Maak jouw WordPress website ondoordringbaar

25 mei 2020

Maak jouw WordPress website ondoordringbaar

WordPress is een veel gebruikt systeem. Daarom is het ook een geliefd systeem voor hackers. Doordat WordPress zoveel gebruikers heeft, kunnen ze op een simpele manier snel schade aanrichten aan zo veel mogelijk websites. Natuurlijk wil je niet dat jouw website of webshop slachtoffer wordt van een aanval.

Is WordPress dan niet veilig? Het is een relatief veilig platform, maar er zijn wel een paar mogelijkheden voor lekken. iXL geeft een paar tips om jouw WordPress-site met wat simpele trucs beter te beveiligen.

Investeren in veilige hosting

Het begint al met het zoeken naar hosting. Het is zaak te investeren in veilige hosting. Daarmee bedoelen we een hostingbedrijf die de beveiliging op orde heeft en je ook kan helpen met het beveiligen van je WordPress. Bij iXL nemen we de veiligheid van onze klanten erg serieus.

Een goed hostingbedrijf werkt er steeds aan om de veiligheid te verbeteren. Het kan dan ook een goed idee zijn te kiezen voor managed hosting. Dit is een vorm van hosting waarbij iXL het onderhoud van de server doet. Dit is vooral handig voor mensen die graag willen bloggen en een website of webshop willen beheren, zonder daar de technische lasten van te hebben. Vaak is managed hosting iets kostbaarder, maar voor die paar euro’s wil je waarschijnlijk echt niet zelf systeembeheerder worden.

Nieuwe versies gebruiken

Gebruik altijd de nieuwste versies. Niet alleen van WordPress zelf, en de bijbehorende plugins en thema’s, maar ook van bijvoorbeeld PHP. Uit onderzoek blijkt dat 77,5 procent van alle WordPress-gebruikers nog steeds werkt met een oude versie van PHP. Dat is een potentieel beveiligingsrisico.

Het up-to-date houden van je server en WordPress draagt bij aan een grotere veiligheid. Bij iedere update worden er namelijk beveiligingslekken gedicht. Vaak zijn dat hele kleine lekken, maar soms zijn deze cruciaal.

Slimme gebruikersnamen en wachtwoorden

Probeer slimme gebruikersnamen en wachtwoorden te gebruiken. Je kunt bijvoorbeeld beter niet de naam ‘admin’ gebruiken om mee in te loggen. Gebruik liever je eigen naam of een verzonnen naam. Hackers kunnen namelijk proberen je WordPress te bruteforcen. Bij bruteforcing gaat een systeem van woorden en letters net zo lang door met het raden van je naam en wachtwoord, totdat een hacker beet heeft en kan indringen. Met de gebruikersnaam ‘admin’ is het eerste gedeelte van het bruteforcen zo gepiept.

Het is schrikbarend, maar de meeste mensen gebruiken nog steeds ‘123456’ of ‘qwerty’ als wachtwoord. Dat zijn geen slimme wachtwoorden: deze wachtwoorden worden juist het vaakst gehackt en staan in het standaardwoordenboek bij een bruteforce. Ook zinnen als ‘iloveyou’ kun je beter overslaan. Kies liever voor een complex wachtwoord met hoofdletters, kleine letters, getallen en symbolen. Je kunt hiervoor ook de Strong Password Generator gebruiken.

Geen /wp-admin

We hadden het al even over bruteforcen. Vaak gebeurt dit door inlogpogingen te doen op de map /wp-admin. Dit is de map waar je beheerpaneel van WordPress standaard op te bereiken valt. Alle mogelijke bots, hackers en scripts weten dat wp-admin de beheermap is. Door deze URL te veranderen, verklein je de kans dat je doelwit wordt.

Je kunt de admin-url vrij simpel wijzigen. Dit doe je met bijvoorbeeld de plugin WPS Hide. Deze plugin heeft een simpel invoerveld, waarmee je de login URL kunt veranderen. Vergeet niet te kiezen voor een unieke url, die waarschijnlijk nog niet op een standaard lijst staat.

Versleutelde verbinding gebruiken

Tot slot: het is raadzaam een versleutelde verbinding te gebruiken. Door een SSL-certificaat te installeren, verloopt het versturen van alle data via een beveiligde verbinding. Een dergelijke verbinding is belangrijk voor alle websites, niet alleen voor webshops waar betalingen worden gedaan. iXL kan je helpen bij het installeren van een SSL-certificaat.

Het is ook nodig voor het aantrekken van bezoekers: vanaf juli 2018 bestempelt Chrome websites die geen SSL-certificaat gebruiken als ‘onveilig’. Zonder ‘https’ voor de URL kun je tegenwoordig de website niet meer gebruiken. Een goede reden om er mee aan de slag te gaan.

  • Deel dit bericht