Home / Over ons / Nieuws / Nieuws / Week van de veiligheid (tip 3): 8 tips om je WordPress website te beveiligen

Week van de veiligheid (tip 3): 8 tips om je WordPress website te beveiligen

8 oktober 2014 - 00:00u - 6 minuten leestijd

WordPress is verreweg het meest populairste Content Management System dat bestaat. Gezegd wordt dat 1 op 5 nieuwe websites hiervan gebruik maakt. Vanwege de populariteit is het vanzelfsprekend dat dit ook een populair doelwit is voor internetcriminelen.

logo_weekvandeveiligheidWeek 41 (6 tot en met 12 oktober) staat jaarlijks in het teken van de nationale Week van de Veiligheid. Van oudsher richt de week zich op ondernemers, met als doel het thema preventie extra onder de aandacht te brengen. Zodat ook ondernemers hun eigen rol (blijven) pakken om criminaliteit tegen te gaan.

Meer info: http://www.hetccv.nl/dossiers/week-van-de-veiligheid/index

RealHosting kent als geen ander de gevaren op en rondom het internet. Daarom brengen wij in de Week van de Veiligheid iedere dag een interessant onderwerp aan bod.

Vandaag in de schijnwerpers: 8 tips om je WordPress website te beveiligen

WordPress website beveiligen

Met meer dan 80 miljoen websites wereldwijd (1 op de 5 websites) is WordPress verreweg het meest gebruikte Content Management Systeem dat er bestaat. WordPress heeft een marktaandeel van ongeveer 60% binnen de CMS-en.
Met zoveel gebruikers liggen er vanzelfsprekend ook enkele gevaren op de loer, daarom is het goed om WordPress (extra) te beveiligen.

Hieronder volgen een aantal tips om jouw WordPress website te beveiligen.

  1. Gebruik geen ‘admin’ of ‘administrator’ als loginnaam

    Bij een “bruteforce” (letterlijk: brute kracht – het forceren van de voordeur) aanval worden in sommige gevallen wel duizenden login pogingen per minuut uitgevoerd met als username ‘admin’ of ‘administrator’. Men probeert het wachtwoord (geautomatiseerd) te raden op basis van bijvoorbeeld het woordenboek.
    Gebruik daarom altijd een andere loginnaam, zoals bijvoorbeeld een combinatie van jouw voor- en achternaam.

    Let op, artikelen plaats je standaard onder deze gebruikersnaam. Pas daarom ook je ‘Schermnaam’ aan onder ‘Gebruikers’.

    Gebruik een eigen loginnaam
    Vervang de standaard loginnaam door bijvoorbeeld je eigen naam

  2. Update WordPress, thema’s en plug-ins

    Zorg er voor dat jouw WordPress Installatie altijd up to date is. Ook dien je ervoor te zorgen dat de geïnstalleerde thema’s en plug-ins up to date zijn. Zo ben je beschermd tegen (bekende) beveiligingsproblemen. Verwijder thema’s of plug-ins die je niet gebruikt. Verwijder ook test- en ontwikkelomgevingen als je ze niet actief gebruikt.

    Let op, zorg er wel voor dat de gebruikte WordPress versie overweg kan met het nieuwe thema of de nieuwe plug-in. Zorg dus altijd voor een goede back-up van je bestanden en database.

    Update WordPress, themas en plugins
    WordPress geeft aan wanneer er updates beschikbaar zijn

  3. Gebruik een sterk en uniek wachtwoord

    Gebruik een sterk (minimaal 8 tekens) en uniek wachtwoord, dat klinkt misschien vanzelfsprekend maar wordt vaak vergeten. Er zijn diverse hulpmiddelen online beschikbaar waarmee je wachtwoorden kunt genereren, een voorbeeld hiervan is: https://identitysafe.norton.com/password-generator/

  4. Pas de wp-admin URL aan

    Hackers proberen vaak jouw login pagina te benaderen door achter jouw domeinnaam /wp-admin.php te plaatsen. Dit is namelijk het standaard locatie die het login scherm toont. Het is raadzaam deze aan te passen naar een onbekende locatie.

    Er zijn handige security plug-ins beschikbaar die jou hierbij kunnen ondersteunen, voorbeelden zijn: iThemes Security en All In One WP Security & Firewall.

  5. Gebruik een eigen database prefix

    WordPress maakt gebruik van een database(koppeling). Nu kan het voorkomen dat er een lek gevonden is in jouw installatie, thema of plug-in waardoor er via een SQL-injectie een query kan worden uitgevoerd op de database.

    Bij een standaard installatie gebruikt WordPress de prefix ‘wp_’ dus de tabel ‘wp_users’ (logingegevens) is in dat geval dan makkelijk aan te roepen. Je kunt het hackers moeilijker maken door de standaard prefix aan te passen.

    Beveilig je database met een eigen prefix
    Voorbeeld van een aangepaste prefix in een overzicht met tabellen

  6. Aantal foutieve login pogingen minimaliseren

    Zoals eerder bij tip 1 besproken, worden er bij een bruteforce aanval wel enkele duizenden login pogingen per minuut gedaan. Omdat dit foutieve inlogpogingen zijn kun je een limiet op het aantal pogingen zetten.

    Er zijn handige security plug-ins beschikbaar die jou hierbij kunnen ondersteunen, voorbeelden zijn (op basis van populariteit): iThemes Security, Wordfence SecurityBulletProof Security en All In One WP Security & Firewall

  7. Rechten van bestanden en mappen

    Zorg ervoor dat de bestanden en mappen in jouw /httpdocs directory de juiste rechten hebben. Zorg er in ieder geval voor dat je deze rechten nooit op 777 zet (read, write, execute).

    Weet je niet hoe je dit kunt instellen dan is de meest logische stap een plugin te installeren zoals All In One WP Security & Firewall waarin je dat via een interface kunt instellen.

  8. robots.txt optimaliseren

    Zoekmachines als Google crawlen jouw website, zodoende is het mogelijk om te achterhalen welke thema’s en plugins je geïnstalleerd hebt. Omdat dit risicovolle informatie met zich mee kan brengen doe je er verstandig aan om in de /httpdocs directory een ‘robots.txt’ bestand te plaatsen met de volgende content:

    # global
    User-agent: *
    Disallow: /cgi-bin/
    Disallow: /wp-admin/
    Disallow: /wp-includes/
    Disallow: /wp-content/plugins/
    Disallow: /wp-content/cache/
    Disallow: /wp-content/themes/
    Disallow: /trackback/
    Disallow: /comments/
    Disallow: */trackback/
    Disallow: */comments/
    Disallow: wp-login.php
    Disallow: wp-signup.php
    

    Zo stel je in dat zoekmachine’s deze directory’s niet mogen indexeren.

    Bron: http://codex.wordpress.org/Search_Engine_Optimization_for_WordPress

Last but least: maak back-ups!

Het is mogelijk dat jouw website, ondanks alle inspanning toch gehackt wordt.
Maak daarom regelmatig back-ups van jouw bestanden en database(s) zodat er altijd een ‘wayback’ is.

Heb je naar aanleiding van dit artikel nog vragen? Neem dan contact op met onze servicedesk via servicedesk@realhosting.nl.

Dave Marketing manager

Dave is Marketing manager bij RealHosting. Hij verzorgt de (online) marketing en is betrokken bij nieuwe productontwikkelingen.

dave@realhosting.nl - 088-7508918

web-monitoring-ok