Is WordPress wel veilig ?
Bijna 1/3de van de websites wereldwijd draait op WordPress. Dit heeft tal van voordelen, maar natuurlijk ook een aantal nadelen.
Eén van de nadelen is toch wel dat hackers het heel interessant vinden om op zoek te gaan naar lekken, (in WordPress en plugins) waarmee malware kan verspreid worden.
Nu vraag je je natuurlijk af waarom zou een hacker in Godsnaam mijn website willen hacken. Een website met slechts enkele tientallen bezoekers per dag ?
Hackers zijn niet altijd op zoek naar websites met veel verkeer. Ze gebruiken jouw website om via jouw server spam rond te mailen. Op die manier kan het zover komen dat Google het IP-adres van jou server op een blacklist zet. Hierdoor zullen ook jouw normale nieuwsbrieven bij mensen in de spambox terecht komen.
Via welke weg vinden de meeste hacks plaats ?
41% via de hosting
29% onveilige thema’s
22% onveilige plugins
8% door gebruik zwak wachtwoord
Meer informatie hierover vind je op volgende website :
https://www.wpwhitesecurity.com/state-of-security-of-wordpress-blogs-and-websites/
Om je website zo veilig mogelijk te houden is het van groot belang dat je je website beveiligt tegen ongewenste indringers.
Dit zijn de 3 soorten beveiliging die je website nodig heeft :
- Beveiliging : Bescherm je site, door beveiligingssoftware, veilige paswoorden, https,…
- Detectie: Ondanks alle beveiliging kan het toch mogelijk zijn dat een hacker je website heeft gehackt. Er wordt soms een verborgen code geplaatst in je website. Zonder detectie kom je er dus niet snel achter. Scan dus regelmatig je WordPress website.
- Herstel: Maak regelmatig backups, zodat je deze kan terugplaatsen wanneer je website gehackt is.
In dit artikel vind je enkele maatregelen die je kan nemen om je website te beveiligen. Een deel ervan zijn gemakkelijk door je zelf te doen, andere kan je best door je websitebouwer laten doen.
Inhoudsopgave:
1. Kies een goede webhosting
2. Kies een goede gebruikersnaam en wachtwoord
3. Beheer je gebruikers
4. Limiteer het aantal loginpogingen
5. Maak gebruik van twee-factor-authenticatie
6. Verander de standaard loginpagina van WordPress
7. Download je plugins van de officiële pagina
8. Installeer een beveiligingsplugin
9. Maak regelmatig een backup van je website
10. Kies voor HTTPS
11. Hou je site proper
12. Controle van gevoelige informatie
13. Haal je WordPress beveiligingssleutels
14. Wijzig de naam van de prefix van de database
15. WP-config.php
16. Verberg versie-info van je wordpress installatie
17. Laat zoekmachines (bots) niet door uw mappen bladeren
18. Gebruikersregistratie uitschakelen
19. Zorg ervoor dat je bestandsrechten juist staan
20. Het .htacces-bestand
21. Gebruik de nieuwste Php-versie
1. Kies een goede webhosting
Vooraleer je je domein gaat reserveren en je hostingabonnement neemt, controleer of je webhosting aan volgende voorwaarden voldoet :
Heeft de hosting een malware- en virus scanner ?
Worden er SSL-certificaten aangeboden ?
Is Ddos beveiliging actief ?
Worden de laatste versies van Php en MySql ondersteun?
Worden er WordPress hosting pakketten aangeboden ? Is de server geoptimaliseerd voor WordPress?
Worden er automatisch backups gemaakt ?
Is de hostingmaatschappij proactief in het voorkomen en oplossen van beveiligingsproblemen ?
Maakt de hostingprovider gebruik van een firewall?
Vimexx is hierin een zeer goede partner!
2. Kies een goede gebruikersnaam en wachtwoord
Verwijder de admin-login. De standaard adminlogin en -rechten zijn een gemakkelijk doelwit voor hackers. U moet dit gebruikersaccount meteen verwijderen.
Hoe doe je dit?
Login met het admin-account.
Maak een nieuwe gebruiker aan met admin-privileges.
Login met de nieuwe gebruikersnaam en verwijder het admin-account.
Kies een goed wachtwoord.
Je kiest best een wachtwoord van minimum 8 karakters. Zorg ervoor dat je paswoord zowel cijfers, letters als andere tekens bevat.
Je kan ook opteren voor een lange zin als paswoord.
Heb je moeite om je paswoorden te onthouden, maak gebruik van LastPass.
Je kan LastPass hier downloaden : https://www.lastpass.com/nl
Wanneer je LastPass gebruikt hoef jij slechts één paswoord te onthouden, nl. het paswoord van LastPass zelf. De overige paswoorden worden door het programma onthouden.
3. Beheer je gebruikers
Het heeft niet veel zin als jij een sterke login en paswoord gebruikt, als andere gebruikers van je website dit niet doen.
Hoeveel te meer gebruikers met admin-toegang, hoe meer kans dat je website gehackt wordt. Geef enkel die personen die het nodig hebben admin-toegang.
Zorg er tevens voor dat ze sterke logins en paswoorden gebruiken. Vergeet niet gegevens bij te werken of gebruikers te verwijderne wanneer ze de firma verlaten.
4. Limiteer het aantal loginpogingen
Je kan het aantal keren dat je kan proberen om in te loggen limiteren. Dit maakt het voor indringers een stuk moeilijker om je site te hacken via je login en/of paswoord.
Je kan dit via onderstaande plugins instellen.
Login Lock-down : https://nl.wordpress.org/plugins/login-lockdown/
Wp-cerber : https://wordpress.org/plugins/wp-cerber/
Sucuri : https://sucuri.net/
5. Maak gebruik van Twee-factor-authenticatie
Maak ook gebruik van Twee-factor authenticatie. Je hebt dan een wachtwoord nodig en een token of code.
Deze beveiliging wordt ook aangeboden door Wordfence.
Je kan dan Google Authenticator op je smarthpone downloaden. Telkens je inlogt op je WordPress website, zal de website vragen naar een code. Deze verkrijg je dan via de Google Authenticator-app op je smartphone.
Het nadeel is dat je telkens je inlogt je smartphone erbij moet nemen om de code in te geven. Het is natuurlijk wel een goede extra beveiliging.
Wordfence : https://nl.wordpress.org/plugins/wordfence/
6. Verander de standaard loginpagina van WordPress
De standaard loginpagina van WordPress is uwwebsite.be/wp-admin
Dit weten bots en hackers natuurlijk ook.
Via de plugin https://wordpress.org/plugins/wps-hide-login/ kan je de loginurl wijzigen.
Kies iets unieks en niet zoiets als loginpagina, login, admin,….
7. Download je plugins van de officiële pagina
Plugins en thema’s gedownload via een willekeurige site kunnen besmet zijn met malware.
Een recente studie toont aan dat 8 van de 10 “gratis wordpress-themas’s” malware in hun code hebben.
Download daarom de thema’s en plugins via WordPress (wordpress.org) zelf of via de officiële pagina van de producent.
Hou WordPress, je thema en al je plugins steeds up-to-date!
8. Installeer een beveiligingsplugin
Om je website te beveiligen tegen ongewenste indringers is het zeker een goede zaak om een beveiligingsplugin te installeren.
Deze bieden een firewall aan, malware- en virusscanners, en houden je op de hoogte wanneer een plugin een update nodig heeft.
Enkele voorbeelden van beveiligingsplugins :
Sucuri: https://sucuri.net/
Wordfence: https://nl.wordpress.org/plugins/wordfence/
Deze plugins hebben een gratis versie, maar ook een betalende versie met meer mogelijkheden.
9. Maak regelmatig een backup van je website
Hier bestaan verschillende plugins voor :
UpdraftPlus : https://updraftplus.com/
VaultPress : https://vaultpress.com/
BlogVault : https://blogvault.net/
BackWpUp : https://backwpup.com/
Via versio en Vimexx wordt er automatisch dagelijks een backup genomen.
10. Kies voor HTTPS
Installeer een SSL-certificaat op je website. Hierdoor worden alle gegevens die verstuurd worden tussen de browser van de gebruiker en de website versleuteld.
Meer informatie over het installeren van een SSL-certificaat lees je in volgend artikel : Een SSL-certificaat installeren op je website
11. Hou je site proper
Naast het updaten van WordPress, je thema en je plugins zijn er nog een aantal zaken waar je rekening mee moet houden.
Oude thema’s en plugins die je niet meer gebruikt, vooral als ze niet meer zijn geüpdated, zorgen voor een groot beveiligingsprobleem.
Je kan deze beter volledig verwijderen.
12. Controle van gevoelige informatie
Bekijk of je geen gevoelige informatie achterlaat voor de hele wereld.
De readme.html file vertelt op welke versie van WordPress je website loopt. Als je website op een oudere versie loopt, met een bekend beveiligingslek, zullen hackers je website vinden.
Wil je weten of je readme.html file nog op je server staat ?
geef volgende in : jedomeinnaam.be/readme.html
Indien je onderstaand scherm krijgt, staat de file nog op je server. Maak er werk van om deze van je server te verwijderen.
Ook de phpinfo.php of i.php bestanden kunnen een hacker alles vertellen over uw installatie.
Laat ook geen SQL-backupbestanden achter op je server. Als een hacker je hele database kan downloaden beschikt hij over alle logins en paswoorden.
Weet je niet waar je al deze bestanden kan vinden? Laat dit dan uitvoeren door je websitebouwer.
13. Haal je WordPress beveiligingssleutels
WordPress heeft gecodeerde beveiligingssleutels geïmporteerd voor informatie die is opgeslagen in uw cookies.
Surf naar volgende website : https://api.wordpress.org/secret-key/1.1/salt
Klik refresh.
Deze code kopieer je en plaats je in je wp-config.php file.
14. Wijzig de naam van de prefix van de database
Standaard gebruiken wordpress installaties de prefix wp_. Dit maakt het hackers wel heel gemakkelijk. Wijzig deze prefix daarom in iets unieks.
Als je begint met een nieuwe installatie heb je tijdens het installatiescherm de optie om de database prefix wijzigen. Standaard gebruiken de wordpress installaties de prefix wp_.
Doe dit enkel wanneer je nog moet beginnen met de installatie van je WordPress website. Indien je dit doet met een website die al online staat, is de kans groot dat je website niet meer gaat werken!
15. WP-config.php
Het wp-config.php bestand bevat al je wordpress database inloggevens. Het is dus maar beter dat een hacker deze gegevens niet in handen krijgt.
Je kan daarom je wp-config.php file beveiligen door in het .htaccess-bestand volgende code te plaatsen :
<files wp-config.php>
order allow, deny
deny from all
</files>
Een andere methode die je kan toepassen om je wp-config.php te beveiligen is het bestand één map omhoog te verplaatsen op je server. Je wp-config.php bestand staat dan niet meer in de rootmap waar ook je wp-admin, wp-content,… staan, maar juist in de map waarin je de rootmap vindt.
16. Verberg versie-info van je wordpress installatie
Verberg welke versie van WordPress je gebruikt, dit om te vermijden dat bots je website crawlen.
In je functions.php bestand voeg je volgende code toe :
function wp_version_remove_version() {
return ”;
}
add_filter(’the_generator’, ‘wp_version_remove_version’);
17. Laat zoekmachines (bots) niet door uw mappen bladeren
Google kan ongewenste url’s crawlen en blootstellen aan hackers. Via robots.txt kan u er voor zorgen dat deze bots enkel de content van je website crawlen.
User-agent: *
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-
18. Gebruikersregistratie uitschakelen
Schakel in de admin gebruikersregistratie uit. Zo kan niemand zich registreren voor je wordpress website.
19. Zorg ervoor dat je bestandsrechten juist staan
De bestandsrechten van je bestanden moeten standaard op 644 staan. De bestandsrechten kun je aanpassen door in te loggen via FTP. Het best is om ze als volgt te zetten :
- root website 755
- wp-admin 755
- wp-content 755
- wp-includes 755
- .htaccess 644
- readme.html 400 (of nog beter: verwijderen!)
- wp-config.php 644
- wp-admin/index.php 644
- wp-admin/.htaccess 644
Wat zijn nu eigenlijk de bestandsrechten ?
In de bestandsrechten geef je aan welke rechten jij en andere moeten hebben als ze een bestand opvragen. Je kan van ieder bestand bepalen welke rechten ze moeten hebben.
Zorg ervoor dat de bestanden zeker niet op 777 staan! Hieronder meer uitleg.
Wanneer je met een ftp-programma de rechten van bestanden aan wil passen, gebruik je meestal volgende getallen :
Lezen = 4
Schrijven = 2
Uitvoeren = 1
Door deze getallen op te tellen worden er andere rechten ingesteld. Het getal 6 staat voor lezen en schrijven. Het getal 7 staat voor lezen, schrijven en uitvoeren.
Elke bestand heeft 3 getallen die gezamenlijk de rechten bepalen :
- eerste getal staat voor de eigenaar van de website
- Het 2de getal voor de mensen op dezelfde server.
- Het 3de getal geldt voor iedereen in de wereld. D.w.z. iedereen die het bestand via jouw website benadert.
De meeste bestanden horen op 755 te staan. Jij als eigenaar hebt lees-, schrijf- en uitvoerrechten. De overige hebben enkel lees- en uitvoerrechten.
Je kunt de bestandsrechten aanpassen met een fpt-client zoals Filezilla.
Om Filezilla te downloaden, ga naar volgende link : https://filezilla-project.org/download.php?type=client
Hoe bestandsrechten aanpassen via Filezilla ?
Zoek het bestand op waarvan je de bestandsrechten wil aanpassen.
Klik met de rechtermuisknop op het bestand.
Er opent zich een nieuw scherm “bestandsattributen wijzigen”.
Je kan hier de bestandsrechten wijzigen door een vinkje te zetten bij lezen, schrijven en uitvoeren en dit voor de verschillende groepen.
Wanneer je de vinkjes hebt geplaats verschijnt onderaan de numerieke waarde zoals boven besproken.
20. Het .htacces-bestand
ook met het .htaccess-bestand kun je je wordpress-website beter beveiligen.
De onderstaande code zorgt ervoor dat alleen een bepaald IP-adres de WP-admin kan bereiken. Hiervoor moet je een apart .htaccess-bestand maken en deze uploaden naar de wp-admin-folder
order allow,deny
allow from 198.51.100.2
deny from all
Vervang het IP-adres hierboven met je eigen IP-adres.
Hoe kom je te weten wat jouw IP-adres is ?
Surf naar https://watismijnip.be/
Op deze pagina zie je je IP-adres.
21. Gebruik de nieuwste Php-versie
Php maakt een belangrijk onderdeel uit van je WordPress website. Het is dan ook van groot belang dat de recenste versie van PHP draait op je de server.
Een versie van php wordt meestal gedurende 2 jaar na de release ondersteund. Gedurende die twee jaar worden dus bugs of beveiligingsproblemen opgelost. Wanneer u werkt met oudere PHP-versies is die ondersteuning er niet meer en wordt u website dus blootgesteld aan beveiligingslekken.
Hoe kan u zien welke PHP-versie er draait op uw server ?
Ga naar DirectAdmin => Advanced Features > Select Php version
Daar staat de versie die draait op uw server.
Wanneer je bovenstaande maatregelen toepast op je WordPress website is het risico op een hack al veel kleiner. Sommige maatregelen kan je zelf ondernemen, andere laat je best door je websitebouwer uitvoeren.
Ken je nog andere beveiligingsmaatregelen ? Laat het me weten in de commentaren.
Delen van het artikel wordt ten zeerste geapprecieerd !