Een WordPress website veilig maken

Mooi hoor die WordPress websites, maar WordPress… is dat wel veilig?

Een vraag die ik regelmatig hoor. Ik begrijp die vraag wel. WordPress is de laatste jaren erg populair geworden en is inmiddels ook het meest gebruikte CMS ter wereld. Helaas stond WordPress bekend als een ‘onveilig’ systeem. Dat is tegenwoordig niet meer zo. WordPress is een prima en veilig systeem. De grootste kwetsbaarheden heb je echter zelf in de hand.

Brute force-aanvallen op WP-sites verdrievoudigd

Verschillende bedrijven melden een flinke toename in het aantal brute force-aanvallen van botnets op WordPress-sites, waarbij reeksen logins en wachtwoorden geprobeerd worden. WordPress bevestigt de aanval en raadt gebruikers aan een sterk wachtwoord te nemen. bron: Tweakers.net

Brute Force?

Tijdens een brute force aanval worden alle mogelijke combinaties van beschikbare tekens geprobeerd om in te loggen op uw website. Dit is wel inefficiënt omdat het relatief lang duurt. Gebruik je nog een standaard of een relatief eenvoudig wachtwoord dan kunnen dit soort aanvallen wel trefzekerder zijn. Er wordt gesproken van 100.000 pogingen per dag op WordPress sites.

Webhosting

Een WordPress website veilig maken? Er zijn een aantal zaken belangrijk bij WordPress als het gaat om veiligheid. Een belangrijk punt is de webhoster. Een onveilige website vind  je vaak in een onveilige omgeving. Laat u niet verleiden door hostingpartijen die aanbieden om uw website te hosten voor € 1,- per maand. U vraagt dan eigenlijk om problemen. U zult praktisch geen support krijgen en er wordt vaak vanaf uw website gelinkt naar andere websites. Als veiligheid belangrijk voor u is, kies dan een goede hostingpartij. Bijvoorbeeld via Oil4 😉

Installatie WordPress

Een goede en veilige WordPress website begint bij de installatie ervan. Belangrijk is om een aantal technische wijzigingen door te laten voeren. Zo is het belangrijk om een aantal tekens toe te voegen aan de tabelnaam in de database ( Table Prefix). Ook het gebruik van een willekeurige database naam, een combinatie van kleine letters, hoofdletters en cijfer. Dus niet een naam die gelijk is aan de website.  Ook de bestandsrechten willen nog wel eens verkeerd staan, deze moeten standaard op 644 staan. Bestandsrechten op 777 is erg onveilig.

Onveilige gebruikersnaam en/of wachtwoord

Een van de meest gemaakte fouten, en de reden dat zoveel WordPress websites worden aangevallen en geïnfecteerd, de keuze van een simpele login en wachtwoord. Er wordt vaak gekozen voor ‘admin’ als login met daarbij een simpel wachtwoord.

Gebruik NOOIT admin als gebruikersnaam. Gebruik geen namen en/of wachtwoorden die in lijn liggen met de website. Maak het de kwaadwillenden zo moeilijk mogelijk en kies voor een sterk wachtwoord met hoofdletters, kleine letters, cijfers en speciale tekens. Zorg ervoor dat het wachtwoord uit minimaal 8 tekens bestaat.

Tip: U kunt op deze website sterke wachtwoorden genereren.

Onveilige plugins en themes

Over het algemeen geldt dat themes en plugins van WordPress.org veilig zijn. Deze thema’s en plugins worden door WordPress zelf gecontroleerd. Bij alle overige aanbieders moet u voorzichtig zijn. Er kunnen themes tussen zitten die geïnfecteerd zijn met kwaadaardige code. Echter zijn er buiten WordPress.org ook veilige aanbieders van Themes en Plugins, zoals Elegant Themes, WooThemes, Themeforest, WPexplorer en CodeCanyon.

Up-to-date

WordPress wordt regelmatig voorzien van een update en het gaat vaak om beveiligingsupdates: updates die bepaalde (veiligheids)lekken dichten. Het is erg belangrijk dat de WordPress-installatie up-to-date blijft. Na een onveilige gebruikersnaam/wachtwoord-combinatie is dit de meest voorkomende beveiligingsfout als het gaat om WordPress websites. Ook eventuele geinstalleerde plugins moeten up-to-date blijven.

Het is niet raadzaam om zo maar op de update knop te drukken. Voor het updaten moet er altijd eerst een backup van de website worden gemaakt. Voor het geval dat het updaten misgaat. Het is sowieso raadzaam om regelmatig een backup te maken van uw complete website.

Google Webmasters

Omdat Google regelmatig uw website bezoekt kan Google dus ook zien als er iets mis is met uw website. Bijvoorbeeld als uw website gehackt is. Door uw website aan te melden bij Google Webmasters, krijgt u een melding van Google als er iets mis is met uw website. U heeft bij Google Webmasters ook de mogelijkheid om uw website aan te melden voor een malware controle.

Extra veiligheid door plugins

Als bovenstaande punten zijn doorgelopen en waar nodig aangepakt, dan scoort de website op gebied van veiligheid al een voldoende. Extra veiligheidsmaatregelen kan echter geen kwaad. Er zijn enkele goede plugins die uw WordPress website op gebied van veiligheid nog verder dichttimmeren.

Ik ben zelf zeer te spreken over iThemes Security. Deze plugin doet enorm veel om de website nog veiliger te maken en maakt zelf backups van de website. Zo zijn er nog een handjevol goede plugins op gebied van veiligheid.

Een WordPress website veilig maken

Extra veiligheid door two-factor authenticatie

Met het gebruik van two-factor authenticatie kunt u uw website nog beter beveiligen tegen brute force aanvallen. Dit kunt u eenvoudig doen door een plug-in te installeren zoals Google authenticator. Er zijn hiervoor meerdere opties beschikbaar.

Is uw WordPress website veilig?

Aan de hand van bovenstaande punten kunt u controleren of uw WordPress website veilig is. Heeft u hier geen tijd en/of zin is, of ontbreekt bij u de technisch kennis om dit zelf te doen? Oil4 kan voor u bovenstaande punten controleren en waar nodig actie ondernemen. Ons Maintenance pakket sluit hier prima op aan.

Liever eerst een vrijblijvend gesprek? Schroom dan niet om contact met ons op te nemen.