WordPress is ondertussen alom bekend als een betrouwbaar beheersysteem voor websites. De statistieken liegen er ook niet over. Anno begin 2017 wordt WordPress gebruikt door maar liefst 27,3% van alle websites wereldwijd.

Jammer genoeg maakt dit WordPress ook geliefd bij hackers. Out-of-the-box is WordPress namelijk niet heel sterk beveiligd, en veel mensen nemen niet de moeite om hun website extra te beveiligen. In dit artikel gaan we tips en plugins overlopen die je snel kan implementeren op jouw WordPress website, waardoor jouw site meteen een pak veiliger wordt.

Gebruik nooit admin of administrator als username

Waarschijnlijk is dit de makkelijkste stap die je kan nemen om je website beter te beveiligen.

Een vaak voorkomende “hacking” is een brute-force aanval. Daarbij probeert een script herhaaldelijk in te loggen, om op deze manier een paswoord te raden. De meeste scripts staan dan ook ingesteld om als gebruikersnaam “admin” of “administrator” te proberen gebruiken, gezien deze in de meeste gevallen over administrator rechten beschikken. Door deze gebruikersnamen te verwijderen, moet het script dus ook al op zoek naar de gebruikersnaam. Dit kan ervoor zorgen dat het “te moeilijk” wordt, en het script op zoek gaat naar een makkelijker slachtoffer.

Het vermijden van “admin” of “administrator” is dus een absolute basisstap in het beveiligen van je website.

Gebruik geen vaak voorkomend wachtwoord

Veel webbeheerders lijken nog steeds niet in te zien dat een zwak wachtwoord ernstige gevolgen kan hebben.

Wachtwoorden zijn een vitale vorm van online bescherming, maar al te vaak zien we dat mensen inspiratieloos zijn en voor iedere website hetzelfde wachtwoord gebruiken.

Een goed alternatief hiervoor is het gebruik van software services zoals 1Pass of LastPass. Met deze software kan je inloggen met 1 wachtwoord, waarna je veilige toegang hebt tot al je andere wachtwoorden of gegevens.

Een andere tip is het maken van een wachtzin in plaats van een wachtwoord. Je stelt eigelijk een zin op die je zelf goed kan onthouden, en je neemt van ieder woord de eerste letter over, inclusief nummers, hoofdletters en uitroeptekens. Een voorbeeld hiervan: “Ik las een blogpost op de website van Webkampioen op 14 januari 2017!”. Het wachtwoord zou dan worden: “IlebodwvWo14j2017!”. Dit kan al tellen als sterk wachtwoord 🙂

Verberg de login pagina

De standaard inlogpagina voor WordPress is /wp-login.php of /wp-admin. Dit is natuurlijk ook geweten door de hackers die je website proberen binnen te dringen. Deze tip beveiligt je tegen de brute-force aanvallen. Een script of bot die je login pagina niet kan vinden, kan dus ook niet beginnen met het paswoord te raden.

Een makkelijke manier om deze tip te implementeren is het gebruik van de plugin WPS Hide Login. De tagname zegt ook meteen waar de plugin om draait: Change wp-login.php to anything you want.

Zorg dat je website altijd up-to-date is

Deze tip spreekt voor zich. Iedere update van WordPress of plugins brengt veiligheidsupdate’s mee. Deze update’s dichten gekende veiligheidslekken, waardoor inbrekers niet meer langs deze manier binnen raken.

Dat je een website up-to-date moet houden is een makkelijk statement om te maken, maar voor complexe website’s realiseren we hoe moeilijk dit soms kan zijn. Ook als je meerdere website’s onderhoudt is dit geen makkelijke taak. Daarom gebruiken wij Main WP: een gratis open source beheersysteem dat geschikt is voor meerdere WordPress websites up-to-date te houden. In één oogopslag zie je welke websites updates nodig hebben, en kan je deze ook meteen uitvoeren.

Vermijd onveilige plugins en thema’s

Over het algemeen kan je stellen dat de plugins in de wordpress.org directory veilig te gebruiken zijn. Deze worden door WordPress zelf getest en gecontroleerd. Natuurlijk kan er altijd een slechte plugin door de mazen van het net glippen. Dit wordt in de meeste gevallen echter snel gecounterd door de reviews van huidige gebruikers. Kijk dus zeker de reviews even na voor je een nieuwe plugin installeert.

Gebruik plugins voor extra beveiliging

Er bestaan specifieke plugins voor de beveiliging van je WordPress website. Deze plugins kunnen je bijvoorbeeld beschermen tegen brute force aanvallen, of scannen inkomend verkeer en meer.

Bij Webkampioen gebruiken we hiervoor de plugin WordFence Security. Met over 22 miljoen downloads is dit de meest populaire WordPress beveiliging plugin op dit moment beschikbaar.

Afsluitende gedachte

Als je zover in dit artikel bent geraakt, ben je al heel wat tips rijker voor de beveiliging van je WordPress website. Beveiliging is echter een nooit eindigend proces. Er zullen altijd nieuwe dreigingen komen. Het is dan ook jouw taak als website beheerder om je website zo goed als mogelijk te beveiligen en dit periodiek op te volgen.

Daarnaast is het ook belangrijk om je website periodiek te back-uppen. Stel dat er toch iets gebeurt, heb je dan in de meeste gevallen een recente back-up waar je op kan terugvallen.

Er zijn nog extra mogelijkheden om je website te beveiligen. Zo kan je ook je website nog beter beveiligen via het .htaccess bestand, via je webhosting, via two-step-authentication en via de file permissions. Deze tips werden niet in het artikel opgenomen omdat de implementatie hiervan technischer verloopt.