WordPress beveiligen; een uitgebreide handleiding

Veel website-eigenaren geven niet enorm veel om de beveiliging van hun (WordPress-)website. Totdat ze een keer gehackt worden. Maar, dan is het vaak te laat. Daarom is het belangrijk om je WordPress-website goed te beveiligen tegen hackers, bots en andere malware.

WordPress is het populairste CMS van dit moment, en dus ook een populaire target voor hackers en spammers. Dit betekent overigens niet dat WordPress onveilig is. Omdat zó veel mensen WordPress gebruiken, is het logisch dat er, ook vanuit de hackers-wereld, enorm veel aandacht is voor WordPress.

Daarnaast is WordPress enorm laagdrempelig; bijna iedereen kan gemakkelijk een website opzetten met WordPress. Helaas weet niet iedereen hoe je dat op de juiste manier doet. Volgens schattingen van experts is daarom zo’n 70 procent van alle WordPress-installaties kwetsbaar.

Waarom zouden ze mijn website hacken?

“Waarom zouden ze mijn website hacken? Ik heb maar een paar bezoekers per dag.”

Waarom zouden hackers jouw website hacken als je maar een paar bezoekers per dag hebt? Dit is een vraag die klanten mij vaak stellen. De meeste hackers zijn echter niet op zoek naar websites met veel verkeer. Ze gebruiken jouw website om via jouw server SPAM rond te mailen, waarbij het niets uit maakt of je website veel of weinig verkeer heeft.

Dit is een goede reden om je WordPress-website goed te beveiligen. Als er SPAM wordt verstuurd vanaf jouw server, kan het zo zijn dat (bijvoorbeeld) Google het IP-adres van je server op een “blacklist” zet. Hierdoor zullen ook jouw “normale” nieuwsbrieven en/of mailtjes bij mensen in de SPAM-box terecht komen.

De gedachte dat je website niet gehackt zal worden omdat je een kleinschalige website hebt, is dus onjuist.

Hoe kan mijn WordPress-website gehackt worden?

Om je WordPress-website goed te beveiligen moeten we eerst begrijpen waar het vaak fout gaat. Hackers hebben hier veel verschillende trucs voor. De website WP White Security kwam met deze infographic:

Aan de hand van deze cijfers wordt al vrij snel duidelijk dat hosting een belangrijke factor speelt bij het beveiligen van je WordPress-website.

• 41 procent van de hacks hadden te maken met “Hosting”;
• 29 procent van de hacks kwamen voort uit onveilige WordPress themes;
• 22 procent kwamen door het gebruik van onveilige of gedateerde plugins;
• 8 procent van de hacks werden simpelweg mogelijk gemaakt door het gebruiken van een zwak wachtwoord.

Maar liefst 41 procent van de aanvallen komen door problemen op je hosting-platform. Het is daarom ontzettend belangrijk om een goede hostingpartij te kiezen voor je WordPress-website. Goedkoop is hier vaak duurkoop, daarom kiezen wij ook altijd voor Cloud86.

Nóg belangrijker is het feit dat maar liefst 51 procent van de aanvallen veroorzaakt werden door een plugin (22%) of theme (29%). Vaak heeft het te maken met het feit dat mensen plugins en themes niet updaten. Ook kan het zijn dat je een onveilige plugin hebt gedownload van een onbetrouwbare website, of dat je Premium WordPress Themes hebt gedownload van een Torrent-website (triest, want zo duur zijn die themes niet).

En tot slot, 8 procent van de aanvallen werd veroorzaakt door het gebruiken van een zwak wachtwoord. Hackers maken hier vaak gebruik van een script dat net zo lang verschillende wachtwoorden (en gebruikersnamen) blijft proberen totdat ze het juiste wachtwoord hebben. Dit klinkt tijdrovend, maar zo’n script kan makkelijk duizenden wachtwoorden per seconde uitproberen. Deze techniek staat ook wel bekend als een “brute force”-aanval.

WordPress beveiligen: wat kan ik doen tegen hackers?

We weten nu hoe de meeste hacks tot stand komen. Maar hoe zorgen we dat dit niet op onze WordPress-website(s) gebeurt? In dit artikel zet ik een aantal handige tips op een rijtje. De meeste technieken zijn makkelijk uitvoerbaar, maar maken een wereld van verschil. Het kost je waarschijnlijk niet meer dan een uur om deze technieken op je website toe te passen.

1. Kies een goede hostingpartij

Het begint allemaal met het kiezen van een goede hostingpartij. Informeer bij je hostingpartij welke maatregelen zij nemen om te voorkomen dat je website gehackt worden (want ook hier geldt: voorkomen is beter dan genezen). Deze website wordt bijvoorbeeld gehost door Cloud86 (managed WordPress hosting). Zij zorgen ervoor dat je website 24/7 gescand wordt op eventuele lekken. Een andere partij waar ik over te spreken ben is Cloud86.

Een aantal zaken waar je op moet letten bij het kiezen van een hosting-partij:

• Worden de laatste versies van PHP en MySQL ondersteund?
• Is de server geoptimaliseerd voor WordPress-websites?
• Maakt de hosting-provider gebruik van een firewall?
• Hoe pro-actief is de hostingpartij in het voorkomen en oplossen van security issues?
• Maakt de hostingpartij automatisch en regelmatig backups van je WordPress-website?

Om meer te lezen over WordPress hosting en welke partijen betrouwbaar zijn, kun je een kijkje nemen bij onze WordPress hosting reviews.

2. Belangrijke instellingen bij het installeren van WordPress

Tijdens het installeren van WordPress kun je al een hoop doen om te voorkomen dat jouw WordPress-website kwetsbaar wordt voor hackers. Zo kies je tijdens het installeren een gebruikersnaam voor de Admin-gebruiker (de beheerder met alle rechten). Standaard is deze gebruikersnaam “admin”. Dit weten hackers ook, en maar liefst 60 procent van de WordPress-websites heeft een gebruiker die “admin” heet. Ze hebben dan je gebruikersnaam, en hoeven alleen nog maar je wachtwoord te raden! Zorg dus dat je gebruikersnaam géén “admin” is!

Ook kies je tijdens het installeren een sterk wachtwoord. Een sterk wachtwoord bevat niet alleen letters, maar ook cijfers en speciale tekens. Om een sterk wachtwoord aan te maken, raad ik je de website Strong Password Generator aan (zie afbeelding).

Naast het gebruiken van een onvoorspelbare gebruikersnaam en sterk wachtwoord, kun je tijdens de installatie van WordPress kiezen voor een “table prefix”. Dit is de “prefix” die gebruikt wordt in je MySQL-database. Standaard is dit “wp_”, maar het kan ook iets anders zijn. Als je hier iets van maakt zoals “wp123website_” ben je al een stuk minder voorspelbaar voor hackers.

Tot slot staan er in het wp-config.php-bestand nog de “keys and salts”. Deze ‘keys’ verbeteren de encryptie van informatie die worden opgeslagen. Het wordt ook lastiger om je wachtwoord te “cracken”, omdat er willekeurige dingen in worden gezet tijdens de versleuteling.

Dit gedeelte van het wp-config-bestand ziet er als volgt uit:

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');

Om hier een unieke ‘code’ van te maken, kun je de salts and keys generator van WordPress gebruiken: https://api.wordpress.org/secret-key/1.1/salt/.

3. Limit Login Attempts

Limit Login Attempts is een simpele plugin die je WordPress-website stukken veiliger maakt. Eerder legde ik al uit hoe hackers door middel van een “brute force”-aanval je wachtwoord proberen te achterhalen. Deze plugin zorgt ervoor dat je account tijdelijk geblokkeerd wordt als er meer dan drie keer een foutief wachtwoord is ingevuld. Een absolute must have, omdat het zo duizenden keren moeilijker wordt om je gebruikersnaam en/of wachtwoord te raden.

4. Installeer niet zomaar plugins en/of themes

WordPress staat bekend om het feit dat vrijwel alles mogelijk is. Dit is te danken aan de enorme community die themes en plugins bouwt. Geweldig natuurlijk, maar onthoud dat niet iedere developer even goed is. Kijk dus goed hoe vaak een plugin of theme gedownload is en of er klachten zijn. Bij plugins kun je vaak ook achterhalen wanneer deze voor het laatst geüpdatet is. Dit zegt natuurlijk niet alles, maar het helpt wel.

Kijk ook goed uit waar je je themes en plugins vandaan haalt. Als je ze van WordPress.org downloadt, kun je zien of ze een goede rating hebben en wanneer ze voor het laatst geüpdatet zijn, maar als je ze van een andere website downloadt, dan weet je dit niet.

Ook is het niet aan te raden om themes en/of plugins te downloaden via Torrent-websites. Je ziet vaak dat deze plugins en/of themes opzettelijk een lek bevatten. Als het om premium themes of plugins gaat ben je helemaal fout bezig; daar hoor je gewoon netjes voor te betalen!

5. File permissions; géén 777

Je bent wellicht bekend met “file permissions” op je server. Vaak kun je mappen en bestanden op je server bepaalde “permissions” meegeven als je bent ingelogd via FTP (of DirectAdmin).

Het beste is om hier het advies van WordPress zelf op te volgen:

• Mappen en directories: 755 of 750
• Bestanden: 644 of 640
• WP-config.php: 600

Deze codes zeggen je misschien niet heel erg veel. Informeer in dat geval bij je hostingpartij of ze dit voor je willen controleren.

6. Het .htaccess-bestand

Ook met het .htaccess-bestand (hoe vind je het htaccess-bestand?) kun je je WordPress-website beter beveiligen.

Met de volgende code kun je er bijvoorbeeld voor zorgen dat je wp-config-bestand goed beschermd wordt:

<files wp-config.php>
order allow,deny
deny from all
</files>

De onderstaande code zorgt ervoor dat alléén een bepaald IP-adres de wp-admin kan bereiken. Hiervoor moet je een apart .htaccess-bestand maken en deze uploaden naar de wp-admin-folder.

order deny,allow
allow from 123.456.7.8
deny from all

Let op: vervang het IP-adres hierboven met je eigen IP-adres.

7. Two Step Authentication

Two-step authentication wordt steeds populairder. Wanneer je hier gebruik van maakt, is het niet meer genoeg om alleen een gebruikersnaam en wachtwoord te gebruiken om in te loggen. Vaak krijg je bij deze methode een SMS met een code, waardoor je WordPress-admin net zo veilig wordt als internetbankieren.

Twee gratis oplossingen voor two-step authentication zijn:

• Google Authenticator: je krijgt een geheime sleutel via de Google Authenticator-app op je smartphone. De Google Authenticator-plugin kun je gratis downloaden.

Je vindt dit wellicht te tijdrovend (iedere keer bij het inloggen je telefoon pakken), maar het is wel een zeer effectieve manier om je WordPress-admin te beschermen!

Meer lezen over tweestaps-verificatie voor je WordPress-website? Lees ook mijn artikel: Two step authentication toevoegen aan WordPress.

8. WordPress versienummer verbergen

Met deze techniek verberg je het versienummer van je WordPress-website. Zo weten hackers minder snel welke versie van WordPress je gebruikt, en dus weten ze niet welke “zwakke plekken” jouw website zou kunnen bevatten.

Het versienummer van je WordPress-website wordt op meerdere plekken getoond. Hoe je deze verbergt lees je in ons artikel:

• WordPress versienummer verbergen »

Gebruik je gezonde verstand

Naast de hierboven genoemde technieken zijn er nog véél meer dingen die kunt doen om je WordPress-website (beter) te beveiligen. Maar nog veel belangrijker is; gebruik je gezonde verstand! Dus:

Het bovenstaande klinkt allemaal heel logisch, maar veel mensen denken hier veel te makkelijk over of vergeten hun wachtwoord regelmatig aan te passen.

Regelmatig backups maken

Als je je website goed beveiligd hebt met de hierboven genoemde tips, is de kans een stuk kleiner dat je website gehackt wordt. Maar mocht dit tóch gebeuren, wil je natuurlijk niet dat je alles kwijtraakt. Daarom is het belangrijk om regelmatig backups te maken van je WordPress-website.

Zorg dat deze backups niet alleen op je server, maar ook op je computer worden opgeslagen (en eventueel in Google Drive en/of Dropbox). Als je je backups alleen op je server opslaat, kan een hacker die backups ook verwijderen en dan ben je alsnog alles kwijt.

Meer over backups lees je hier:

• WordPress backups maken naar Dropbox
• WordPress backups maken naar Google Drive
• Backup van je WordPress-website met Installatron

Je website scannen

Je denkt er misschien niet aan, maar het kan zomaar gebeuren dat je het niet eens doorhebt als je website gehackt wordt. Veel mensen denken dat hun hele website dan stopt met werken, maar dat hoeft natuurlijk niet zo te zijn! Als een hacker jouw server wil gebruiken om SPAM te versturen, wil hij niet per definitie dat je dat doorhebt (en kan de hacker er dus baat bij hebben om je website zo veel mogelijk intact te laten).

Het kan dus handig zijn om je website te scannen op malware en andere verdachte bestanden. Veel hosting-partijen doen dit al voor je (zoals onze provider Cloud86), maar er zijn er ook een hoop die dit niet doen.

Een aantal handige plugins:

• Wordfence
• Titan anti-spam & security

Daarnaast kan het nooit kwaad om je website te laten scannen door Sucuri (gratis)f doe deze website test

Tot slot

Het beveiligen van je WordPress-website is belangrijk. Veel mensen denken hier echter pas aan als het te laat is; ze zijn dan alles kwijt en worden misschien zelfs geblokkeerd door Google vanwege de SPAM.

Mocht je website tóch gehackt worden, neem dan contact op met je hostingpartij, verander al je wachtwoorden of zet een backup terug. WordPress Lounge biedt ook de dienst WordPress Hulp op Afstand aan. Neem contact op voor de mogelijkheden.

Beoordeel dit artikel