Niemand zit te wachten op een WordPress website die gehackt is en vaak gebeurt het door kleine onzorgvuldigheden die makkelijk voorkomen kunnen worden. In dit artikel vind je 9 tips om je WordPress website zonder plugin veiliger te maken.
Inhoudsopgave
Waarom je WordPress website beveiligen?
Laat ik vooropstellen dat WordPress veilig is. Waarom je dan toch regelmatig leest dat er WordPress websites gehackt worden? Dit komt in de meeste gevallen doordat website eigenaren laks zijn en hun website niet bijwerken. Ze voeren de noodzakelijke updates niet uit met alle gevolgen van dien.
Daarnaast is er onwetenheid bij de website eigenaar. Men weet vaak niet welke dingen men wel en niet moet doen op het gebied van beveiliging. In dit artikel lees je daarom 9 simpele oplossingen om je WordPress website veiliger te maken zonder dat je een plugin hoeft te gebruiken.
1 – Regelmatig updaten
Als je in de backend van WordPress inlogt zul je regelmatig zien dat er een update klaar staat. Deze updates staan er niet voor niks. Het betreffen soms updates met betrekking tot uitbreiding van de functionaliteit maar nog vaker zijn het updates die de website een stukje veiliger maken.
Wat moet er binnen WordPress geüpdatet worden?
- WordPress zelf, dit zijn de bronbestanden van het CMS
- WordPress thema’s, het gaat hier om het actieve thema maar ook de geïnstalleerde thema’s die niet actief zijn
- WordPress plugins, ook hier gaat het om de actieve en inactieve thema’s
Bijna elke week komt er wel een update voor één van de drie onderdelen uit. Ze zijn niet allemaal even kritiek maar zorg er voor dat je regelmatig inlogt en de updates uitvoert.
2 – Juiste gebruikersrollen toekennen
Binnen WordPress kun je verschillende gebruikers aanmaken en deze gebruiker een rol toekennen. De rol bepaalt wat een gebruiker wel en niet mag doen, het is daarom van belang om een gebruiker niet teveel autorisatie toe te kennen.
De gebruikersrollen binnen WordPress:
- Beheerder, met deze rol mag je alles binnen WordPress
- Redacteur, kunnen alle berichten beheren en publiceren, ook van anderen
- Auteur, kunnen alleen hun eigen berichten publiceren, beheren en bestanden uploaden
- Schrijver, kunnen een tekst op de website plaatsen maar geen afbeeldingen toevoegen en het artikel niet publiceren
- Abonnee, kunnen een reactie geven en reacties lezen voor de rest hebben ze geen mogelijkheid om iets te publiceren
3 – Vermijd gebruikersnaam admin
Bij een automatische installatie maakt WordPress standaard de gebruiker “admin” aan. Dit weten hackers ook en zij zullen als eerste deze gebruikersnaam in combinatie met verschillende wachtwoorden uitproberen om in de website te komen.
Zorg er dus altijd voor dat de gebruiker admin verwijderd wordt of maak deze niet aan.
4 – Forceer sterke wachtwoorden
Mensen kiezen voor wachtwoorden vaak de makkelijkste weg en kiezen voor een makkelijk te onthouden wachtwoord of een wachtwoord dat makkelijk in te tikken is. Het gevaar van deze zogenaamde zwakke wachtwoorden is dat veel mensen deze gebruiken en dat hackers deze wachtwoorden als eerste gebruiken om ergens in te komen.
De meest gebruikte wachtwoorden in Nederland vind je in het staatje hieronder(staat jouw wachtwoord er ook bij? 😉 )
Om dit te voorkomen kun je altijd gebruik maken van een sterk wachtwoord. Een sterk wachtwoord bestaat uit meer dan 12 karakters, gebruikt hood- en kleine letters en tekens en getallen. Bij voorkeur gebruik je het wachtwoord op slechts één plaats.
Het makkelijkste is om hier een wachtwoord generator voor te gebruiken. Zo ben je er zeker van je wachtwoord sterk en uniek is.
5 – Ruim thema’s en plugins die je niet gebruikt op
Zoals je bij punt 1 hebt kunnen lezen moet je WordPress thema’s en plugins regelmatig bijwerken. Ook degene die niet actief zijn. Het is daarom veiliger om thema’s en plugins die je niet meer gebruikt te verwijderen. Hiermee voorkom je dat je het vergeet met alle mogelijke consequenties van dien.
6 – Maak regelmatig een backup van je website
Dit is een tip die je website niet direct veiliger maakt maar er wel voor zorgt dat als er iets met je website gebeurt, je in ieder geval je website kan herstellen. Een backup kun je via je webhoster laten maken of zelf via het controle paneel van je website.
7 – Schakel bewerken thema’s en plugins uit
Standaard kunnen WordPress beheerders via het WordPress dashboard themes en plugins bewerken. Dit levert potentieel gevaar op als een beheerder bijvoorbeeld een fout maakt tijdens het bewerken. Maar nog erger is het als kwaadwillenden toegang tot de website krijgen en via deze optie scripts aan de website toevoegen.
Schakel deze mogelijkheid daarom uit. Dit kan eenvoudig door een aanpassing in het WordPress configuratie bestand te maken. Het bestand wp-config.php kun je makkelijk met een FTP cliënt bewerken.
8 – Stop de toegang op je wp-config.php bestand
Het wp-config.php bestand is het bestand waar WordPress alle configuratie gegevens in plaatst. Zo staat er bijvoorbeeld gevoelige data over de database inclusief het wachtwoord in. Als dit in verkeerde handen valt, is de schade niet te overzien,
Een eenvoudig, doeltreffende oplossing is om de toegang tot dit bestand voor buitenstaanders af te schermen. Dit doe je door enkele regels aan je .htaccess bestand in de root van je website te plaatsen.
Het rode blok voeg je in het .htaccess bestand voor </IfModule> in.
9 – Schakel directory bekijken uit
De meeste providers stellen dit uit zichzelf al goed in maar bij sommige providers is de mogelijkheid om de directory structuur van je website in de browser te bekijken niet uitgeschakeld. Voor hackers is dit heerlijk, zij kunnen precies zien hoe je website in elkaar zit en daarmee zichzelf makkelijk toegang tot de website verschaffen.
De mogelijkheid is eenvoudig uit te schakelen door onderstaand stukje code aan je .htaccess file toe te voegen. Doe dit ook weer in het bestand in de root van je website en voor het </IfModule> statement.
WordPress website beveiligen zonder plugin
Zoals je hebt kunnen lezen kun je je WordPress website met een paar eenvoudige aanpassingen al een stuk veiliger maken. Het is trouwens aan te raden om een backup te maken voordat je een wijziging doorvoert zo kun je altijd terugvallen mocht er iets niet goed gaan.