WordPress Magazine

Tips en Tricks voor WordPress Websites & Blogs

Je bent hier: Home / Beveiliging / Hoe beveilig je WordPress tegen Hackers

Hoe beveilig je WordPress tegen Hackers

Geplaatst op door Reageer

WordPress Beveiligen tegen Hackers

Het is belangrijk om je WordPress website te beveiligen tegen Hackers / Crackers. Hoe je die beveilig van je WordPress tegen Hackers kunt opvoeren lees je hieronder, maar eerst wat achtergrond informatie voor meer inzicht.

Hackers is een veel gebuikte term voor foute programmeurs, maar eigenlijk zouden we het in dit verband over Crackers moeten hebben.

Zo’n computerkraker probeert om toegang te krijgen tot websites om die aan te passen, soms alleen om te laten zien wat ze kunnen, maar steeds meer om er andere software door te verspreiden, software zoals Ransomware of andere virussen.

In de meest simple vorm is de crack een defacing. Bij een defacing wordt de originele home-page vervangen door een andere, waarop vaak politieke (of andere) boodschappen verkondigd worden.
Zo’n defacing is vaak snel op te lossen door een back-up van je index.php terug te zetten of een index.html te verwijderen.

WordPress Beveiligen tegen Hackers

Overzicht van WordPress bedreigingen

Een WordPress website is over het algemeen veilig te noemen, de code van WordPress zelf wordt zeer goed onderhouden en mocht er toch iets van een probleem gevonden worden, dat wordt dat snel opgelost.

Dat zie je ook aan het feit dat dergelijke Security releases bij een up-to-date versie van WordPress automatisch geïnstalleerd worden zodat je site veilig blijft.

Maar hoe beveilig je WordPress tegen hackers met extra instellingen en plugins en waar moet je verder op letten?

Het probleem van een niet veilige WordPress site ontstaat, onder andere, door de gebruikte plugins en thema’s. Of door gebruikers instellingen die te simpel te raden zijn door Crackers en hun software.

Gebruikersnamen en Wachtwoorden

Ik hoop niet dat je nog een gebruikersnaam als Admin op je WordPress website hebt, als dat wel zo is, dan direct omzetten!

Ook wachtwoorden die bestaan uit Welcome123, Geheim, 123456789, 654321, Qwerty, Password, Wachtwoord, etc zijn wel erg makkelijk te kraken met Brute Force. Maak je gebruikers naam en wachtwoord zo moeilijk mogelijk, WordPress helpt tegenwoordig ook al om sterke wachtwoorden te maken.

Gebruikersnamen

De basis voor een WordPress crack begint met je gebruikersnaam, zoals eerder genoemd, Admin is echt niet goed! Gebruik ook niet je eigen naam of de naam van je website. Ook je mail adres is geen goede gebruikersnaam!

Verzin een naam die vreemd is en voeg daar nog wat zaken aan toe zoals een !, ? en kleine letters en Hoofdletters. Je kunt ook een vreemde login gebruiken die je uit het sterke wachtwoord kopieert en aanvult of wijzigt (0f beide!). Bijvoorbeeld: BEg0OYhp9!

Een gebruikersnaam kan niet direct worden gewijzigd in WordPress zelf, je moet daarvoor een nieuwe gebruiker met dezelfde rechten aanmaken, daarmee inloggen en de oude daarna verwijderen.

LET OP!!! Zorg ervoor dat je de oude berichten aan de nieuwe gebruiker toewijst, anders ben je alles kwijt als je de oude gebruiker verwijderd! Maak dus een database back-up voordat je dit gaat doen!

Een heel goede optie om je WordPress website te beschermen is om een aparte login te maken voor beheerders taken en een, met beperkte rechten, om je artikelen te schrijven.
Beide gebruikersnamen moeten een ander mail adres hebben, dit om een wachtwoord reset te kunnen doen mocht het nodig zijn.

Sterke Wachtwoorden

Om een nieuw wachtwoord te maken ga je Gebruikers -> Je Profiel en klik dan op Wachtwoord wijzigen, je krijgt dan al een voorstel voor een nieuw wachtwoord. Zoals je ziet is dat al vele malen sterker dan wat je zelf kunt verzinnen.

Voeg daar nog wat eigen tekens aan toe en wijzig er een paar en je hebt een uitstekend bijna niet te kraken wachtwoord.

Sterk Wachtwoord Genereren in WordPress
Sterk Wachtwoord Genereren in WordPress

Lastig om te onthouden en je hebt al zoveel wachtwoorden? Gebruik wachtwoord management software zoals het gratis KeePass of, die ik zelf gebruik, de betaalde Roboform optie.

WordPress Onderhoud

Een heel belangrijk onderdeel van het veilig houden van je WordPress website is het bijhouden en installeren van nieuwe versies, dat geldt niet alleer voor WordPress zelf maar ook voor Thema’s en Plugins

Plugins, Thema’s en de WordPress basis bevatten allemaal grootte hoeveelheden php code van ontwikkelaars verspreid over de hele wereld. Deze ontwikkelaars hebben allerlei verschillende capaciteiten en focus als het gaat om veilige code te schrijven.

Dat is een van de redenen waarom er duizenden mogelijkheden van beschikbare beveiligingsgaten zijn voor een aanvallende cracker.

Updaten van plugins, de WordPress Core (Basis) en Thema’s een standaard routine moet zijn voor iedere WordPress beheerder om er zeker van te zijn dat die gaten gedicht worden.

Kijk je niet regelmatig in je dashboard omdat je een meer statische website hebt en niet vaak blogt? Gebruik dan de plugin WP Updates Notifier. Die stuurt je een email als er updates zijn die geïnstalleerd moeten worden.

Heb je een oudere WordPress website die nodig een update moet krijgen, lees dan vooral eerst Hoe je een oude WordPress website veilig kunt updaten.

Basis Mappen en Toegang Beveiligen

Een van de extra beveiligingen die je op kunt werpen om toegang to bepaalde mappen en bestanden te beperken is het beveiligen van die mappen en het login scherm met een .htaccess bestand.

Directe toegang tot bepaalde mappen kun je ook instellen via .htaccess bestanden, het gebruik van de Sucuri plugin kan dat snel voor je regelen.

.htaccess code

In je .htaccess bestand, te benaderen via FTP of je File Manager kun je als eerste de volgende code opnemen:

ErrorDocument 403 "Not acceptable"

<FilesMatch "wp-login.php">
order deny,allow
deny from all
Allow from xxx.xxx.xxx.xxx (je eigen vaste IP adres dat je kunt vinden via http://www.watismijnip.nl/)
</FilesMatch>

Die code zorgt ervoor dat jij alleen vanaf dat IP adres toegang hebt tot de login pagina. Heb je meer mensen die in moeten loggen, dan kun je ook hun IP adres toevoegen.

Lat op: Als je provider een update uitvoert van IPv4 naar IPv6 moet je het nieuwe IP adres ook toevoegen. Je kunt dat adres vinden via http://test-ipv6.nl/

De code komt als eerste voor de Permalinks opties.

WordPress Plugins voor extra beveiliging

Ik wil hier niet te diep ingaan op de onderstaande plugins, ze verdienen een eigen bericht over de verschillende opties die je wel of niet moet gebruiken.

Mocht je nu al met Shield aan de slag willen lees dan mijn bericht Nieuwe aanval op WordPress sites

  • Shield was vroeger WP Simple Firewall en is nu uitgebreider geworden. Dit is een van de makkelijkste plugins om te configureren.
  • Wordfence is een zwaardere plugin met meer functies en vraagt meer kennis om goed op te zetten. Kan zeker door het scannen bij een foute configuratie voor problemen op server niveau zorgen.
  • Sucuri is een prima plugin om te scannen op beveiligingslekken  en om je mappen te beveiligen zoals hierboven als is genoemd. Deze plugin kan snel helpen een aantal zaken dicht te timmeren.
    Soms kan het ook te ver gaan door bepaalde functies te blokkeren die je wilt gebruiken, zoals het aanpassen van thema bestanden.
    https://youtu.be/Nuksi7rMNV0
  • iThemes security Na Wordfence de meest geinstalleerde plugin, meer dan 700.000 op het moment van schrijven.  Omdat deze plugin nogal ingrijpt op WordPress en je database moet je zeker een goede back-up maken voordat je hem gaat installeren en activeren.
    Het is een prima beveiliging maar voor mij te ingrijpend. Daarnaast komen de echt leuke opties pas in beeld als je de Pro versie koopt.

Server Side Hacks

Een server side hack is niet iets wat jij als WordPress website eigenaar kunt voorkomen. Waar je wel voor kunt zorgen is dat je eigen site goed beveiligd is zodat het geen toegang geeft op server niveau.

Een server hack gebeurt als de crackers toegang krijgen op een manier waardoor ze de hele server,waar jouw website op staat, kunnen beheren.

Dat kan gebeuren doordat je hosting provider zijn beveiliging niet in orde heeft, oude server software versies gebruikt of een andere niet veilige manier van werken heeft.

Ik ben zeer tevreden over vimexx.nl die zorgt voor regelmatige server software upgrades en helemaal over siteground.nl die nog een stap extra doet met actieve malware scans op mijn account.

Conclusie

Het beveiligen van een WordPress website is een combinatie van factoren die allemaal gericht moeten zijn op het inrichten en onderhouden van je WordPress installatie en een goede WordPress hosting provider.

Als je bovenstaande tips opvolgt dan heb je je site al behoorlijk dicht getimmerd. Crackers zullen liever hun geluk elders proberen. Er is echter nooit een garantie dat je site niet gehackt kan worden.

Zorg daarom ook dat je goede back-up hebt van je WordPress database en de bestanden in je wp-content mappen. Met zo’n back-up kun je snel weer je site schoon opzetten mocht je website toch ge-cracked worden.

Tip: Meld je site aan bij Google Search Console, als Google dan iets vreemds vindt op je website krijg je een waarschuwing.

Heb jij nog andere tips die kunnen helpen om je WordPress website veiliger te maken? Deel ze in een reactie hieronder!

Anderen lezen ook:

WordPress 4.2.2 Update voor Beveiliging

WordPress 4.2.1 Update Noodzakelijk

Hoe Beveilig je een WordPress site tegen Hackers

Lees Interacties

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *