De meest belangrijke actie’s die je moet doen om potentiële hackers buiten de deur te houden begint met het up-to-date houden van alles op je WordPress website.
Dat begint met WordPress zelf, je thema(s) en je plugins, zelfs als ze niet geactiveerd zijn!
Heb je plugins die je niet, of niet meer gebruikt, verwijder ze dan, hoef je ze ook niet meer te updaten.
De Basis Instellingen
Goede beveiliging van je site betekent ook dat je een andere gebruikersnaam gebruikt dan “admin” of “root” of zelfs de naam van je domein, in mijn geval dus ook niet “wpmagazine”. Dit zijn allemaal standaard namen en zaken waar hackers op scannen en met brute-force aanvallen proberen in te breken.
Naast je gebruikersnaam zorg je ook voor een sterk wachtwoord, liefst minimaal 9 tekens met Hoofdletters, kleine letters, cijfers en leestekens of symbolen. Geen woorden uit het woordenboek dus!
Bescherming van je login.php
Als je hosting bedrijf met Apache werkt, en je altijd vanaf een vast IP adres werkt, dan kun je onderstaande regels opnemen in je .htaccess bestand:
ErrorDocument 403 “Not acceptable”
<FilesMatch “wp-login.php”>
order deny,allow
deny from all
Allow from 1.2.3.4
</FilesMatch>
Daarbij vervang je natuurlijk 1.2.3.4 door je eigen IP adres. (Je kunt je IP adres makkelijk vinden via http://www.whatsmyip.org/)
Werk je altijd vanaf verschillende IP adressen of krijg je van je internet provider dynamische IP adressen, dan kun je je login beschermen met een plugin die eerst een extra login met chapta vraagt, die login zal regelmatig veranderen.
Extra Plugins voor WordPress Beveiliging
Met de All In One WP Security and Firewall plugin krijg je die extra login.
En je moet op je login scherm nog het resultaat van een som invoeren voordat je in kunt loggen.
Hieronder zie je nog veel meer zaken die je met deze plugin kunt doen.
Extra beveiliging met Wordfence Security
Naast de bovengenoemde opties kun je ook de Wordfence plugin installeren.
Bij deze plugin moet je wel de nodige opties aanvinken om je beveiliging op een hoger niveau te krijgen.
Zelf zet ik altijd de optie aan om de bestanden van je basis, je thema’s en je plugins te vergelijken met de originele bestanden op wordpress.org
En je zet natuurlijk de Login beperkingen
Wordfence scant regelmatig of er vreemde wijzigingen zijn op je site bestanden en waarschuwt ook als er een plugin of thema geüpdate moet worden.
Na een scan kun je ook direct zien wat er aan de hand is en wat Wordfence daarmee moet doen zoals het herstellen van het bestand naar de originele versie van WordPress.org.
Ik gebruik beide plugins op diverse sites en ze werken prima samen.
Thema’s en Plugins van Veilige Bronnen
De meeste hacks van WordPress websites komen niet door beveiligings-gaten van WordPress zelf, de meeste komen van thema’s of plugins.
De meeste veilige bron voor plugins en thema’s is de site van WordPress.org, dus https://wordpress.org/plugins/ en https://wordpress.org/themes/.
Voor andere bronnen kun je kijken naar premium aanbieders zoals ThemeForest voor thema’s en CodeCanyon voor plugins. Ik gebruik zelf het liefst het Genesis Framework en een child thema van StudioPress.com.
Bij andere bronnen, vooral als ze gratis premium thema’s en plugins aanbieden, altijd nakijken of ze geen vreemde code toevoegen aan een thema. Met dergelijke thema’s bestaat de kans dat je site opengezet wordt voor hackers of dat je site als spam site gaat fungeren met vreemde links in je voettekst.
In de meeste van dat soort thema’s zullen er eval en base 64 decode staan die ervoor zorgen dat je niet kunt lezen wat er echt gebeurd. Thema’s met dat soort code in je footer.php direct verwijderen en een ander thema kiezen, of toch maar het origineel kopen. Dat geeft je meestal ook direct toegang tot een goede handleiding en support.
Met bovenstaand maatregelen en een goed en veilig hosting bedrijf zoals Neostrada kun je met een gerust hart lekker werken met je WordPress website en je concentreren op de inhoud van je site.
En jij? Welke plugins / beveiliging gebruik jij?
Geef een reactie