Home Tutorials Je WordPress website beveiligen

Je WordPress website beveiligen

0

Dat het internet zo groot en toegankelijk is, heeft natuurlijk legio voordelen. Maar, zoals een bekend voetballer ooit al zei;

Elk voordeel heb zijn nadeel

Dat je website online staat, maakt hem beschikbaar voor miljoenen goedwillende mensen wereldwijd, maar helaas zitten tussen deze goedwillende mensen ook mensen die een slaatje uit jou website proberen te slaan door er spam via te versturen, of eenvoudigweg voor de kick jou website kapot maken door hem te hacken. Naar het hoe en waarom blijft het vaak gissen, maar zuur is het wel als je op een ochtend een mail van je provider in je mailbox hebt dat je WordPress website geblokkeerd is, omdat deze is gehackt. In deze tutorial enkele tips om het de hacker in ieder geval een stuk moeilijker te maken.

1. Gebruik sterke wachtwoorden

Het klinkt misschien als een cliché, maar een sterk wachtwoord is een must om jou WordPress website tegen kwaadwillenden te beveiligen.
Gebruik het liefst een combinatie van letters, getallen en symbolen en vermijd bestaande woorden.
Hoe groot is de kans dat een hacker jou wachtwoord ‘raadt’? Nou, die is relatief groot als je een bestaand woord gebruikt. De ‘moderne’ hacker gaat namelijk niet zelf allerlei wachtwoord combinaties invoeren om jou site te kraken, maar deze heeft een lange lijst met allerlei bestaande- en niet bestaande woorden.
Met deze lijst laat hij een script op jou website los en dit script probeert zodoende in no-time om met allerlei wachtwoord combinaties in jou admin gedeelte te komen.

Heb je WordPress op een eigen server of bij een webhost geïnstalleerd? Denk dan ook zeker even aan jou FTP, email en MySQL wachtwoord. Probeer ook om niet op diverse plekken hetzelfde wachtwoord te gebruiken.

2. Gebruik een andere gebruikersnaam dan “Admin”

Gebruik bij de installatie een andere gebruikersnaam dan “Admin”. Deze gebruikersnaam kun je ook achteraf aanpassen, maar dit is een meer complexere handeling, waar we later nog eens een tutorial aan zullen wagen. Je kunt ook een nieuwe gebruiker aanmaken met “admin” rechten en de oude account verwijderen.

3. Verberg de WordPress versie

Bij elke versie van WordPress worden specifieke ‘lekken’ gedicht, waarmee een hacker in jou website kan komen. Deze zogenaamde lekken worden openbaar gemaakt, op het moment dat de update uit komt en zodoende weet ook de hacker waar hij zich op moet richten bij oudere versies van WordPress. Zorg dus dat je de WordPress versie waarop je website draait niet zichtbaar hebt.

4. Update jou WordPress website bij een nieuwe release

Om dezelfde reden als bij punt 2, zorg dat je de updates op je website goed bij houdt. Tegenwoordig is het mogelijk jou website automatisch te updaten, maar dit is niet altijd wenselijk. Hou in dat geval zelf de updates goed in de gaten.
Let er ook op dat je zo veel mogelijk je plug-ins hebt geupdate.

5. Bescherm de wp-admin directory met .htaccess

Gebruik een .htaccess bestand om de wp-admin directory te beschermen en geef alleen toegang aan je wp-admin directory voor vaste IP adressen (bijvoorbeeld thuis, werk enzovoort). Wanneer je geen ‘statisch’ ip-adres hebt, is deze methode overigens wel erg lastig toe te passen.

Voeg een .htaccess toe aan je wp-admin directory, met de volgende inhoud:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Toegangscontrole"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# Thuis
allow from xxx.xxx.xx.xx
# Werk
allow from yyy.yyy.yy.yy
</LIMIT>

Vervang de xxx.xxx.xx.xx en yyy.yyy.yy.yy door de IP adressen die jij toegang wil geven. Wil je jou huidige IP-adres weten? Kijk dan op http://www.whatsmyip.org
Let op; Voor deze wijziging moet je dus een .htaccess in je wp-admin directory toevoegen en niet de .htaccess van je root gebruiken.

6. Limit login attempts

Om scripts geen kans meer te geven kun je de plugin “Limit Login Attempts” installeren, deze is reeds mee-geïnstalleerd met de modernere WordPress versies. Deze plugin geeft je drie kansen een wachtwoord in te voegen. Heb je drie maal een verkeerd wachtwoord ingevoerd, dan is je IP adres voor een aantal minuten geblokkeerd.

7. Backup!

‘Last but not least’! Zorg regelmatig voor een backup van jou website. Net als bij virussen zijn hackers vaak eerder dan de oplossing en een hack is dus nooit helemaal te voorkomen. Wanneer je regelmatig een backup maakt verlies je zo min mogelijk data wanneer er toch een succesvolle hacker langs komt.

 

LEAVE YOUR COMMENT

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *