datalekken

03 feb Je WordPress website beveiligen doe je zo!

Afgelopen week is er een nieuwe ‘security release’ geplaatst namens WordPress. Alle WordPress websites die
draaImac Mockup WPUpdateien op een lagere versie dan 4.7.2 worden kwetsbaar voor hacks gesteld en deze dienen zo snel mogelijk bijgewerkt te worden naar de recente update. Bij WordPress is het essentieel om je website goed te onderhouden en zo veilig mogelijk in de lucht te hebben. Soms komt het echter toch voor dat je website gehackt word. Bepaalde bots spelen hierin een grote rol echter zijn er gelukkig ook vele veiligheidsmaatregelen beschikbaar om dit te voorkomen.Maar wat maakt jouw WordPress website nou zo gevoelig voor hackers? Dit kan aan een aantal zaken liggen. WordPress is een van de populairste Content Management Systemen om websites mee te bouwen, bij Bubblefish werken wij er veel mee en de mogelijkheden zijn enorm. WordPress is gevoelig voor het gebruik van verouderde templates en plugins. WordPress bied talloze plugins aan die je gemakkelijk op je website kunt installeren. Helaas zijn ook deze niet altijd te vertrouwen. Hoe kun je nou zo veel mogelijk voorkomen dat jouw mooie WordPress website niet gehackt wordt? Ik geef je wat tips uit de praktijk die wij zelf ook toepassen.
Sterke wachtwoordenLastpass
Een sterk wachtwoord is altijd van levensbelang. Wachtwoorden zoals password123 worden te makkelijk opgespoord door online bots waardoor het hacken van je website wel heel eenvoudig wordt. Vrijwel de enige manier om dit te doen is het invullen van sterke(re) wachtwoorden. Des te minder makkelijk je ze zelf kunt onthouden, des te beter! Denk aan wachtwoorden als h$sf8Efs#f2H – Afwisselende hoofdletters, tekens en cijfers. Het is op deze manier niet makkelijk om te raden; niet voor bots maar ook niet voor mensen. Door tools als Lastpass te gebruiken kun je gemakkelijk (en veilig) je wachtwoorden opslaan.

Maak regelmatig backups van je website
Bij Bubblefish verzorgen wij de dagelijkse backups van je website zodat als het nodig is je site snel weer teruggezet kan worden als er zich calamiteiten hebben voorgedaan. Backups zijn kopieën (incremental) van alle bestanden en de database. Mochten er wijzigingen uitgevoerd zijn aan een website waar je niet tevreden mee bent, dan kun je de vorige versie terugzetten. Als je niet regelmatig een backup van je website maakt dan heb je echt een groot probleem. Het verschilt per hosting partij hoe je een backup kunt instellen. Geen idee hoe? Zoek het op via Google of vraag het na bij je webhosting partij. Er zijn ook plugins om in WordPress backups te maken, los van de backups op je server. Bij Bubblefish hebben wij het zo ingesteld dat er een 2-way daily backup wordt gemaakt op twee verschillende locaties in Nederland. Zo minimaliseren we de risico’s voor onszelf en voor onze klanten.

WordPress updates, thema en plugins
Naast zwakke wachtwoorden zijn oude en niet up-to-date plugins een grote risicofactor, je kan wachten op problemen. Indien er updates beschikbaar zijn voor WordPress of de plugins, is het van groot belang deze zo snel mogelijk bij te updaten. Controleer regelmatig wanneer een plugin voor het laatst geupdate is en of er inmiddels updates beschikbaar zijn. Daarnaast loop je het minste risico met WordPress plugins door alleen het noodzakelijke te installeren. Als je 20+ plugins regelmatig moet updaten ben je er erg veel tijd aan kwijt. En heb je al deze plugins echt nodig? Want het maakt je website ook langzaam, sta daar ook bij stil. Daarnaast is het belangrijk te kiezen voor populaire plugins, in plaats van exotische WordPress plugins met maar een paar downloads, die moet je vermijden. Er zijn zoveel plugins die passen bij je wensen en deze worden vaker bijgewerkt dan anderen. Daarnaast is ook erg belangrijk om niet actieve plugins te verwijderen uit je WordPress installatie.

Kies de juiste hosting partij
WordPress kan je installeren bij welke hostingpartij dan ook maar het is verstandig om vooraf te kijken of ze in WordPress hosting zijn gespecialiseerd. Dat betekent dat hun webservers geoptimaliseerd zijn voor WordPress, en vaak een betere beveiligings protocol hebben. Een goedkope hosting partij is niet altijd de beste oplossing, dus denk hier goed over na en lees recensies van andere klanten voordat je met een hostingpartij een contract afsluit en je website daar parkeert. Wij hebben uitstekende ervaringen met Antagonist.

Gebruik geen ‘admin’ als gebruikersnaam.
Admin is de standaard gebruikersnaam van WordPress waar online bots naar zoeken bij het opsporen van WordPress websites. Je krijgt dan de URL: /wp-admin. Het is daarom belangrijk deze standaard naamgeving te vermijden en een andere creatieve URL te bedenken. Vermijd bij voorkeur ook namen als: ‘test’, ‘demo’ en ‘administrator’. Een mooie plugin is bijvoorbeeld Verander wp-login.php

Security WordPress plugins
Security WordPress plugins zijn gebruiksvriendelijk en bieden zeker meerwaarde voor je website. Er zijn er talloze waarvan Sucuri Security en Wordfence de meest populaire zijn.

Beide WordPress plugins geven meldingen indien er updates beschikbaar zijn, als een Wordfencegebruiker inlogt – of geprobeerd heeft in te loggen. Ook handig: als er kritische problemen zijn met je website ontvang je daar ook een melding over. Deze meldingen kan je eenvoudig beheren en kan je indien nodig uitschakelen. Daarnaast hebben beide plugins onder andere malware scans waarmee je regelmatig je website kan scannen. Met Wordfence kan je detecteren met welke gebruikersnaam die online bots proberen in te loggen, wat hun IP adres is en uit welk land ze komen. Deze IPs kun je vervolgens weer blokkeren.
Blijf alert
WordPress is een krachtig CMS echter let goed op de beveiliging en update regelmatige je plugins, WordPress zelf en indien je dit gebruikt je WordPress Premium Theme. Hopelijk kan je met bovenstaande tips jouw WordPress naar een veiliger niveau brengen. Mocht je vragen of tips hebben laat het dan gerust weten.