WordPress is een populair Content Management Systeem met wereldwijd een actieve community ontwikkelaars. Dit zorgt ervoor dat WordPress continue wordt verbeterd op het gebied van functionaliteiten, veiligheid en gebruiksgemak. Naast het feit dat er zeer regelmatig nieuwe functionaliteiten bijkomen groeit ook het aantal hackers die graag websites kraken om vervolgens te misbruiken. Dit zorgt voor problemen, de server wordt overbelast waardoor de website traag wordt of zelfs tijdelijk uit de lucht is.
Hoe beveilig ik mijn WordPress website tegen hackers?
Heb je zelf een website gemaakt met WordPress? Hieronder een aantal stappen die je kunt nemen om je WordPress website goed te beveiligen tegen hackers
Zorg voor een goede gebruikersnaam en wachtwoord
Het allereest wat je doet wanneer je WordPress installeert is het invoeren van een goede gebruikersnaam en een sterk wachtwoord. Je kunt automatisch een wachtwoord laten genereren of verzin er zelf één die je makkelijk onthoudt. Zorg dat er hoofdletters in voorkomen, gebruik leestekens en getallen.
Verwijder gebruikersnaam admin
Wanneer je tijdens het installeren van WordPress nog geen nieuwe gebruikersnaam hebt verzonnen kun je dit altijd nog achteraf doen. Maak met je huidige admin account een nieuwe gebruiker aan, log hiermee in en verwijder het account met de gebruikersnaam admin. Een hackbot gaat hier altijd naar op zoek, mits deze ook op je inlog pagina kan komen.
Zorg voor een custom inlog url
Net als een standaard WordPress admin gebruiker heeft WordPress ook een standaard login url, zoals /wp-admin en /wp-login.php. Deze is natuurlijk snel gevonden door een hackbot, maar we kunnen ook zorgen dat deze je inlogpagina niet vindt. Simpelweg door het te veranderen. Er zijn meerdere beveiligings plugins die deze url kunnen veranderen, maar de meest simpele plugin hiervoor is rename wp-login.php. Het is een vrij eenvoudige handeling om de brute force attacks tegen te gaan.
Limiteer het aantal login pogingen
Mocht je de login url al veranderd hebben en wordt er door wat voor reden dan ook toch geprobeerd in te loggen dan kun je het aantal login pogingen nog beperken met de plugin limit login attempts. Een eenvoudig te configureren plugin die het aantal login pogingen beperkt.
Zorg voor een captcha op je login pagina
Na de bovenstaande handelingen is de kans groot dat je de brute force attacks uitsluit. Hier nog een kleine handeling om het allemaal nog beter dicht te timmeren. Installeer de plugin si captcha en zorg in de instellingen dat er een captcha veld is op je inlogpagina. Installeer deze wanneer je dit echt nodig vindt of wanneer één van de twee bovenstaande opties niet werkt.
Zorg dat je bestandsrechten juist staan ingesteld
Voorkom misbruik van je bestanden en zorg dat je bestandsrechten van je WordPress mappen en bestanden goed staan. Vaak worden er codes verstopt in je bestandenden die nodig zijn om spam berichten te kunnen versturen. Dit kun je doen via ftp (filezilla) of via je controle paneel (bijvoobeeld cpanel). De volgende bestandsrechten worden aangeraden:
BESTAND / MAP | RECHTEN |
---|---|
wp-admin | 755 |
wp-admin | 755 |
wp-includes | 755 |
.htaccess | 644 |
wp-config.php | 644 |
index.php | 644 |
Verander je database prefix
In je databasetabellen vind je weer standaard WordPress instellingen terug. Iedere wordpress tabel begint met wp_ (prefix). Dit kun je al bij het installeren veranderen in je wp-config bestand, $table_prefix = ‘doei_’;. Je kunt ook de plugin change db prefix installeren. Hiermee kun je eenvoudig de prefix van de database tabellen veranderen wanneer je WordPress al is geïnstalleerd. Verwijder de plugin als de prefix is veranderd.
Installeer een beveiligings plugin voor je website
Alsof je al niet genoeg plugins hebt, maar het kan nuttig zijn een plugin als Wordfence of Ithemes Security te installeren. Dit zijn populaire beveiligings plugins om je WordPress website te beveiligen. Veel van bovenstaande opties vind je ook in de configuratie van deze plugins. Zo kun je scans maken van je bestanden, het aantal login pogingen beperken, de database prefix veranderen en wordt je automatisch op de hoogte gebracht van updates en bestandswijzigingen.
Zorg dat je plugins up to date blijven
Een belangrijk issue is toch wel het tijdig updaten van je plugins. Best lastig als je veel plugins hebt. Maar met tijdig updaten beperk je wel de veiligheidslekken in plugins. Met bovenstaande beveiligings plugins heb je de mogelijkheid om update notificaties te ontvangen in je mailbox. Of check regelmatig je website, ook niet onbelangrijk. Je WordPress website onderhouden heeft dus altijd zin.
Minimaliseer het aantal plugins
Een vrij logische tip (zie boven), maar toch ook best een lastige. Wanneer je je website wilt voorzien van extra funties komen er vaak externe plugins bij kijken. Om dit te voorkomen kun je ook een template aanschaffen bij bijvoorbeeld themeforest.net waarbij veel functionaliteiten in templates zijn ingebouwd. Dit scheelt misschien weer een aantal plugins. Maar ook kwalitatief goede plugins die ook regelmatig worden ge-update hebben invloed op de veiligheid van je website. Bij codecanyon.net kun je veel betaalde plugins vinden waar vaak goede support wordt verleend.
Verwijder niet actieve plugins
Plugins uitgeprobeerd en niet tevreden? Weg ermee! Zorg dat je overbodige plugins altijd direct verwijderd. Zo voorkom je dat je verouderde of (nog meer) niet ge-update plugins in je plugin map hebt.
Zorg dat je WordPress installatie up to date blijft
Naast het regelmatig updaten van je plugins is het belangrijk dat je WordPress installatie op een zo nieuw mogelijke versie draait. In de meeste WordPress upgrades zitten ook veiligheids updates.
Verander je “salt en keys” in je wp-config.php bestand
Met de key generator kun je eenvoudig geheime sleutels creëren. Deze plaats je in je wp-congfig.php bestand. Dit zijn bepaalde waarden die je website beveiligen tegen cookies en hacks.
Verwijder overbodige bestanden van je server
Tijdens het installeren worden veel mappen en bestanden op je server geplaatst. In je hoofd directory zie je een aantal mappen staan met daaronder een lijst bestanden. De volgende bestanden kun je verwijderen: readme.html, wp-config-sample.php en license.txt.
Verberg je versie
Het zou kunnen dat een hackbot zoekt naar een oude versie van WordPress. Er zijn verschillende manieren om deze versie te verbergen:
Verwijder in je header.php
[highlight color=”#e3f1f4″ rounded=”yes” class=”” id=””]< meta name=”generator” content=”WordPress ” />[/highlight]
Toevoegen van de code in functions.php (thema)
[highlight color=”#eaeaea” rounded=”yes” class=”” id=””](‘wp_head’, ‘wp_generator’);[/highlight]
Maak regelmatig een backup van je website
Maak regelmatig een backup van je WordPress website. Mocht er op één of andere manier toch iets gebeuren met je website dan heb je altijd je schone backup nog! Enkele nuttige plugins hiervoor zijn BackupWordpress, Updraftplus en BackupWp.
xmlrpc.php
Onlangs is het bestand van vele WordPress websites misbruikt om spam te versturen. Dit bestand werkt normaal gesproken als communicatiemiddel met externe websites of applicaties (Pingbacks). Er zijn meerdere manieren om dit bestand te beschermen:
- Verwijder het bestand als je geen gebruik maakt van pingbacks en trackbacks
- Voeg het volgende toe in je .htaccess bestand om xmlrpc.php te blokkeren:
<Files “xmlrpc.php”>
Order Allow,Deny
deny from all
</Files>
Een goede hosting provider
Al met al is een goede hosting provider ook een belangrijk onderdeel om je website te beveiligen. Het is de eerste stap die je neemt wanneer je een website maakt of een website laat maken. Check of de provider een duidelijke veiligheidsprotocol publiceert en wanneer je technische kennis beperkt is kies dan voor een managed server.
Instellingen vanuit je controle paneel
Wanneer je je website bij een provider host krijg je in de meeste gevallen inloggegevens voor een controle paneel. Dat kan een zelf gemaakte controle paneel zijn, maar vaak wordt gebruik gemaakt van externe platforms. Bekende platforms zijn Directadmin, Cpanel en Plesk. Vanuit deze controle panelen kun je de beveiliging van je website(s) tot op zekere hoogte ook instellen. Bijvoorbeeld het instellen van het aantal login pogingen, backups en het blokkeren van ip adressen.
Conclusie: besteed voldoende aandacht aan het beveiligen van je website
Men kan nooit garanderen dat je website helemaal veilig is tegen hackers. Want deze zogenaamde hackers blijven zelf ook in ontwikkeling. Maar door stappen te ondernemen verklein je wel de kans dat je website wordt misbruikt.