Misschien denk je: mijn website is zo klein, wie wil die nu hacken? De grootte en populariteit van je website maakt voor hackers echter niets uit. Daarom is het belangrijk om je WordPress website altijd te beveiligen. Hoe klein of groot ook. De hacks die ik heb moeten oplossen kan ik niet meer op één hand tellen. En bijna altijd is de reden makkelijk te raden. Een sterk wachtwoord is niet voldoende. Hoe beveilig je dan wel je website? Ik geef hier 11 tips die je direct kunt toepassen!
11 tips om een website hack te voorkomen
Is het écht nodig om jouw website te beveiligen tegen hackers? Ja, absoluut. Hier lees je de 5 meest voorkomende redenen waarom iemand jouw website zou willen hacken. Met onderstaande 11 tips kun je dit helpen voorkomen.
1. Breng je website onder bij een veilige host
Een host voor je website is sowieso erg belangrijk, ook voor de snelheid en support bijvoorbeeld, maar ook voor de veiligheid. Om een hack te voorkomen is het belangrijk dat je website is ondergebracht in een veilige omgeving.
Je kunt dus beter investeren in een iets duurdere host die het allemaal goed op een rijtje heeft. Twee euro per maand klinkt aantrekkelijk, maar is dat later mogelijk niet meer. Let bij een host onder andere op ondersteuning van de nieuwste versies van PHP en MySQL database en of er automatische en frequente backups worden gemaakt. Check bij het kiezen van een host ook ALTIJD de behoordelingen. Zijn er veel klachten over de support en storingen bijvoorbeeld? Niet aan beginnen. Goede hosts zijn onder andere Cloud86 en Siteground.
Beveilig je host met tweestapsverificatie. Dus niet alleen een sterk wachtwoord, maar als iemand je wachtwoord achterhaalt kan deze persoon er alsnog niet in. Bij tweestapsverificatie heb je namelijk nog een extra code nodig om in te loggen.
2. Kies een sterk wachtwoord
Deze kent natuurlijk iedereen, maar toch doet niet iedereen het. Je kunt natuurlijk zelf een wachtwoord verzinnen, maar je kunt ook een sterk wachtwoord door WordPress laten genereren. Dat doe je zo: ga naar Gebruikers ⇒ Je profiel ⇒ Scroll naar beneden tot Gebruikersbeheer. Zorg in ieder geval dat je een wachtwoord maakt die je buurman niet ook kan raden.
Een andere manier is een account aan te maken in LastPass en via daar een moeilijk wachtwoord genereren en op te slaan. LastPass is tevens een fijne tool om al je wachtwoorden veilig en overzichtelijk bij elkaar te hebben. Verzin altijd een moeilijk wachtwoord, niet je naam en geboortedatum bijvoorbeeld, maar beter iets dat iemand niet zou kunnen raden. Hier kun je LastPass gratis downloaden of voor 3 dollar per maand aankopen voor nog betere beveiliging.
3. Gebruik géén standaard gebruikersnaam als ‘admin’
De meesten onder ons hebben nog steeds als gebruikersnaam ‘admin’, de naam van hun website of hun eigen naam. Dit kun je beter veranderen. Elke hacker probeert het natuurlijk als eerste met een standaard naam, dus dan is de hacker al halverwege om in je website te komen. Heb je WordPress al geïnstalleerd en toch admin of je eigen naam als gebruikersnaam ingevuld? Verander deze dan. Dit doe je zo:
- Stap 1: Ga naar je dashboard en klik op Gebruikers ⇒ Nieuwe toevoegen
- Stap 2: Vul het formulier in met de nieuwe gebruikersnaam (deze keer een heel sterke en niet te raden, geen eigen naam dus en ook geen geboortedatum of iets dergelijks), de rest waar ‘verplicht’ achter staat en een sterk wachtwoord
- Stap 3: Kies onderaan het formulier bij de optie ‘rol’ voor ‘beheerder’
- Stap 4: Klik als je alles hebt ingevuld op ‘nieuwe gebruiker toevoegen’
- Stap 5: Log nu uit met je huidige account en log opnieuw in met het nieuwe account dat je zojuist hebt aangemaakt
- Stap 6: Ga terug naar ‘Gebruikers’. Je ziet er hier nu twee staan: je oude en je nieuwe
- Stap 7: Klik bij je oude account op ‘verwijderen’
- Stap 8 (heel belangrijk!!): Je krijgt nu een scherm met de vraag wat er met de inhoud van de oude gebruiker moet gebeuren. Kies hier ‘alle content koppelen aan’ en dan je nieuwe gebruikersnaam van je nieuwe account. Als je alle content verwijderen aanvinkt ben je alle pagina’s en blogs kwijt!! Klik nu op ‘verwijdering bevestigen’ en klaar!
4. Verander de URL waarmee je je aanmeldt in WordPress
Naast je gebruikersnaam en wachtwoord is ook de URL waarmee je op het inlogscherm komt waar je je gebruikersnaam en wachtwoord moet invullen belangrijk. Standaard is dit bijvoorbeeld jewebsite.nl/wp-login of jewebsite.nl/wp-admin.
Elke hacker weet dit en gaat als eerste hier proberen in te loggen. Ook dit kun je dus het beste veranderen. Dit kun je heel gemakkelijk doen met een plugin die je eigenlijk sowieso nodig hebt (zie verder) en die ik standaard bij klanten installeer. Namelijk iThemes. Je verandert je URL zo:
- Stap 1: Klik in je dashboard op ‘beveiliging’ of ‘iThemes’
- Stap 2: Klik rechtsboven op geavanceerd
- Stap 3: Klik linksonder bij ‘Verberg Backend’ op ‘configureer instellingen’
- Stap 4: Klik op het vinkje bij ‘Activeer de verberg backend functie’
- Stap 5: Verander je URL bij ‘Login Slug’ (verzin vooral iets creatiefs en lekker lang)
- Stap 6: Schrijf je nieuwe URL ergens op (als het goed is ontvang je ook een mail) en klik op ‘Instellingen opslaan’.
En klaar!
5. Beperk het aantal inlogpogingen
Met bovenstaande tips ben je al goed op weg, maar nu kan nog steeds een hacker alle pogingen doen om in te loggen als hij wil. Of beter gezegd: de computer die automatisch hackt gaat oneindig door.
Om dat te voorkomen zijn er diverse plugins die je kunt installeren om dit tegen te gaan. Denk aan iThemes en Wordfence. Bij iThemes kun je zelfs ip-adressen vanuit waar geprobeerd wordt in te loggen uitsluiten. Als je het aantal login pogingen tot 3 beperkt dan kan een computer dus niet meer oneindig proberen in te loggen. Let er wel op dat je je eigen inloggegevens goed onthoudt, want doe je het vaker dan 3 keer fout dan wordt ook jij uitgesloten (ik spreek uit ervaring…). Je kunt in iThemes ook je eigen ip-adres als veilig instellen.
6. Update regelmatig
Het is zo makkelijk, maar toch gebeurt het niet frequent genoeg: updaten. Niet alleen WordPress zelf, maar ook de plugins en thema’s die zijn geïnstalleerd op je website. De meeste website hacks die ik heb meegemaakt komen doordat de website in kwestie al maanden niet was ge-update. Iets dat ik mijn klanten altijd vertel om te doen, maar het daadwerkelijk doen gebeurt vaak niet. Terwijl updaten echt in 3 minuten gepiept is…
Hoe doe je dit? Zodra je inlogt en je ziet links bovenaan een bolletje met een nummertje, dan betekent dat dat er iets ge-update moet worden. Klik op dat bolletje en vink alles aan en updaten maar. Een update kan er bijvoorbeeld voor zorgen dat er een beveiligingslek gedicht wordt. Als je dus niet update dan kunnen hackers makkelijker te werk gaan. Check minstens eens per week je website voor updates, als je te lang wacht kan dat grote gevolgen hebben.
Je kunt ook automatisch laten updates. Grote updates, zoals de nieuwste versie van WordPress, zijn echter beter handmatig te doen nadat je eerst een backup van je website hebt gemaakt.
Let erop dat je aanpassingen aan je website mogelijk kwijt bent na een update van je WordPress thema. Dit voorkom je door een child theme te installeren.
7. Scan je website
Ook hiervoor is de plugin Wordfence ideaal. Deze scant dagelijks jouw website en als er iets vreemds gevonden wordt laat de plugin je dat weten. Op deze manier blijf je direct up-to-date over wat er gaande is op je website.
8. Maak regelmatig backups
Installeer een plugin of regel het bij je host. Bij bijvoorbeeld SiteGround wordt er elke dag een automatische backup gemaakt en je kunt daarnaast ook handmatig je website backuppen. Je kunt hiervoor ook een plugin gebruiken. Denk aan bijvoorbeeld UpdraftPlus of BackupWordPress. Hier kun je ook aangeven hoe vaak je een backup wilt hebben.
9. Installeer beveiligingsplugins
Deze zijn inmiddels al genoemd, maar het kan geen kwaad het nog een keer te benadrukken: installeer plugins als Wordfence of iThemes om je website te beveiligen. Zet ip-adressen die vaak proberen in te loggen op de zwarte lijst en zorg ervoor dat spamreacties en ongewenste mails er niet doorkomen. Daarvoor gebruik je het beste de spamfilter CleanTalk.
Het is ook verstandig om tweestapsverificatie in te stellen, zodat zelfs als iemand je wachtwoord achterhaald die persoon alsnog niet in je website kan. Om dit in te stellen zijn er diverse plugins die je kunt gebruiken, zoals de Microsoft Authenticator. Je stelt de tweestapsverificatie in onder Gebruikers > Profiel.
10. Gebruik betrouwbare WordPress thema’s en plugins
Er zijn zoveel (gratis) WordPress thema’s dat je niet altijd weet of het wel veilig is. Als je met deze tips je WordPress thema zoekt dan is deze zeker veilig. Plugins zijn ook een struikelblok: er zijn er duizenden en lang niet alle plugins zijn veilig.
Het is makkelijk om er lekker veel op je website te zetten, maar doe dit niet. Gebruik alleen plugins die je echt nodig hebt en kijk van tevoren of de plugin een goede beoordeling heeft en veel downloads.
En zorg natuurlijk dat de thema’s en plugins up-to-date blijven (zie punt 6). Te veel plugins kunnen je website bovendien enorm traag maken. Ga af en toe je plugin-lijst eens na en verwijder de plugins die je niet meer gebruikt. Dit is veiliger én beter voor de snelheid van je website.
11. Installeer een SSL-certificaat
Tegenwoordig is het hebben van een SSL-certificaat een must. Dit certificaat vormt een versleutelde, ontoegankelijke link tussen de browser en de webserver. Niet alleen voor de veiligheid is dit belangrijk, maar ook voor je SEO: Google heeft liever veilige websites en zal websites met een groen slotje hoger plaatsen dan een website zonder SSL. Een SSL-certificaat regel je bij je host.
Tegenwoordig hebben de meeste goede hosts een gratis SSL-certificaat. Wil je een stapje verder, dan kun je een betaalde aanschaffen. Als je een nieuwe website gaat of laat maken kun je het SSL-certificaat het beste direct activeren. Heb je al een website, dan moet je vaak iets extra’s doen om deze te activeren. Er kan namelijk mixed content op je website staan, waardoor het certificaat niet alles omzet van http naar https.
Om dit op te lossen download je de plugin Really Simple SSL en activeer je deze. Als het goed is is het probleem dan opgelost. Je kunt zien of je SSL-certificaat geactiveerd is door het groeien slotje links van je URL.
Heb je hulp nodig om constant je website te beschermen tegen hackers? Ik kan dit voor je doen. Elke 3 weken update en bescherm ik je website. Lees hier alles over deze hack preventie, prijzen en aanmelden.
Heb jij jouw WordPress website al beveiligd tegen hackers?
Elke week het nieuwste artikel + video ontvangen in je mail met daarin tips en inspiratie over hoe je je website kunt inzetten voor een succesvol bedrijf of blog? Schrijf je dan nú hier in!
In dit artikel staat een affiliatie link. Klik hier voor meer informatie.
10 reacties. Plaats een nieuwe
Hi Sabine, wat fijn je tips. Wat ik nog steeds moet regelen is last pass en dan ben ik up to date volgens mij. Waar stel je eigen IP adres veilig bij iThemes? Ik heb namelijk ook al een aantal keren gehad dat ik uitgesloten ben.
Dankjewel Sandra! LastPass is echt erg handig, zeker met die honderden wachtwoorden die we tegenwoordig hebben haha 😀 Je eigen ip adres stel je als veilig onder globale instellingen en dan een beetje naar beneden scrollen. Ben zelf in het begin ook een paar keer uitgesloten. Heel fijn 😛
[…] Met de populariteit van WordPress stijgt ook het aantal hackers die geïnteresseerd zijn in jouw website. Daarom heeft veiligheid een hoge prioriteit. Zowel het CMS als plugins worden constant ge-update, waarmee onder andere veiligheidslekken worden gedicht. Dit is echter niet genoeg om je website veilig te houden; daar moet je zelf ook iets voor doen. Download bijvoorbeeld alleen betrouwbare plugins, update regelmatig en zorg dat je inloggen voor hackers extra moeilijk maakt. Hier lees je alles over hoe je je WordPress website zo goed mogelijk beveiligt. […]
[…] Lees ook: Is jouw website goed beveiligd tegen hackers? Hier vind je 11 tips voor een veilige website om direc… […]
[…] De veiligheid van je website is eerste prioriteit. En daarvoor is updaten essentieel. Ondanks dat ik het altijd aangeef regelmatig te doen, zie ik regelmatig websites voorbijkomen die al een paar versies van het thema, WordPress en plugins achterlopen. Als je wilt dat 1) je website niet gehackt wordt en 2) alles naar behoren werkt, dan zul je moeten updaten. Log in op je WordPress website en bekijk linksboven of er een rondje met pijltjes en een cijfertje staat. Dat betekent dat er nieuwe updates zijn. Houd dit wekelijks bij om problemen met je website en onveilige situaties te voorkomen. Klik hier voor 11 tips om je website te beveiligen. […]
[…] Hier vind je meer tips én stappenplannen om je WordPress website te beveiligen. […]
[…] Je loopt al snel tegen beperkingen aan in design en daarnaast bieden gratis thema’s nagenoeg geen support, is het soms (zoals bij mij) slecht gesteld met de responsiviteit van de website op de mobiel en tablet, de SEO is niet optimaal en opeens begeeft je website het als je een plugin installeert. Om maar niet te spreken van de snelheid van de website die te wensen overlaat en de veiligheid van je blog. […]
Dag Sabine, ik heb een vraagje. Hoop dat je mij kunt en wilt helpen. In mijn categoriën onder berichten worden telkens weer van buitenaf categoriën toegevoegd. Cleantalk registreert deze niet als spam. De rest van mijn site is schoon. Hoe kan ik dit oplossen? Hoor graag, dankjewel. Sjouktje
Hoi Sjouktje, dankjewel voor je vraag! Ik heb dit nog nooit gezien of gehoord moet ik eerlijk zeggen, in ieder geval niet als spam. Als je wilt kan ik er even naar kijken, stuur daarvoor een mailtje naar info@sabineboogaard.nl. Groetjes, Sabine
[…] Hier lees je 11 tips over hoe je een website hack helpt te voorkomen. […]