Lastpass

Een sterk wachtwoord is altijd van leven

sbelang. Wachtwoorden zoals password123 worden te makkelijk opgespoord door online bots waardoor het hacken van je website wel heel eenvoudig wordt. Vrijwel de enige manier om dit te doen is het invullen van sterke(re) wachtwoorden. Des te minder makkelijk je ze zelf kunt onthouden, des te beter! Denk aan wachtwoorden als h$sf8Efs#f2H – Afwisselende hoofdletters, tekens en cijfers. Het is op deze manier niet makkelijk om te raden; niet voor bots maar ook niet voor mensen. Door tools als Lastpass te gebruiken kun je gemakkelijk (en veilig) je wachtwoorden opslaan.

Maak regelmatig back-ups van je website

Bij Bubblefish verzorgen wij de dagelijkse back-ups van je website zodat als het nodig is je site snel weer teruggezet kan worden als er zich calamiteiten hebben voorgedaan. Back-ups zijn kopieën (incremental) van alle bestanden en de database. Mochten er wijzigingen uitgevoerd zijn aan een website waar je niet tevreden mee bent, dan kun je de vorige versie terugzetten. Als je niet regelmatig een back-up van je website maakt dan heb je echt een groot probleem. Het verschilt per hosting partij hoe je een back-up kunt instellen. Geen idee hoe? Zoek het op via Google of vraag het na bij je webhosting partij. Er zijn ook plug-ins om in WordPress back-ups te maken, los van de back-ups op je server. Bij Bubblefish hebben wij het zo ingesteld dat er een 2-way daily back-up wordt gemaakt op twee verschillende locaties in Nederland. Zo minimaliseren we de risico’s voor onszelf en voor onze klanten.

WordPress updates, thema en plug-ins

Naast zwakke wachtwoorden zijn oude en niet up-to-date plug-ins een grote risicofactor, je kan wachten op problemen. Indien er updates beschikbaar zijn voor WordPress of de plug-ins, is het van groot belang deze zo snel mogelijk bij te updaten. Controleer regelmatig wanneer een plug-in voor het laatst geüpdatet is en of er inmiddels updates beschikbaar 

zijn. Daarnaast loop je het minste risico met WordPress plug-ins door alleen het noodzakelijke te installeren. Als je 20+ plug-ins regelmatig moet updaten ben je er erg veel tijd aan kwijt. En heb je al deze plug-ins echt nodig? Want het maakt je website ook langzaam, sta daar ook bij stil. Daarnaast is het belangrijk te kiezen voor populaire plug-ins, in plaats van exotische WordPress plug-ins met maar een paar downloads, die moet je vermijden. Er zijn zoveel plug-ins die passen bij je wensen en deze worden vaker bijgewerkt dan anderen. Daarnaast is ook erg belangrijk om niet actieve plug-ins te verwijderen uit je WordPress installatie.

Kies de juiste hosting partij

WordPress kan je installeren bij welke hostingpartij dan ook maar het is verstandig om vooraf te kijken of ze in WordPress hosting zijn gespecialiseerd. Dat betekent dat hun webservers geoptimaliseerd zijn voor WordPress, en vaak een betere beveiligingsprotocol hebben. Een goedkope hosting partij is niet altijd de beste oplossing, dus denk hier goed over na en lees recensies van andere klanten voordat je met een hostingpartij een contract afsluit en je website daar parkeert. Wij hebben uitstekende ervaringen met Antagonist.

Gebruik geen ‘admin’ als gebruikersnaam

Admin is de standaard gebruikersnaam van WordPress waar online bots naar zoeken bij het opsporen van WordPress websites. Je krijgt dan de URL: /wp-admin. Het is daarom belangrijk deze standaard naamgeving te vermijden en een andere creatieve URL te bedenken. Vermijd bij voorkeur ook namen als: ‘test’, ‘demo’ en ‘administrator’. Een mooie plug-in is bijvoorbeeld: Verander wp-login.php

Security WordPress plug-ins

Security WordPress plug-ins zijn gebruiksvriendelijk en bieden zeker meerwaarde voor je website. Er zijn er talloze waarvan Sucuri Security en Wordfence de meest populaire zijn.

Beide WordPress plug-ins geven meldingen indien er updates beschikbaar zijn, als een Wordfence gebruiker inlogt – of geprobeerd heeft in te loggen. Ook handig: als er kritische problemen zijn met je website ontvang je daar ook een melding over. Deze meldingen kan je eenvoudig beheren en kan je indien nodig uitschakelen. Daarnaast hebben beide plug-ins onder andere malware scans waarmee je regelmatig je website kan scannen. Met Wordfence kan je detecteren met welke gebruikersnaam die online bots proberen in te loggen, wat hun IP adres is en uit welk land ze komen. Deze IPs kun je vervolgens weer blokkeren.

Blijf alert

WordPress is een krachtig CMS echter let goed op de beveiliging en update regelmatige je plug-ins, WordPress zelf en indien je dit gebruikt je WordPress Premium Theme. Hopelijk kan je met bovenstaande tips jouw WordPress naar een veiliger niveau brengen. Mocht je vragen of tips hebben laat het dan gerust weten.