11 x WordPress Beveiliging Tips + Stappenplan

In onze eerdere blog “12x Waarom WordPress De Beste Keuze Is Voor Jouw Website” hebben we het onderwerp beveiliging al eens kort besproken. In deze blog gaan we dieper in op het beveiligen van je WordPress website. We behandelen de belangrijkste veiligheidsmaatregelen die je zelf kunt nemen en eindigen met een concreet stappenplan voor het beveiligen van jouw website tegen hackers. Ook voor de minder ervaren WordPress gebruikers zijn deze stappen goed te volgen.

Hoe veilig is WordPress?

WordPress is het meest gebruikte CMS (content management systeem) ter wereld. Het wordt vandaag de dag gebruikt door meer dan 23% van alle websites. WordPress is open source, wat inhoudt dat iedereen de code mag inzien, gebruiken en verspreiden. Het gevolg hiervan is dat duizenden mensen bijdragen om het CMS steeds beter en veiliger te maken.

Helaas zijn WordPress websites, dankzij de enorme populariteit, vaak het doelwit van hackers. Er zijn verschillende redenen waarom hackers proberen in te breken op jouw website:

1. Het stelen van informatie;
2. Het plaatsen van advertenties;
3. Het plaatsen van links;
4. Het breken van je website;
5. Het verspreiden van documenten.

Je kan je nooit 100% beschermen tegen hackers. Ook de grootste bedrijven worden regelmatig aangevallen en zijn soms slachtoffer van hackers. Gelukkig zijn er maatregelen die jij of jouw webbouwer kunnen nemen om jouw website te beveiligen en daarmee hackers het zo moeilijk mogelijk te maken.

1. Verander je gebruikersnaam

De gebruikersnaam “admin” wordt standaard aangemaakt als beheerder op je WordPress website. Veel website eigenaren veranderen deze gebruikersnaam niet. Dit weten hackers ook en daarom zullen zij bij een inlogpoging als eerste deze gebruikersnaam proberen. Wanneer je de gebruikersnaam “admin” gebruikt, geef je dus al de helft van jouw inloggegevens weg.

Verander daarom de gebruikersnaam en kies een naam die helemaal losstaat van jouw website. Gebruik geen woorden die in je domeinnaam of bedrijfsnaam voorkomen en ook niet je eigen naam. Wees vooral zo creatief mogelijk en voeg cijfers, tekens en hoofdletters toe.

2. Gebruik een sterk wachtwoord

Zorg ervoor dat je een sterk wachtwoord gebruikt. Wanneer je bent ingelogd en bij “gebruikers” jouw wachtwoord wijzigt, geeft WordPress zelf aan of het gekozen wachtwoord sterk genoeg is. Maak ook hier gebruik van cijfers, tekens en hoofdletters.

3. Verander je login URL

Als je wilt inloggen op je WordPress website dan ga je naar www.jouwdomein.nl/wp-admin. Dit is de standaard login URL van WordPress. Een hacker zal dus ook proberen om deze via deze URL in te loggen op jouw website.

Door deze URL te veranderen in een andere URL maak je het hackers nog moeilijker om jouw website binnen te komen. Maak de nieuwe URL vooral zo moeilijk en onvoorspelbaar mogelijk. Gebruik wederom geen woorden die voorkomen in je domeinnaam of bedrijfsnaam en vermijd woorden als wordpress, wp, login en inlog.

In het stappenplan onderaan deze blog lees je hoe je deze URL aanpast.

4. Let op nieuwe gebruikers

In WordPress heb je bij Instellingen > Algemeen > Lidmaatschap de optie om aan te vinken dat iedereen kan registreren op jouw website. Wanneer het niet nodig is dat bezoekers zich registreren op jouw website kan je deze optie het beste niet aanvinken. Controleer of deze optie staat aangevinkt op jouw website.

Controleer daarnaast de Standaard Rol van nieuwe gebruikers en zorg dat deze op Abonnee staat. Zo voorkom je dat nieuwe gebruikers als beheerder wordt aangemerkt.

5. Beperk inlogpogingen

Door gebruik te maken van een lockdown-functie beperk je het aantal inlogpogingen. Je zorgt ervoor dat een gebruiker maar een bepaald aantal keer kan proberen een gebruikersnaam en wachtwoord in te voeren. Wanneer een gebruiker meerdere keren achter elkaar probeert in te loggen zonder succes, wordt het IP adres van deze gebruiker (tijdelijk) geblokkeerd. 

Je kan de plugin iThemes Security gebruiken om deze functie toe te voegen aan jouw website. Dit wordt behandeld in het stappenplan onderaan deze blog.

6. Kies een veilige hostingprovider

De meeste websites maken gebruik van gedeelde hosting. Dit maakt het hosten van een website betaalbaar. Helaas brengt dit ook risico’s met zich mee. Hackers kunnen zo namelijk via een andere website die op dezelfde server wordt gehost proberen om ook jouw website binnen te komen. 

Om dit te voorkomen maken hostingproviders gebruik van veiligheidsmaatregelen. Een goede hostingprovider is jouw eerste en misschien wel belangrijkste stap naar een veilige website. Bij de meeste bekende providers in Nederland worden goede maatregelen genomen om jouw website veilig te houden. Kies dus niet voor een onbekende aanbieder, maar doe goed onderzoek voordat je een abonnement afsluit.

Je kan er ook voor kiezen om je website via ons te laten hosten. Dan ben je in ieder geval verzekerd van snelle, veilige en betrouwbare hosting. Wij maken gebruik van de servers van één van de grootste aanbieders in Nederland. Daarnaast draag je hiermee bij aan een betere toekomst. Deze servers staan namelijk in een datacenter dat gebruikmaakt van 100% Nederlandse windenergie.

7. Beveilig je website met een SSL certificaat

SSL beveiliging zorgt voor een beveiligde verbinding tussen jouw website en de browser van de gebruiker. Dit is van belang voor het beschermen van de gegevens van jouw bezoekers. Tegenwoordig kan je bij de meeste hostingproviders gratis een SSL certificaat aanvragen voor je website. 

Een SSL beveiligde website herken je aan het groene slotje bovenin de browser en het feit dat er https:// voor de URL staat, in plaats van http://. Wist je dat het bij wet verplicht is om je website SSL te beveiligen wanneer je op welke manier dan ook gegevens verzamelt? Deze wet is al snel overtreden. Plaats je bijvoorbeeld niet-functionele cookies op je website of maak je gebruik van een contactformulier, dan ben je al verplicht om een SSL certificaat aan te vragen.

Daarnaast geeft Google de voorkeur aan beveiligde websites en gaan zij extra maatregelen nemen tegen onbeveiligde website. Een beveiligde website komt hoger in de zoekresultaten te staan. Ook zijn er plannen om een grote rode balk te laten zien wanneer een website niet beveiligd is. Dat kan bezoekers behoorlijk afschrikken.

Vergeet niet dat je na het aanvragen de SSL nog moet installeren op je website. Dat kan je doen met behulp van een de plugin Really Simple SSL, die we behandelen in het stappenplan. 

8. Update je website regelmatig

Er wordt dagelijks gewerkt aan het verbeteren van WordPress. Er worden regelmatig nieuwe updates uitgebracht die ervoor zorgen dat problemen worden opgelost en het CMS steeds veiliger wordt en prettiger om mee te werken. Het is belangrijk dat je deze updates ook op jouw website installeert. Een verouderde versie van WordPress is namelijk makkelijker te hacken dan de nieuwste versie met de laatste technologieën. 

Naast het gebruiken van de nieuwste versie van WordPress is het belangrijk dat je ook je thema’s en plugins regelmatig controleert op nieuwe updates. Dit doe je het liefst iedere week, maar in ieder geval één keer per maand. Het kan namelijk ook gebeuren dat een WordPress website wordt gehackt via een verouderde plugin of thema. 

9. Gebruik alleen veilige plugins

Wanneer je een nieuwe plugin installeert op je website is het belangrijk dat je op een aantal punten let. Als eerste kijk je naar het aantal actieve gebruikers en de beoordeling. Je kan er meestal vanuit gaan dat een populaire plugin veiliger is dan een plugin die weinig wordt gebruikt. Uit de reacties van andere gebruikers kan je ook opmaken hoe veilig je deze plugin kan gebruiken. 

Daarnaast is het belangrijk dat je kijkt naar de laatste datum waarop de plugin een update heeft gehad. Als de plugin al een half jaar of langer geen updates heeft gehad, dan kan je beter op zoek gaan naar een alternatief. Een goed bijgehouden plugin is namelijk veel veiliger voor je website.

10. Maak regelmatig een back-up

Voor de veiligheid van je website is het van belang dat je regelmatig een back-up maakt. De meeste hostingproviders maken automatisch meerdere keren per dag een back-up van je website, maar het is verstandig om ook regelmatig zelf een back-up te maken. Dat kan je bijvoorbeeld doen op de dag dat je jouw plugins en thema’s bijwerkt.

Een back-up maken van je website kan je op verschillende manier doen. Bijvoorbeeld via de FTP of Direct Admin, maar ook met behulp van een plugin.

11. Gebruik een security plugin

Om het beveiligen van je website makkelijk te maken voor de minder technische WordPress gebruikers, kan je gebruikmaken van een security plugin. Wij gebruiken daarvoor de plugin iThemes Security. Dit is één van de beste security plugins op dit moment. De plugin neemt automatisch veiligheidsmaatregelen, zoals het forceren van een sterk wachtwoord, het beperken van de inlogpogingen en het verbergen van belangrijke bestanden.

Let op! Als je deze plugin gebruikt en je voert zelf meerdere malen het verkeerde wachtwoord in, dan kan je eigen IP adres geblokkeerd worden. Voer je wachtwoord dus zorgvuldig in en als het na 4 pogingen nog niet lukt, wacht dan minimaal 5 minuten voordat je het nog een keer probeert.

Ook staat deze plugin in verbinding met Network Brute Force Protection, waardoor IP adressen die bekend staan als onveilig automatisch worden geblokkeerd. Hier moet je je wel even voor aanmelden met je e-mailadres. Daarnaast kan je met behulp van deze plugin de inlog URL aanpassen. Deze stappen komen allemaal aan bod in het stappenplan.

Stappenplan

Stap 1

Maak een nieuwe gebruiker aan. Geef deze gebruiker een sterke gebruikersnaam en wachtwoord (zie onderdeel 1 en 2 hierboven) en zorg dat deze de rol van beheerder krijgt. Log opnieuw in op je WordPress website met deze nieuwe gebruiker en verwijder de standaard “admin” gebruiker.

Stap 2

Controleer bij Instellingen > Algemeen > Lidmaatschap of de optie “Iedereen kan registreren op deze website” staat uitgevinkt en of de Standaard Rol op Abonnee staat (zie onderdeel 4 hierboven). 

Stap 3

Vraag een SSL certificaat aan bij jouw hostingprovider. Bij de meeste hostingproviders kan je deze gemakkelijk gratis aanvragen (zie onderdeel 7 hierboven).

Stap 4

Installeer en activeer de plugin Really Simple SSL en volg de stappen in de meldingen die de plugin geeft bovenin het scherm. Let op dat de plugin ervoor zorgt dat je twee keer opnieuw moet inloggen voordat de SSL volledig geïnstalleerd is op je website.

Stap 5

Installeer en activeer de plugin iThemes Security en klik in het menu aan de linkerkant op Beveiliging. Je krijgt nu eerst een beveiligingscontrole te zien. Klik op de blauwe knop Secure Site. Als het goed is zie je nu twee blokken met gele uitroeptekens en daaronder alleen blokken met groene vinkjes.

Als eerste klik je op de blauwe knop Redirect HTTP Requests To HTTPS. Vervolgens vul je in het blok daaronder jouw e-mailadres in en klik je op de blauwe knop Activeer Netwerk Brute Kracht Beveiliging. Als het goed is hebben alle blokken nu een groen vinkje.

Stap 6

Ga in de instellingen van de plugin iThemes Security naar het tabje Geavanceerde instellingen. Klik vervolgens bij Verberg Backend op Configureer Instellingen en vink het vakje “Activeer de verberg backend functie” aan. Bij Login Slug voer je nu de nieuwe login URL in voor jouw website (zie onderdeel 3 hierboven) en vervolgens op de blauwe knop Instellingen Opslaan.

Zorg dat je deze login URL goed onthoudt of schrijf hem ergens op, want als je de URL vergeet kun je niet meer inloggen op je WordPress website en zal je via de FTP eerst de plugin iThemes Security moeten verwijderen voordat je weer kan inloggen.

Gefeliciteerd! Je hebt alle veiligheidsmaatregelen genomen. Je website is nu extra beveiligd tegen hackers.

Heb je na het lezen van deze blog nog vragen over het beveiligen van jouw WordPress website? Laat het ons weten!

Deel Deze Post

Share on facebook
Share on twitter
Share on linkedin

Meer..

Blijf Op De Hoogte

Gratis Checklist

Download de website checklist

Benieuwd hoe jouw website ervoor staat en welke belangrijke punten echt niet mogen missen? Download dan nu onze gratis website checklist inclusief praktische tips.

Blijf Op De Hoogte

Schrijf je in voor onze nieuwsbrief en blijf op de hoogte van de laatste ontwikkelingen en leuke acties.