WordPress beveiligen: 13 tips om hackers buiten de deur te houden

Hackers liggen altijd op de loer.

Of het nu gaat om Windows, MacOS, het Office pakket of je browser, in de loop der tijd vinden hackers altijd weer nieuwe gaatjes waarmee ze toegang kunnen krijgen tot je website.

De cybercriminaliteit neemt nog steeds toe, dus het goed beveiligen van je WordPress website hoog op je prioriteitenlijst zetten is geen overbodige luxe.

Je vraagt je waarschijnlijk af: is WordPress veilig en hoe maak ik mijn WordPress site veilig? Het antwoord: je regelt het middels een aantal eenvoudige stappen aangevuld met enkele technischere / complexere beveiligingsmaatregelen:

Checklist WordPress beveiliging

1. Maak een backup van je website

Zorg ervoor dat er regelmatig automatisch een backup wordt gemaakt van je website. Dat kan een gratis of betaalde functionaliteit zijn van je hosting pakket, of je kunt gebruik maken van een WordPress plugin. Dit is wat mij betreft de beste gratis WordPress backup plugin: UpdraftPlus backup. Daarmee kun je ook de backup van je WordPress site downloaden.

Dan heb je ook buiten de hosting een kopie van je website. Zeer belangrijk om te hebben voor het geval dat je hele WordPress site inclusief backups door een hacker is verwijderd van de webserver.

2. Voer de updates van WordPress, de thema's en de plugins direct uit

Er verschijnen regelmatig updates van WordPress, de thema's en de plugins. Vaak zitten daar security updates bij. Voor deze direct uit zodat de gevonden lekken gedicht worden.

Als je webbouwer zegt dat je bepaalde zaken niet mag updaten omdat er dan iets mis gaat met de vormgeving van de site, dan heeft je webbouwer de site op een verkeerde manier gebouwd.

Laat de site in dat geval zo snel mogelijk aanpassen, bijvoorbeeld door maatwerk te isoleren in een 'child theme' of in de Customizer onder het kopje 'Extra CSS'. Daarna kunnen (security)updates zonder verstoring van de werking van de site worden uitgevoerd.

3. Wijzig de WordPress inlog URL

Bij de meeste WordPress site hoef je alleen maar /wp-admin achter de domeinnaam te typen en je belandt op de inlogpagina. Hackers weten dit en programmeren hun kwaadaardige software daarop. Je maakt het ze een stuk moeilijker door de WordPress inlog URL te veranderen. Aanbevolen WordPress plugin hiervoor: WPS Hide Login.

4. Gebruik moeilijke wachtwoorden

Gebruik sterke wachtwoorden voor je WordPress website:

  • Minimaal 12 tekens
  • Bevat hoofdletters en kleine letters
  • Bevat een cijfer
  • Bevat een teken zoals een # of @

En maak gebruik van 2-factor authenticatie (dan maak je het inloggen moeilijker met een aanvullende steeds andere code vanaf je telefoon).

Een goede gratis plugin hierover: WordFence login security. Hiermee voeg je 2-factor authenticatie toe aan WordPress en kun je bij het inloggen het gebruik van TOTP-based apps als Google Authenticator, FreeOTP en Authy verplicht maken.

5. Verander de standaard WordPress gebruikersnaam 'admin' in iets moeilijkers

Bij veel WordPress sites is bij de installatie (automatisch) gekozen voor 'admin' als gebruikersnaam. Dat is ook iets wat hackers weten waardoor ze alweer een stapje verder zijn richting een succesvolle hack.

Je kunt de naam van een bestaande WordPress gebruiker niet veranderen. De makkelijkste manier om de WordPress gebruikersnaam te wijzigen:

  1. Maak een nieuwe gebruiker aan met een niet voor de hand liggende gebruikersnaam.
  2. Geeft deze gebruiker beheerderrechten, bewaar het (uiteraard moeilijke) wachtwoord
  3. Log uit.
  4. Log vervolgens in met de nieuwe gebruikersnaam
  5. Verwijder de gebruiker met de naam 'admin' en wijs de hierdoor gemaakte content toe aan de nieuwe beheerder (de gebruikersnaam waarmee je in stap 4 bent ingelogd).

6. Complexere beveiligingsmaatregelen

De volgende vaak vergeten maatregelen waarmee je WordPress beter kunt beveiligen vragen meer technische kennis dan de voorgaande vier punten in dit artikel (en voorafgaand uiteraard eerst een backup van zowel de bestanden op de webserver als van de database):

  1. Blokkeer WordPress xmlrpc.php requests. Dit kan op de webserver geregeld worden in het .htaccess bestand met enkele regels programmeercode.
  2. Zorg ervoor dat in de openbare broncode van je site de WordPress versie onzichtbaar is ('hide WP version').
  3. Verwijder het readme.txt bestand uit de root van de webhosting.
  4. Wijzig de prefix van de tabellen in de database. Vaak is dit wp_. Daar iets minder voor de hand liggends van maken, maakt het weer een stuk moeilijker voor hackers om binnen te dringen.
  5. In het wp-config.php bestand: voorkom dat er vanuit WordPress toegang is tot de broncode (DISALLOW_FILE_EDIT).
  6. Voorkom hotlinking via enkele regels programmeercode in het .htaccess bestand.
  7. Controleer via je hostingaccount de FTP inlogaccounts: beperk het aantal FTP gebruikers en zorg voor moeilijke wachtwoorden.
  8. Zorg voor een moeilijk databasewachtwoord. Je kunt dit controleren op de webserver in het wp-config.php bestand.

Tijd voor een WordPress APK?

Wil je weten of je website goed beveiligd is en of je WordPress site in een goede technische staat is? En/of leren hoe je je WordPress website inhoudelijk (makkelijker) aanpast en uitbreidt? Dan is de een individuele WordPress beheertraining iets voor jou:

Reageer jij als eerste?

Geef een antwoord