WordPress-jouw-site-beveiligen-basics-wat-moet-je-minimaal-doen

Jouw WordPress site beveiligen: wat moet je MINIMAAL doen?

Een belangrijk onderdeel van het bouwen van WordPress sites, is zorgen dat ze goed beveiligd zijn. Ik volg daarvoor o.a. Wordfence, die begin deze maand een video & lijst publiceerde met de zaken die je sowieso op orde moet hebben, om de minimaal nodige veiligheid te waarborgen. Daar hebben jullie vast wat aan, daarom hierbij de 11 dingen die je volgens Wordfence minimaal moet doen om je site te beveiligen.

  1. Kies een goede hostingmaatschappij

De meeste midden-en kleinbedrijven laten hun website draaien op een shared server, want dat is goedkoper. Wordfence waarschuwd daarin voor beginnende of kleine hostingproviders, omdat ze soms geen goede ‘account isolatie’ hanteren waardoor je besmet kunt raken door andere accounts op jouw shared server.

Dit komt dus niet vaak voor en kun je voorkomen door een hostingprovider te kiezen die al wat langer bestaat en een goede reputatie heeft. Mijn favoriete hostingmaatschappij is Antagonist. De hosting en service die ze bieden is écht goed en niet te duur, dus als je op zoek bent naar een aanbeveling van iemand die met 10+ hostingmaatschappijen heeft gewerkt voor klanten: this is mine.

  1. Installeer de nieuwste versie van WordPress en alleen het thema (en evt. child theme) en plugins die je nodig hebt. Download ze van betrouwbare bronnen

Er zitten kwetsbaarheden in oudere versies van WordPress, die openbaar zijn en dus makkelijk te exploiteren door hackers. De meest recente versie van WordPress vind je altijd op https://wordpress.org/download/.

Download je thema en plugins van een betrouwbare bron. Vanuit de WordPress repository of een betrouwbare marketplace zoals Envato. Wat sommige hackers doen, is een bestaande plugin nemen en een eigen versie met schadelijke code publiceren op een speciaal door hen gemaakte downloadsite. De site evenals de plugin kunnen er goed uitzien op het eerste gezicht, maar als je de plugin installeert op je site kan de hacker er direct in, via een achterdeur die hij in de plugin heeft ingebouwd. Vermijd dit risico door bovenstaand advies op te volgen.

  1. Hou alles up to date: de WordPress core, je thema’s en je plugins

Beveiliging is niet iets wat je eenmalig kunt inrichten in WordPress. Het is slim om jezelf een routine aan te leren om je site te updaten, log bijvoorbeeld elke week even in op vrijdag en voer de nodige updates uit. Wordfence stuurt je trouwens ook een mailtje als dingen geupdate moeten worden, of als er andere problemen zijn. Leer jezelf aan om op die alerts te reageren.

  1. Gebruik unieke, sterke wachtwoorden

Zéker je admin account (die ene met alle rechten voor je site). Gebruik geen passwords die je al eerder hebt gebruikt. Als een hacker ergens je password achterhaalt, dan is het eerste wat hij doet proberen met jouw e-mailadres en datzelfde wachtwoord in te loggen op andere diensten en sites. En gebruik sterke wachtwoorden, that is: meer dan 12 tekens met cijfers, hoofdletters en kleine letters én meerdere speciale tekens. Als je je wachtwoorden moeilijk kunt onthouden, maak dan bijvoorbeeld gebruik van een password manager als LastPass (gratis) of 1Password.

  1. Gebruik two-factor authentication (2FA)

Dit zorgt ervoor dat áls je password zou worden achterhaald (kleine kans als je bovenstaand advies opvolgt), er nog een extra laag beveiliging is. Je moet dan je identiteit bevestigen door bijv. te laten zien dat je in bezit bent van jouw mobiele telefoon, of toegang hebt tot jouw e-mailaccount. Ik gebruik momenteel Unloq, werkt goed & is niet moeilijk. En gratis.

  1. Verwijder eventuele ongebruikte accounts, geef alleen toegang aan mensen die echt toegang nodig hebben en geef hen niet meer toegang dan nodig

Mensen die alleen content aanpassen, hebben geen admin account nodig met alle privileges. Kijk naar de rol die iemand binnen het website beheer gaat spelen en geef enkel toegang tot de zaken die nodig zijn.

  1. Gebruik geen default accountnamen, zorg vooral dat je geen account hebt met gebruikersnaam ‘admin’

Brute force attacks komen vaak voor, waar een bot als een malle probeert in te loggen met verschillende gebruikersnamen en wachtwoorden. De eerste gebruikersnaam die een bot probeert? admin. Zorg er dus voor dat deze gebruikersnaam niet bestaat. Noem de admin account ook niet naar je site, mijn inlognaam zou dus ook niet iluzienl of iluzie moeten zijn. Verzin iets origineels.

  1. Draai backups

Stel dat je site tóch gehackt wordt, dan wil je natuurlijk een werkende versie van je site terug zetten. Zorg daarom dat je met regelmaat (elke dag) backups draait en dat je terug kunt gaan naar een versie van dagen of zelfs weken terug.

Draai backups via je hostingprovider of gebruik een backup plugin. Ik gebruik graag WP Time Capsule. Deze plugin draait gratis elke dag een backup die je extern kunt opslaan op bijv. Dropbox. Belangrijk is dat je je backups ook los van je website hebt opgeslagen namelijk, anders kan de hacker ook bij je backups en heb je misschien nog niks.

WP Time Capsule is trouwens incremental, dus draait alleen de eerste keer een volledige update en slaat daarna alleen gewijzigde bestanden opnieuw op. Dat bespaart bakken met dataverkeer en opslagruimte. Terugzetten kan tot 15 dagen terug.

  1. Laat automatische updates van minor WordPress versions (security releases) aan staan

Dit staat by default aan en is aanbevolen. Laat WordPress inderdaad de minor versions automatisch updaten, dan loop je geen risico om gehackt te worden op reeds bekende kwetsbaarheden in je verouderde WordPress subversie.

  1. Installeer een WordPress Firewall zoals Wordfence

Wordfence is mijn favoriete plugin als het aankomt op beveiliging. De gratis versie biedt o.a. automatische malware scans, een firewall, blokkeren van brute force attacks en e-mailalerts als er iets mis is.

De firewall zorgt ervoor dat je een extra laagje bescherming hebt tegen generic attacks, dus mocht er een kwetsbaarheid zitten, dan zorgt de firewall ervoor dat een aanval daarop in de meeste gevallen alsnog geblokkeerd worden.

  1. Doe malware scans

Voor de zekerheid doe je met regelmaat een malware scan. Mocht het iemand gelukt zijn malware te injecteren, ondanks je alle adviezen van hierboven hebt opgevolgd, dan kun je de malware op deze manier alsnog detecteren en actie ondernemen.

————————

Bovenstaande adviezen heb ik voor je op een rij gezet, maar zijn grotendeels afkomstig van WordFence. Aanbevelingen zijn uit eigen beweging, ik heb geen banden met de bedrijven die ik noem in deze post.

Loopt jouw bedrijf lekker en besteed je het monitoren en up to date houden van je site liever uit? Ik neem het met liefde voor je over. Neem contact met me op voor meer informatie.

 

Nieuwe blogposts in je mailbox ontvangen?

Misschien vind je dit ook interessant

Reageren