WordPress beveiligen hoe doe je dat? WordPress is ontzettend populair maar niet iedereen besteedt voldoende aandacht aan de beveiliging van zijn/haar WordPress-website. In deze blogpost geven we een aantal tips om WordPress veiliger te maken tegen hackers en voor uw bezoekers.
Uit onderzoek van wpscan.org blijkt dat de volgende elementen verantwoordelijk zijn voor beveiligingsproblemen bij WordPress-websites:
- 52% door WordPress plugins
- 37% door problemen met WordPress zelf (niet updaten)
- 11% door problemen met thema’s
Maakt dat WordPress een onveilig systeem? Nee maar met zoveel gebruikers is de kans natuurlijk wel een stuk groter dat er slecht onderhouden websites tussen zitten. U dient dus wel aandacht te besteden aan de beveiliging van uw website. In dit artikel noemen we een aantal punten waarop u de beveiliging van uw WordPress-website kunt verbeteren.
Beveilig het inlogproces met o.a. tweestapsverificatie
Regel 1 is natuurlijk een sterk wachtwoord maar er zijn meer zaken waar je rekening mee kunt houden. Zorg er bijvoorbeeld voor dat je gebruikersnaam niet ‘admin’ (of jouw eigen naam) is wanneer je als systeembeheerder inlogt. Op die manier moeten hackers achter zowel je gebruikersnaam als wachtwoord komen om via jouw account in te kunnen breken. Iets wat tegenwoordig erg populair is, is tweestapverificatie (two factor authentication). Hierbij laat je niet alles afhangen van je wachtwoord maar wordt er een extra check gedaan. Dat kan bijvoorbeeld door een bepaalde app te installeren op je telefoon (zoals Google Authenticator) maar het kan ook door een tekst-bericht met een code op te sturen via e-mail of sms. Mocht je wachtwoord ooit in verkeerde handen vallen dan kunnen kwaadwillenden toch nog niet inloggen (of je moet hetzelfde wachtwoord gebruiken voor je mail natuurlijk).
Gebruik betrouwbare plug-ins
Meer dan de helft van de beveiligingsdreigingen komen van WordPress plugins en 11% van gebruikte thema’s. Het is dus belangrijk om goed aandacht te besteden aan de plug-ins en thema’s die je gebruikt. Lees reviews en ga na hoe actief een plug-in wordt bijgehouden. Het is geen gegeven dat gratis plug-ins of thema’s onveiliger zijn dan betaalversies. Toch is de kans kleiner omdat er vaak een team werkt aan plug-ins in plaats dat iemand het hobby-matig heeft ontwikkeld maar de tijd niet heeft het actief bij te houden.
Bij thema’s ligt het soms iets anders aangezien er thema’s zijn die plug-ins gebruiken die verweven zijn met het thema. Dat betekent dat deze plug-ins niet automatisch een update krijgen maar dat de maken van het thema daarvoor moet zorgen. In de regel zal dat minder frequent gebeuren waardoor de kans groter is dat er een lek gebruikt kan worden door hackers. Thema’s die via WordPress.org worden aangeboden mogen niet op deze manier gebouwd zijn dus het kan in sommige gevallen zijn dat je op het gebied van veiligheid beter af bent met een gratis thema in combinatie met losse plug-ins.
Kies een goede hosting & back-up plan
Slechte hosting kan ook oorzaak zijn van kwetsbaarheden voor uw website. De beste oplossing is het hosten op een zogenoemde ‘dedicated server’ waar alleen uw website op draait. Nadeel is dat dergelijke servers vaak vele tientallen euro’s per maand kosten. Een hosting provider uitkiezen kan vrij lastig zijn omdat er heel veel factoren meespelen. Er zijn tools om de snelheid te meten van servers maar het is lastiger na te gaan hoe goed een server is beveiligd. Check bijvoorbeeld recensies en ervaringen van anderen om een beter beeld te krijgen.
Ga ook na wat hun back-up beleid is. Soms worden er wel back-ups gemaakt maar die kun je alleen terug laten zetten na een crash. Bij andere hostingproviders kun je zelf back-ups instellen en terugzetten. terwijl een ander ook de mogelijkheid biedt om zelf een back-up terug te zetten (als je zelf iets verkeerds hebt gedaan). Mocht jouw hosting-provider dat niet bieden dan kun je het altijd zelf toevoegen door middel van een back-up plug-in (maar daar zijn vaak wel weer kosten aan verbonden).
WordPress beveiligen door toegangsrechten te beperken
In WordPress kun je verschillende gebruikersrollen aanmaken. Zorg er ook voor dat je iemand niet standaard alle rechten geeft om geen onnodig risico te lopen. Zelfs als u de persoon volledig vertrouwd, kan zijn/haar account in handen vallen van iemand die niet te vertrouwen is en dan heeft die alle rechten. Heeft u in het verleden gebruikers aangemaakt die niet meer actueel zijn? Verwijder die accounts dan, u kunt altijd weer een nieuw account aanmaken indien nodig. Er zijn ook programma’s waarbij u per onderdeel kunt aangeven wat een gebruiker wel of niet mag indien de standaardrollen dit in onvoldoende mate bieden.
Naast permissies binnen WordPress dient u ook te letten op de toegangsrechten die u geeft op de mappen op uw server (niet alleen die van de FTP-map). Des te minder rechten iemand heeft des te minder schade men kan berokkenen.
Gebruik een SSL-certificaat
Een veilige WordPress website (of wat voor website dan ook) hoort tegenwoordig ook te zijn voorzien van een SSL-certificaat. Hiermee wordt de verbinding tussen uw bezoeker en uw website beveiligt tijdens het verzenden van gegevens. U kunt het herkennen aan het groene slotje in de adres-balk en de https in de url. Meer over SSL vindt u in onze eerdere SSL-blogpost.
WordPress updaten
Beveiliging is nooit klaar en er komen altijd weer nieuwe dreigingen uit. WordPress wordt zeer geregeld ge-update en daarbij worden natuurlijk ook nieuwe beveiligingspatches doorgevoerd. Zorg er dan ook voor dat u uw WordPress-installatie voorziet van deze updates.
Brute Force Protection
Bij een Brute Force Attack wordt er een spervuur van mogelijke gebruiker+wachtwoord variaties losgelaten op een website om toegang te verkrijgen. De aanvaller heeft dan een lijst met woorden die gebruikt worden in de combinaties. Onder deze woorden staan dan veel voorkomende wachtwoorden (1234, namen van huisdieren e.d.). Zo’n lijst kan wel een miljoen woorden bevatten en het uitproberen van alle combinaties kan weken duren. Door een unieke gebruikersnaam te kiezen i.p.v. ‘admin’ (zie punt 1) maakt u het dus nog moeilijker voor een Brute Force aanval. Er zijn nog meer verschillende manieren om bescherming te bieden tegen dergelijke aanvallen.
U kunt bijvoorbeeld het aantal login-pogingen beperken (bij 3x fout intypen volgt dan een afkoelperiode). Ook kunt u gebruik maken van de eerder besproken twee-staps autorisatie en/of een captcha toevoegen (van die testjes om te bewijzen dat u geen robot bent). In sommige beveiligings plug-ins kunt u ook aangeven dat iemand die een x-aantal keer probeert met de gebruikersnaam ‘admin’ in te loggen (standaard naam voor systeembeheerder in WordPress) die automatisch wordt geblokkeerd.
Wat doet Pario om WordPress te beveiligen?
- Standaard SSL-certificaat voor bedrijfswebsites
- Met name gebruik van premium-plug-ins die actief worden onderhouden door de programmeurs.
- Websites gebouwd op solide Genesis framework van StudioPress dat bekend staat om zijn veiligheid en snelheid.
- Professionele beveiligingsplug-in om zaken te regelen als tweestapsverificatie, captcha’s, brute force protection, malware scans etc.
- Dagelijks back-ups, ook op een externe locatie.
- WordPress en alle plug-insworden frequent ge-update.
- Pario verzorgt het technisch beheer waardoor de juiste toegangsrechten zijn ingesteld.