WordPress is een populair doelwit voor hackers en andere kwaadwillende. In april van dit jaar (2013) werd bijvoorbeeld bekend dat een botnet van 90.000 geïnfecteerde computers WordPress sites aan het aanvallen was.

In dit artikel leggen we u uit hoe u een WordPress website zodanig beveiligt dat bijvoorbeeld een botnet de website niet succesvol aanvalt en overneemt.

Maak het ze niet TE makkelijk!

De ervaring leert ons dat mensen nog regelmatig gebruik maken van te makkelijk te raden gebruikersnamen en wachtwoorden, denk hierbij aan combinaties als “admin/pass”, “beheerder/welkom”, “1234/5678” en zelfs “admin/wachtwoord”.

Voor kwaadwillende is het vrij simpel om deze simpele en/of automatisch gegeneerde combinaties te raden. Verzin daarom altijd een unieke gebruikersnaam voor het beheerders-account en een wachtwoord van gemiddeld 6 tot 8 karakters dat bestaat uit symbolen, cijfers, letters en hoofdletters.

Update alles!

WordPress is open-source en dat heeft zo zijn voor èn nadelen. Het is voor kwaadwillende namelijk erg gemakkelijk om in de code te zoeken naar zogeheten exploits (kwetsbaarheden) die ze kunnen gebruiken om een website volledig over te nemen.

De keerzijde hiervan is dat er door het open-source beleid regelmatig updates uitkomen die deze kwetsbaarheden oplossen. U raad het al; het is dus enorm belangrijk om deze meteen te installeren!

Wat betreft plugins is het updaten in sommige gevallen niet zo simpel; we zien namelijk erg vaak dat ontwikkelaars bestaande plugins naar wens aanpassen. Op zich is dat prima, maar het bijkomende probleem hierbij is dat de bewerkte plugins vaak niet meer ge-update kunnen worden zonder dat de bewerking verloren gaat.

Bij plugins is het dus altijd belangrijk om na te gaan of er wat aangepast is en zo niet kunt u zonder problemen updaten.

Wij raden u wel aan om altijd te controleren of een update geen invloed heeft op de werking van uw systeem (het is bijvoorbeeld mogelijk dat de functies van een plugin volledig veranderen).

Beveiligings-plugins

Er zijn talloze beveiligings-plugins voor WordPress. Wij geven de voorkeur aan iThemes Security, waarmee u meteen een aantal krachtige beveiligings-tools tot uw beschikking krijgt. Zit er een lek in WordPress, geen probleem want iThemes Security beveiligd ook de lekken. Maar blijf uw WordPress updaten.

Met iThemes Security is het bijvoorbeeld mogelijk om de URL naar het inlog-formulier te veranderen, waardoor het voor hackers moeilijker word om te proberen in te loggen. Ook kunt u de URL naar thema bestanden aanpassen, zodat hackers bestanden moeilijker kunnen vinden. En is het mogelijk om back-ups te maken van een database, zodat u de website snel kunt herstellen, mocht er toch wat fout gaan.

Voor een volledig overzicht van iThemes Security’s functies verwijzen wij u naar de plugin pagina.

Conclusie en tips

Zoals u ziet hoeft u dus maar een paar stappen te nemen om een WordPress site goed te beveiligen, en dat is wel zo fijn als u lekker met een cocktail op het strand zorgeloos een artikel wilt toevoegen aan uw blogpagina. Natuurlijk zijn er nog meer mogelijkheden om een WordPress website te beveiligen, een aantal daarvan hebben we hieronder opgesomd:

• Maakt gebruik van een veilige hosting
• Verberg gebruikersnamen waar mogelijk
• Gebruik nooit ‘Admin’ als gebruikersnaam
• Limiteer het aantal mogelijke log-in pogingen
• Zet de file editor van WordPress uit
• Vermijd gratis thema’s
• Zorg altijd dat er een back-up is
• Bescherm het “wp-config.php” bestand
• Verberg de WordPress versie

Zoals u dus ziet zijn er tal van mogelijkheden om een WordPress website te beveiligen. Wilt u meer weten over de beveiliging van WordPress en wat Freshned daarin kan beteken voor u, dan kunt u altijd contact met ons opnemen.