WordPress beveiligen tegen hackers (Security tips)


Kun je WordPress beveiligen tegen hackers en tegen allerlei aanvallen van buitenaf. Ja, dat kan, echter is geen enkele website 100% beveiligd, het hangt volledig af van de software die wordt gebruikt en de kennis van de mens.

In deze instructie geven we een aantal tips voor “security plugins” voor WordPress en aantal alternatieven die u kunt gebruiken om uw website optimaal te beveiligen tegen aanvallen en mogelijke andere problemen die zich voordoen op uw WordPress website.

WordPress beveiligen tegen hackers (Security tips)

Tip 1 – Gebruik backups

Geen enkele website is 100% dicht, geen enkel mens maakt geen fouten. Mocht er ooit iets misgaan met uw website dan kunt u altijd terug naar een backup. De meeste hosting bedrijven maken backups van hun public_html folders en de database.

Heeft u dus een probleem met uw website en wilt u een backup terugzetten, vraag dan advies bij uw hosting provider.

Er bestaan echter ook WordPress plugins die een automatische backup voor u kunnen instellen. Hieronder een lijst van WordPress Backup plugin’s.

  1. BackupBuddy
  2. UpdraftPlus
  3. BackWPup
  4. BackupWordPress
  5. Duplicator (ook bedoeld voor Backups)
  6. WP-DB-Backup
  7. VaultPress

Een backup is altijd de basis voor een goed beveiligde website. Al heeft een backup op zich niets van doen met website beveiliging, het is altijd handig om bij problemen terug te kunnen naar een backup!

Tip 2 – Wordpress security plugins (beveiliging plugins)

WordPress Security Plugins, ze bestaan en zijn nog eens erg handig ook. Je moet wel enig zins verstand hebben van websites en aanverwante techniek, helaas. De meeste plugins gebruiken termen als htaccess, rewrite rules, etc.

Is een WordPress Security plugin nodig? Persoonlijk vind ik ze nodig, ze kunnen een hele hoop ellende op voorhand stoppen. Tegenwoordig zie je veel dat als de websites geen echte fouten meer bevatten, dat Hackers de gebruikers account gaan brute force’n.

Dat wil zeggen dat ze constant met een nieuw wachtwoord combinatie het wachtwoord proberen te raden van een standaard user of een ander WordPress gebruikers account. WordPress Security plugins kunnen deze techniek o.a. stoppen. Dat scheelt al een hoop. Als een hacker er niet in slaagt om dit soort aanvallen in te zetten gaan ze over het algemeen weg.

WordPress Security Plugins kunnen ook het lekken van versie informatie voorkomen. Wist u dat WordPress bepaalde bestanden en code achter laat die uw huidige WordPress versie en plugin versie verklappen?

Versie informatie kan een voor een hacker waardevolle informatie zijn, deze informatie kan men gebruiken om er oude plugin’s zijn geïnstalleerd en deze misbruiken om zo toegang tot de server te krijgen (in het ergste geval).

Hieronder een lijst van WordPress Security Plugin’s.

  1. All In One WP Security & Firewall
  2. iThemes Security plugin
  3. Wordfence Security
  4. Sucuri Security plugin
  5. WP Antivirus site protection plugin
  6. Brute Force Login protection plugin
  7. Bulletproof Security plugin
  8. WP Security Ninja plugin
  9. Acunetix WP Security

Tip 3 – WAF (Web Application Firewall)

Een web application firewall is een laag voor de toegang van uw website. Door via de WAF het HTTP-verkeer te inspecteren, kan het voorkomen dat aanvallen voortkomen uit beveiligingsfouten van web applicaties, zoals SQL-injectie, cross-site scripting (XSS) en foute configuraties.

Deze firewall’s kunnen onbekende problemen stoppen. Als er bijvoorbeeld geen SQL injectie mogelijk is, en een op uw server geïnstalleerde web applicatie bevat een SQLi fout, dan zal de WAF deze nog onbekende aanval stoppen.

Het is dus mogelijk om met een WAF een 0-day fout in een applicatie op voorhand te stoppen. Dit is vooral handig voor grote website, met veel verkeer en een hoge ranking. Persoonlijk denk ik niet dat een particulier met een standaard WordPress site die een stukje beveiliging zoekt hier echt voordeel uit haalt.

Een bekende WAF firewall (OWASP) en een CDN in 1 is CloudFlare. CloudFlare bevat een WAF firewall met OWASP rules (Google er eens op :-)) en een CDN in 1 pakket. Het premium pakket weliswaar, maar dat kost nog niks tegen over een echt sterke WAF laag voor uw website.

Tip 4 – Algemene WordPress beveiliging tips

Er zijn algemene tips voor iedere WordPress gebruiker, afgezien van kennis, plugins en techniek. De techniek kan een hoop voorkomen, maar de echte uiteindelijke problemen liggen vaak bij de mens.

  1. Gebruik sterke wachtwoorden voor uw beheerder account. Gebruik 12 karakters, kleine en grote letters en speciale tekens. Kunt u zelf niet op een goed wachtwoord komen? Gebruik dan een wachtwoord generator.
  2. Houdt WordPress en de geïnstalleerde plugins ten alle tijden up to date. Als u te laat bent met het installeren van nieuwe versies, dan loopt u het risico een beveiligingslek te hebben op uw website. Het beste is om het automatisch installeren van plugins en nieuwe WordPress versies in te stellen.
  3. Verwijder oude plugins die u niet gebruikt. Simpel, weg ermee.
  4. Download en installeer alleen plugins die recent geüpdatet zijn. Als u een plugin al 2 jaar niet is geüpdatet is het maar de vraag of deze werkt en of deze geen fouten bevat.
  5. Gebruik niet de gebruikersnaam: admin. Gewoon niet, dit voorkomt een hoop problemen. Hackers brute force’n altijd als eerste het admin account.
  6. Installeer 2 factor authenticatie plugins. Hiermee kunt u een 2 staps authenticatie instellen, mocht iemand dan toch toegang krijgen tot uw website login gegevens dan krijgt u een SMS of email en kan men alsnog niet inloggen.
  7. Houd uw computer up to date. Ja uw computer. Als hackers via een backdoor of andere manier toegang krijgen tot uw computer en uw website favorieten uitlezen, dan zullen ze het niet laten om te kijken of ze bij uw website kunnen inloggen. U heeft automatisch aanvullen van inlog gegevens toch niet aanstaan? Of wel, juist. Daarom.




Laat een bericht achter, we horen graag van u.