Wordpress is het meest gebruikte CMS voor websites. Daarmee is het een aantrekkelijk doelwit voor hackers. Stel je voor dat jouw website wordt gehackt, dat kan veel schade opleveren. Denk aan inkomstenderving doordat je website offline is of klantinformatie die op straat komt te liggen.

Genoeg redenen om aandacht aan de beveiliging van je website te besteden. In dit blog laten we zien hoe je je WordPress site kunt beveiligen om het risico van een hack te beperken. Met deze eenvoudig te implementeren security tips wordt jouw site een stuk veiliger.

cybersecurity wordpress hacker

Hoe beveilig ik mijn WordPress website?

Je kunt je WordPress site veiliger maken door gebruik te maken van een https-verbinding, de WordPress installatie inclusief thema’s en plugins up to date houden, veilige wachtwoorden te gebruiken, goede hosting te kiezen, een beveiligingsplugin te gebruiken en het aantal login pogingen (via hetzelfde IP adres) te beperken. Deze tips lichten we hieronder toe en vullen we aan met andere security adviezen.

Kies een goede hostingprovider

De hostingprovider zou je kunnen zien als het gebouw waarin je WordPress site als het ware is gevestigd. Net als voor een kantoorgebouw is het voor hosting belangrijk om ongewenste elementen buiten de deur te houden. Daarom is het belangrijk je hostingprovider zorgvuldig te kiezen, maar waar moet je dan op letten? Een goede hostingprovider voert regelmatig scans uit voor malware, gebruikt een goede firewall en maakt dagelijks back-ups van je site. Uiteraard mag je van een hostingpartij verwachten dat ze de laatste versies van MySQL en PHP ondersteunen. Let er ook op dat de hoster het versleutelde sFTP protocol voor het overzetten van bestanden ondersteunt.

Er zijn hostingpartijen die gespecialiseerd zijn in WordPress en de beveiliging daarvan. Dergelijke partijen focussen extra op de beveiliging en hebben vaak veel kennis van WordPress. Daar betaal je wat meer voor, maar daar krijg je wel kwaliteit en meer zekerheid voor. Zo zijn er hostingpartijen die je site repareren mocht hij toch gehackt worden.

Installeer een SSL-certificaat en gebruik een https-verbinding voor je website

Een van de belangrijkste adviezen is om een SSL-certificaat voor je site te installeren als je die nog niet hebt. Met een beveiligde https-verbinding wordt de verbinding van bezoekers met jouw site versleuteld. Daardoor worden bijvoorbeeld klantgegevens in formulieren versleuteld naar jou worden verzonden in plaats van via leesbare tekst. Niet alleen bescherm je de bezoekers van jouw site hiermee, maar kunnen hackers ook niet meer je gebruikersnaam en wachtwoord afluisteren. Zonder SSL certificaat worden jouw gebruikersnaam en wachtwoord namelijk ook in leesbare tekst verzonden.

Een ander voordeel van SSL is dat de gebruiker zeker weet dat hij de juiste website te zien krijgt en niet een nepwebsite. Het is namelijk mogelijk dat een gebruiker naar een andere server wordt geleid ook al heeft diegene de juiste URL ingevoerd. Dat kan bijv. als de DNS-server die de gebruiker benadert gehackt is. Klanten kun dan zomaar hun (login) gegevens invoeren op een gekopieerde site waar hackers achter zitten.

Een https-verbinding is zo belangrijk dat Google het zelfs onderdeel heeft gemaakt van het zoekalgoritme, waardoor sites met SSL certificaat een hogere positie in de zoekresultaten krijgen. Ook geven steeds meer browsers een waarschuwing als een site geen https-verbinding gebruikt. Kortom, regel het vandaag nog!

Update WordPress, thema’s en plugins

Om je computer te beveiligen is het up to date houden van software een van de belangrijkste security tips. Dat geldt ook voor je website. Door de WordPress versie van je site up to date te houden, weet je zeker dat bekende veiligheidslekken zoveel mogelijk verholpen zijn. Verouderde WordPress sites worden bovendien actief door hackers gezocht, dus let hier goed op.

Het updaten van het thema van je website en de gebruikte plugins is ook een must. Kies het thema en de plugins die je gebruikt dan ook zorgvuldig. Door je thema van een bekende, gerenommeerde aanbieder te downloaden, verklein je beveiligingsrisico’s en is de kans groter dat het thema goed onderhouden wordt. Theme Forest en Elegant Themes zijn bekende aanbieders van WordPress thema’s. Lees ook de reviews van thema’s. Voor plugins geldt hetzelfde als voor thema’s. Controleer of de plugin werkt met de versie van WordPress die je gebruikt en lees de reviews. Beperk daarnaast het aantal plugins dat je gebruikt. Zo blijft je site snel en verklein je beveiligingsrisico’s. Heb je overtollige thema’s en plugins, verwijder die dan volledig uit jouw WordPress installatie.

Updates uitvoeren gaat vrij eenvoudig in WordPress. Zorg voordat je een update uitvoert dat je een back-up hebt van je website! Om updates te doen log je in op de WordPress omgeving van je website. Vervolgens klik je op ‘Updates’ onder het menu item ‘Dashboard’ in de linker kolom. Op de pagina die je dan ziet staat een overzicht van updates die beschikbaar zijn voor WordPress, plugins en thema’s. Als er updates beschikbaar zijn, kun je deze selecteren en vervolgens op de update knop klikken. De rest doet het systeem!

Maak regelmatig een back-up

Het updaten van WordPress, het thema of plugins kan soms fout gaan. Dan werkt je site na een update ineens niet goed meer. Op die momenten ben je blij als je een back-up van je website hebt. Met het terugzetten van je back-up heb je je website binnen no time weer draaiend. Mocht je site gehackt worden, dan is een back-up ook heel waardevol. Zorg er dus voor dat je site regelmatig geback-upt wordt. Bij veel hostingpartijen kun je dit automatisch laten doen.

Gebruik een veilig wachtwoord

De meeste mensen weten dat je een veilig wachtwoord moet gebruiken, maar toch komen simpele wachtwoorden als ‘1234567’ en ‘qwerty’ nog vaak voor. Dergelijke wachtwoorden zijn simpel te achterhalen en dus erg onveilig. Kies een lang wachtwoord dat bestaat uit een aantal verschillende, willekeurige woorden. Dat is veilig en relatief makkelijk te onthouden. Nog beter is om een wachtwoordbeheerder als Lastpass of Dashlane te gebruiken. Hiermee maakt het programma automatisch verschillende, veilige wachtwoorden aan voor jouw accounts.

Naast het gebruiken van een veilig wachtwoord, wordt ook vaak aangeraden om geen standaard gebruikersnaam als ‘admin’, ‘administrator’ of ‘webmaster’ te gebruiken. Ook wordt aangeraden de URL van de login pagina aan te passen. Hoewel deze tips de beveiliging van je site in beperkte mate kunnen verbeteren, levert het vooral schijnveiligheid op. Je vertrouwt hiermee namelijk op het principe van ‘security through obscurity’ oftewel hoop je hiermee beveiligingsrisico’s te beperken door (de werking van) beveiligingsmaatregelen geheim te houden. Ook als je de gebruikersnaam en login URL aanpast, is dit namelijk nog voor hackers te achterhalen. Vertrouw hier dus niet (volledig) op.

Gebruik twee factor authenticatie

Naast het gebruiken van een veilig wachtwoord, kun je de beveiliging van je account versterken met twee factor authenticatie (2FA). Naast jouw wachtwoord gebruik je dan een extra code die bijvoorbeeld naar je smartphone wordt verzonden. Je maakt hierdoor gebruik van twee factoren, namelijk iets dat je weet (je wachtwoord) en iets dat je hebt (je smartphone). Dat maakt het moeilijker voor een hacker om je account binnen te komen.

Om twee factor authenticatie te installeren kun je de Google Authenticator plugin installeren. Als je deze plugin geconfigureerd hebt, wordt er een code naar je smartphone gestuurd als je wilt inloggen op je website. Hiervoor moet je de Google Authenticator app op je smartphone hebben geïnstalleerd.

Beperk login pogingen

Om je website tegen brute force aanvallen (waarbij automatisch pogingen worden gedaan in te loggen) te beschermen, kun je de mogelijkheden waarmee ingelogd kan worden beperken. Een manier is om het aantal keer dat je kunt proberen in te loggen (met een fout wachtwoord) te beperken. Dat kan met een beveiliging plugin of met de plugin Limit login attempts. Google reCAPTCHA is ook een methode hiervoor, bovendien voorkom je hier veel spam (in comments) mee. Je kunt daarnaast instellen vanaf welke IP adressen ingelogd kan worden. Op die manier zorg je ervoor dat iemand met een ander IP adres dan jijzelf niet kan inloggen. Met deze tips houd je spam bots en geautomatiseerde aanvallers buiten de deur.

Installeer een beveiliging plugin

Voor WordPress zijn diverse security plugins beschikbaar waarmee je de beveiliging van je website kunt verbeteren. Bekende voorbeelden hiervan zijn Wordfence Security en iThemes Security. Met een beveiliging plugin kun je je website beschermen tegen brute force aanvallen (waarbij automatisch pogingen worden gedaan in te loggen) of malware. Ook bevatten veel van deze plugins een firewall, kun je IP filters instellen voor logins en kunnen ze bestanden repareren na een hack. Kortom, door een security plugin te installeren en goed in te stellen, maak je je website direct een stuk beter beveiligd.

Ten slotte

Met bovenstaande tips kun je de beveiliging van je website verbeteren. Hiermee verklein je het risico dat een hacker je site binnenkomt. Dit betekent echter niet dat je site niet meer gehackt kan worden. Software bevat altijd (onbekende) fouten waar een aanvaller gebruik van kan maken. Bovendien kun je zelf zomaar het slachtoffer van phishing worden. Het is dus belangrijk om altijd voorzichtig te zijn en zorgvuldig met je (login)gegevens om te gaan.

Realiseer je ook dat je website nog zo goed beveiligd kan zijn, maar dat als je computer of smartphone geïnfecteerd is met malware je site alsnog gehackt kan worden. Het beveiligen van deze apparaten is dus in feite de eerste stap. Zoals eerder vermeld geldt hiervoor dat het up to date houden van alle software essentieel is.

Over de schrijver