WordPress Website Beveiligen. Essentiële tips!

Beveiliging is van cruciaal belang voor elke WordPress-website. Helaas zijn veel WordPress-websites kwetsbaar voor hackers vanwege veelvoorkomende beveiligingsfouten. Ook kunnen deze kwetsbaarheden, door het gebruik van veelal dezelfde plugins, meteen wereldwijd misbruikt worden. Ook al denk je wellicht geen belangrijk doelwit te zijn is dat niet altijd belangrijk voor hackers. Door simpelweg toegang te krijgen tot je website kunnen ze je website inzetten voor andere kwaadwillende acties, zoals aanvallen of black-hat SEO. In dit artikel bespreken we de beste tips om jouw WordPress-site te beveiligen.

1. Regelmatig updaten

Zorg ervoor dat je WordPress, de plugins en thema’s regelmatig bijwerkt. Dagelijks worden er updates uitgebracht welke features, performance verbeteringen maar ook beveiligingsupdates bevatten. Wanneer je dit niet regelmatig bijwerkt kan je gemakkelijk een doelwit worden. Het meest eenvoudige is om hierbij automatisch updaten aan te zetten of te kiezen voor een tool waarmee je een update schema kan aanhouden. Het voordeel van een update-schema is dat je weet wanneer de updates plaatsvinden en zo rekening kan houden met eventuele problemen die daaruit voortkomen.

2. Gebruik enkel betrouwbare plugins

WordPress is een mooi systeem waarvan de features zeer makkelijk uitgebreid kunnen worden middels plugins. Het nadeel daarvan is dat je vaak niet weet wat voor code je exact inlaadt in je website. Zo kan dit code bevatten welke slecht is voor je performance maar ook voor de beveiliging van je website. Zelfs zo slecht dat volledige overname mogelijk is. Om dit risico te beperken raden we aan om alleen plugins te installeren welke veel positieve reviews heeft en een goede historie heeft.

3. Sterke wachtwoorden

Zoals tegenwoordig voor alle systemen geldt dit ook voor WordPress. Maak gebruik van sterke unieke wachtwoorden, bij voorkeur wachtwoorden welke je niet elders gebruikt. Dit kan gemakkelijk worden gedaan door een Password Manager zoals 1Password te gebruiken. Daarmee kan je voor iedere applicatie een uniek wachtwoord gebruiken. Wanneer je je wachtwoorden veel hergebruikt hoeft er maar 1 systeem te zijn waarin deze data lekt. Vaak worden dezelfde combinaties van e-mail en wachtwoord gebruikt. Daardoor kunnen hackers gelijk in meerdere systemen binnen komen.

4. Automatische Beveiligingsscans

Zorg voor een automatische scan van de bestanden van je website. Dit kan helpen om sneller op de hoogte te raken van eventuele hacks, of pogingen, die plaats vinden binnen je website. Dit kan gedaan worden middles WordPress beveiligingsplugins zoals Sucuri. Deze tools lopen alle bestanden binnen je project na en controleren deze op specifieke kenmerken van gehackte bestanden. Sommige daarvan bieden ook opties tot automatische opschoning.

5. Voorkom Brute Force aanvallen

Op WordPress websites worden regelmatig brute-force aanvallen afgevuurd. Dit zijn aanvallen waarin ze ongelimiteerd pogingen doen om ergens in te loggen. Hiervoor proberen ze een vaak gigantische lijst van veel voorkomende of gelekte gebruikersnamen en wachtwoorden. In de basis is dit ongelimiteerd en kunnen ze dit eindeloos proberen. Middels plugins kan dit worden beperkt tot een x aantal per tijdsperiode. Bijvoorbeeld 5 pogingen per uur. Bij overschrijding wordt de gebruiker tijdelijk geblokkeerd.

6. Voorkom geautomatiseerde kwetsbaarheden scans

Hackers gebruiken geautomatiseerde tools om websites te scannen op bekende kwetsbaarheden. Door deze scans te voorkomen, maak je het moeilijker voor hackers om zwakke punten te vinden. Om dit te voorkomen heb je twee opties. Of je kunt een 404 (niet-gevonden bestand) controle activeren en deze limiteren tot X aantal pogingen. Daarna wordt een gebruiker tijdelijk geblokkeerd. Daarmee moet je alleen oppassen dat je geen reguliere gebruikers blokkeert. Een andere optie is om dit op server niveau, via de hoster, op te lossen door op specifieke bestanden te controleren die hackers vaak uit proberen (zoals xmlrpc.php).

7. WordPress Tabel prefix wijzigen

WordPress-databases gebruiken standaard het tabelprefix “wp_”, wat het voor hackers eenvoudiger maakt om SQL-injectie-aanvallen uit te voeren. Door het standaardprefix te wijzigen, maak je het moeilijker voor hackers om je database aan te vallen. Dit kan door security plugins eenvoudig worden aangepast.

8. Regelmatige backups

Back-ups zijn essentieel voor de beveiliging van je website. Mocht er iets misgaan, dan kun je eenvoudig een recente versie van je site herstellen. Daarmee verlies je vaak wel wat data maar heb je altijd nog een reservekopie beschikbaar. Zo is de schade in ieder geval beperkt.

9. Hosting beveiliging

Naast de bovengenoemde aanpassingen binnen je WordPress website kan je via de hosting veel beveiligen.

Fail2Ban

Dit systeem detecteert en blokkeert IP-adressen die verdachte inlogpogingen of andere verzoeken doen. Het voorkomt brute force-aanvallen door IP’s tijdelijk te blokkeren.

ModSecurity

Dit is een Web Application Firewall (WAF) die veelvoorkomende aanvallen zoals SQL-injecties voorkomt. ModSecurity heeft uitgebreide sets aan regels beschikbaar waarop verzoeken gecontroleerd worden voordat ze je website bereiken.

DDoS-bescherming

Hostingproviders met DDoS-bescherming kunnen verkeer controleren en grote aanvallen filteren om je site operationeel te houden. Ook kan je gebruik maken van CloudFlare. CloudFlare kan voor je website worden geplaatst en biedt naar DDOS ook nog veel aanvullende beveiligingsopties.

Geautomatiseerde beveiligingsscans

Sommige hostingproviders bieden ook automatische beveiligingsscans om je site te monitoren op verdachte activiteiten. Daarnaast zijn er vaak scans beschikbaar die WordPress, plugins of thema’s controleren op openstaande kwetsbaarheden.