De beste WordPress beveiliging

Als je als webbouwer of programmeur met een CMS als WordPress werkt, is beveiliging een belangrijk punt van aandacht. Doordat WordPress zo gebruiksvriendelijk is, wordt het veel ingezet voor het maken van sites. Hier schuilt meteen een gevaar in: de grootschaligheid maakt het interessant voor hackers. Wekelijks zet Google zo’n 20.000 websites op een blacklist in verband met malware en zo’n 50.000 in verband met phishing (cijfers uit het eerste kwartaal van 2016). Als je afhankelijk bent van je website, begrijp je dat het noodzaak is om je beveiliging van je WordPress goed geregeld te hebben. We geven je hier wat basis beveiligingstips om je website te beveiligen tegen hackers en malware.

Hoewel de basis van WordPress goed beveiligd is en regelmatig door honderden developers gecontroleerd wordt, is er toch het een en ander zelf te doen om je site te beschermen. Als website beheerder of eigenaar kun je veel doen om je WordPress-beveiliging te verbeteren (zelfs zonder technische kennis). Een aantal primaire acties hebben we hieronder voor je op een rij gezet.

Waarom is de beveiliging voor je site zo belangrijk?

Een gehackte WordPress-site kan ernstige schade toebrengen aan jouw bedrijfsinkomsten en reputatie. Hackers kunnen gebruikersinformatie en/of wachtwoorden stelen, schadelijke software installeren en zelfs malware naar jouw gebruikers/klanten distribueren. Het ergste is misschien nog wel dat je moet betalen aan hackers om weer toegang te krijgen tot je website. Als jouw website een bedrijf is, moet je extra aandacht besteden aan jouw WordPress-beveiliging. Vergelijkbaar met hoe het de verantwoordelijkheid van bedrijfseigenaren is om hun fysieke winkel te beschermen, is het als een online bedrijfseigenaar jouw verantwoordelijkheid om je bedrijfswebsite te beschermen. Dit geldt voor zowel webshops als gewone websites.

WordPress-beveiliging in eenvoudige stappen (geen codering)

We weten dat het verbeteren van WordPress-beveiliging een angstaanjagende gedachte kan zijn voor beginners. Vooral als je geen techneut bent. En heus, je bent niet de enige. We laten je zien hoe je jouw WordPress-beveiliging kunt verbeteren met slechts een paar klikken (geen codering vereist). Als je op internet kunt surfen, kun je dit ook!

Zorg dat WordPress up-to-date is

WordPress is open source-software die regelmatig wordt onderhouden en bijgewerkt. Standaard installeert WordPress automatisch kleine updates. Voor grote releases moet je de update handmatig uitvoeren. Dat zie je, als je ingelogd bent, aan de welbekende “rode icoontjes” in je dashboard. Er zijn ook duizenden WordPress plug-ins en thema’s die je op je website kunt installeren. Deze plug-ins en thema’s worden weer onderhouden door externe ontwikkelaars die regelmatig ook updates publiceren. Deze WordPress-updates zijn cruciaal voor de veiligheid en stabiliteit van jouw WordPress-site. Je moet ervoor zorgen dat je WordPress-kern, plug-ins en thema up-to-date zijn. En we verzekeren je, dat je dat vaker dan een keer per jaar moet doen. Lees voor het instellen van automatische updates onze handleiding.

De meest voorkomende WordPress-hackpogingen gebeuren met gestolen wachtwoorden. Je kunt het hackers moeilijk maken door sterkere wachtwoorden te gebruiken die speciaal aangemaakt zijn voor jouw website. Niet alleen voor WordPress-beheergebied, maar ook voor FTP-accounts, database, WordPress hostingaccount en je (zakelijk) e-mailadres. De belangrijkste reden waarom beginners het gebruik van sterke wachtwoorden niet leuk vinden, is omdat ze moeilijk te onthouden zijn. Het prettige is dat je wachtwoorden niet meer hoeft te onthouden: je kunt ze tegenwoordig opslaan in een wachtwoordbeheerder of -sleutelhanger. Een andere manier, en meest rigoreuze, om het risico te verkleinen is om niemand toegang tot je WordPress-beheerdersaccount te geven, tenzij het absoluut moet. Nadeel is dat je dan zelf alle wijzigingen en up-dates moet uitvoeren. Als je een groot team of gastauteurs hebt, zorg er dan voor dat je de gebruikersrollen en -mogelijkheden in WordPress begrijpt, voordat je nieuwe gebruikers en auteurs toevoegt aan jouw WordPress-site.

De rol van WordPress Hosting

De WordPress-hostingservice speelt misschien wel de belangrijkste rol in de beveiliging van jouw WordPress-site. Een goede shared hosting provider zoals SQR.NL of managed hosting provider als Cyso nemen de extra maatregelen om servers te beschermen tegen veel voorkomende bedreigingen. Het niet beveiligen van jouw website opent namelijk het risico van kruisbesmetting waarbij een hacker een aangrenzende site kan gebruiken om andere websites aan te vallen. Het gebruik van een beheerde WordPress-hostingservice biedt een veiliger platform voor je website. WordPress-hostingbedrijven als SQR.NL en Cyso bieden de mogelijkheid tot automatische back-ups, automatische WordPress-updates en geavanceerdere beveiligingsconfiguraties om jouw website te beschermen.

Back-ups

Bij SQR.NL worden standaard back-ups voor klanten gemaakt. Back-ups zijn jouw eerste stap als verdediging tegen elke aanval. Uiteraard is niets 100% veilig. Als overheidswebsites kunnen worden gehackt, dan kan ook die van jou gehackt worden. Met back-ups echter kun je snel je WordPress-site herstellen voor het geval er iets ergs is gebeurd. Er zijn veel gratis en betaalde WordPress back-up-plug-ins die je kunt gebruiken voor een extra (eigen) back-up. Het belangrijkste dat je moet weten als het gaat om back-ups, is dat je regelmatig back-ups van je data naar een externe locatie moet opslaan. Op basis van hoe vaak je jouw website bijwerkt, is de ideale instelling daarvoor mogelijk eenmaal per dag of realtime back-ups. Gelukkig kan dit eenvoudig worden gedaan met behulp van plug-ins zoals VaultPress of BackupBuddy. Ze zijn zowel betrouwbaar als vooral gebruiksvriendelijk (zoals gezegd: kennis van codering is niet nodig).

Verander de standaard ‘admin’ gebruikersnaam

In het verleden was de standaard gebruikersnaam van de WordPress beheerder met de meeste rechten “admin”. Omdat gebruikersnamen de helft van de aanmeldingsprocedure uitmaken, maakte dit het voor hackers gemakkelijker om aanvallen uit te voeren. Gelukkig is WordPress sindsdien veranderd en dien je nu zelf een gebruikersnaam te kiezen bij het installeren van WordPress. Omdat WordPress je niet standaard toestaat om gebruikersnamen te wijzigen, zijn er drie methoden die je kunt gebruiken om de gebruikersnaam te wijzigen.

1. Maak een nieuwe beheerders-gebruikersnaam en verwijder de oude gebruikersnaam.
2. Gebruik de plug-in Username Changer.
3. Update gebruikersnaam via phpMyAdmin.

Opmerking: we hebben het hier over de gebruikersnaam “admin”, niet de beheerdersrol.

Een gehackte WordPress-site repareren

Veel WordPress-gebruikers realiseren zich het belang van back-ups en websitebeveiliging pas als hun website is gehackt. We hopen natuurlijk niet dat het je ooit overkomt. Want het opruimen van een WordPress-site kan erg moeilijk en tijdrovend zijn. Ons eerste advies zou zijn om een professional ervoor te laten zorgen. Hackers installeren achterdeurtjes op getroffen sites en als deze achterdeuren niet goed zijn gesloten, wordt jouw website waarschijnlijk ooit opnieuw gehackt. Als een professioneel beveiligingsbedrijf jouw website repareert, zorgt deze ervoor dat jouw site weer veilig kan worden gebruikt. Het beschermt je dan ook tegen toekomstige aanvallen.

Dat is het wat de basic tips betreft, we hopen dat dit artikel je heeft geholpen om de eerste beginselen voor WordPress-beveiliging te leren en om de beste WordPress-beveiligingsplug-ins en veilige hosting voor jouw website te ontdekken.

Ben je klaar voor een eigen WordPress website? We bieden ook WordPress hosting aan waarmee je in 2 minuten je eigen WordPress website klaar hebt staan om in te vullen.