Beveilig wordpress website

Hoe beveilig je je WordPress website? | 11 tips om nú toe te passen.

WordPress is mijn favoriete Content Management Systeem (CMS) met oneindig veel mogelijkheden, en ook wereldwijd veruit het meest populair om mee te werken. Miljoenen mensen hebben een website gemaakt met WordPress en dit aantal blijft alleen maar groeien. WordPress is een open source systeem dat je gratis kunt downloaden en waarmee je een website maakt precies zoals jij het wilt. Er zijn duizenden plugins en thema’s op de markt waar je uit kunt kiezen om je website aan te passen. Deze populariteit trekt echter ook hackers aan, die het door de grote diversiteit aan (slechte) thema’s en plugins ietsje makkelijker hebben. Ook andere factoren maken dat je website onveiliger kan worden, zoals slechte installatie, te makkelijke wachtwoorden of door het niet updaten van plugins en thema’s. En denk je nu: mijn website is zo klein, wie wil die nu hacken? De grootte en populariteit van je website maakt voor hackers niets uit. Ze gebruiken jouw plekje om spam-mail mee te verzenden of jouw website door te linken naar een andere waar zij geld mee verdienen. En dat wil je niet. Daarom is het belangrijk om je WordPress website te beveiligen. Een sterk wachtwoord is daarvoor niet meer voldoende. Hoe beveilig je dan wel je website? Ik geef hier 11 tips die je direct kunt toepassen! Wil je dit verhaal liever op video zien? Bekijk dan onderaan deze pagina mijn Facebook Live.

1. Breng je website onder bij een veilige host

Een host voor je website is sowieso erg belangrijk, ook voor de snelheid en support bijvoorbeeld, maar ook voor de veiligheid. Om een hack te voorkomen is het belangrijk dat je website is ondergebracht in een veilige omgeving. Je kunt dus beter investeren in een iets duurdere host die het allemaal goed op een rijtje heeft. Twee euro per maand klinkt aantrekkelijk, maar is dat later mogelijk niet meer. Let bij een host onder andere op ondersteuning van de nieuwste versies van PHP en MySQL database en of er automatische en frequente backups worden gemaakt. Check bij het kiezen van een host ook ALTIJD de behoordelingen. Zijn er veel klachten over de support en storingen bijvoorbeeld? Niet aan beginnen. Goede hosts zijn onder andere Antagonist en Transip.

2. Kies een sterk wachtwoord

Deze kent natuurlijk iedereen, maar toch doet niet iedereen het. Je kunt natuurlijk zelf een wachtwoord verzinnen, maar je kunt ook een sterk wachtwoord door WordPress laten genereren. Dat doe je zo: ga naar Gebruikers ⇒ Je profiel ⇒ Scroll naar beneden tot Gebruikersbeheer. Een andere manier is een account aan te maken in LastPass en via daar een wachtwoord genereren en op te slaan. LastPass is tevens en fijne tool om al je wachtwoorden veilig en overzichtelijk bij elkaar te hebben. Verzin altijd een moeilijk wachtwoord, niet je naam en geboortedatum bijvoorbeeld, maar beter iets dat iemand niet zou kunnen raden.

3. Gebruik géén standaard gebruikersnaam als ‘admin’

De meesten onder ons hebben nog steeds als gebruikersnaam ‘admin’, de naam van hun website of hun eigen naam. Alsjeblieft: verander dit direct! Elke hacker probeert het natuurlijk als eerste met een standaard naam, dus dan is de hacker al halverwege om in je website te komen. Heb je WordPress al geïnstalleerd en toch admin of je eigen naam als gebruikersnaam ingevuld? Verander deze dan. Dit doe je zo:

  • Stap 1: Ga naar je dashboard en klik op Gebruikers ⇒ Nieuwe toevoegen
  • Stap 2: Vul het formulier in met de nieuwe gebruikersnaam (deze keer een heel sterke en niet te raden, geen eigen naam dus en ook geen geboortedatum of iets dergelijks), de rest waar ‘verplicht’ achter staat en een sterk wachtwoord
  • Stap 3: Kies onderaan het formulier bij de optie ‘rol’ voor ‘beheerder’
  • Stap 4: Klik als je alles hebt ingevuld op ‘nieuwe gebruiker toevoegen’
  • Stap 5: Log nu uit met je huidige account en log opnieuw in met het nieuwe account dat je zojuist hebt aangemaakt
  • Stap 6: Ga terug naar ‘Gebruikers’. Je ziet er hier nu twee staan: je oude en je nieuwe
  • Stap 7: Klik bij je oude account op ‘verwijderen’
  • Stap 8 (heel belangrijk!!): Je krijgt nu een scherm met de vraag wat er met de inhoud van de oude gebruiker moet gebeuren. Kies hier ‘alle content koppelen aan’ en dan je nieuwe gebruikersnaam van je nieuwe account. Als je alle content verwijderen aanvinkt ben je alle pagina’s en blogs kwijt!! Klik nu op ‘verwijdering bevestigen’ en klaar!

4. Verander de URL waarmee je je aanmeldt in WordPress

Naast je gebruikersnaam en wachtwoord is ook de URL waarmee je op het inlogscherm komt waar je je gebruikersnaam en wachtwoord moet invullen belangrijk. Standaard is dit bijvoorbeeld jewebsite.nl/wp-login of jewebsite.nl/wp-admin. Elke hacker weet dit en gaat als eerste hier proberen in te loggen. Ook dit kun je dus het beste veranderen. Dit kun je heel gemakkelijk doen met een plugin die je eigenlijk sowieso nodig hebt (zie verder) en die ik standaard bij klanten installeer. Namelijk iThemes. Je verandert je URL zo:

  • Stap 1: Klik in je dashboard op ‘beveiliging’ of ‘iThemes’
  • Stap 2: Klik rechtsboven op geavanceerd
  • Stap 3: Klik linksonder bij ‘Verberg Backend’ op ‘configureer instellingen’
  • Stap 4: Klik op het vinkje bij ‘Activeer de verberg backend functie’
  • Stap 5: Verander je URL bij ‘Login Slug’ (verzin vooral iets creatiefs en lekker lang)
  • Stap 6: Schrijf je nieuwe URL ergens op (als het goed is ontvang je ook een mail) en klik op ‘Instellingen opslaan’.

En klaar!

5. Beperk het aantal inlogpogingen

Met bovenstaande tips ben je al goed op weg, maar nu kan nog steeds een hacker alle pogingen doen om in te loggen als hij wil. Of beter gezegd: de computer die automatisch hackt gaat oneindig door. Om dat te voorkomen zijn er diverse plugins die je kunt installeren om dit tegen te gaan. Denk aan iThemes en Wordfence. Bij iThemes kun je zelfs ip-adressen vanuit waar geprobeerd wordt in te loggen uitsluiten. Als je het aantal login pogingen tot 3 beperkt dan kan een computer dus niet meer oneindig proberen in te loggen. Let er wel op dat je je eigen inloggegevens goed onthoudt, want doe je het vaker dan 3 keer fout dan wordt ook jij uitgesloten (ik spreek uit ervaring…). Je kunt in iThemes ook je eigen ip-adres als veilig instellen.

6. Update regelmatig

Het is zo makkelijk, maar toch gebeurt het niet frequent genoeg: updaten. Niet alleen WordPress zelf, maar ook de plugins en thema’s die zijn geïnstalleerd op je website. Hoe doe je dit? Zodra je inlogt en je ziet links bovenaan een bolletje met een nummertje, dan betekent dat dat er iets geupdate moet worden. Klik op dat bolletje en vink alles aan en updaten maar. Een update kan er bijvoorbeeld voor zorgen dat er een beveiligingslek gedicht wordt. Als je dus niet update dan kunnen hackers makkelijker te werk gaan. Check minstens eens per week je website voor updates, als je te lang wacht kan dat grote gevolgen hebben.

Je kunt ook automatisch laten updates, bijvoorbeeld via Installatron. Grote updates, zoals de nieuwste versie van WordPress, zijn echter beter handmatig te doen nadat je eerst een backup van je website hebt gemaakt.

7. Scan je website

Ook hiervoor is de plugin Wordfence ideaal. Deze scant dagelijks jouw website en als er iets vreemds gevonden wordt laat de plugin je dat weten. Op deze manier blijf je direct up-to-date over wat er gaande is op je website.

8. Maak regelmatig backups

Installeer een plugin of regel het bij je host. Je kunt bijvoorbeeld instellen dat er elke dag, week of maand automatisch een backup wordt gemaakt. Of maak bij je host handmatig een backup. Je kunt hiervoor ook een plugin gebruiken. Denk aan bijvoorbeeld UpdraftPlus of BackupWordPress. Hier kun je ook aangeven hoe vaak je een backup wilt hebben.

9. Installeer beveiligingsplugins

Deze zijn inmiddels al genoemd, maar het kan geen kwaad het nog een keer te benadrukken: installeer plugins als Wordfence en iThemes om je website te beveiligen. Zet ip-adressen die vaak proberen in te loggen op de zwarte lijst en zorg ervoor dat spam-reacties en mails er niet doorkomen. Voor die laatste kun je bijvoorbeeld Akismet Anti-Spam gebruiken.

10. Gebruik betrouwbare WordPress thema’s en plugins

Er zijn zoveel (gratis) WordPress thema’s dat je niet altijd weet of het wel veilig is. Als je met deze tips je WordPress thema zoekt dan is deze zeker veilig. Plugins zijn ook een struikelblok: er zijn er duizenden en lang niet alle plugins zijn veilig. Het is makkelijk om er lekker veel op je website te zetten, maar doe dit niet. Gebruik alleen plugins die je echt nodig hebt en kijk van tevoren of de plugin een goede beoordeling heeft en veel downloads. En zorg natuurlijk dat de thema’s en plugins up-to-date blijven (zie punt 6). Te veel plugins kunnen je website bovendien enorm traag maken. Ga af en toe je plugin-lijst eens na en verwijder de plugins die je niet meer gebruikt. Dit is veiliger én beter voor de snelheid van je website.

11. Installeer een SSL-certificaat

Tegenwoordig is het hebben van een SSL-certificaat een must. Dit certificaat vormt een versleutelde, ontoegankelijke link tussen de browser en de webserver. Niet alleen voor de veiligheid is dit belangrijk, maar ook voor je SEO: Google heeft liever veilige websites en zal websites met een groen slotje hoger plaatsen dan een website zonder SSL. Een SSL-certificaat regel je bij je host. Tegenwoordig hebben de meeste goede hosts een gratis SSL-certificaat. Wil je een stapje verder, dan kun je een betaalde aanschaffen. Als je een nieuwe website gaat of laat maken kun je het SSL-certificaat het beste direct activeren. Heb je al een website, dan moet je vaak iets extra’s doen om deze te activeren. Er kan namelijk mixed content op je website staan, waardoor het certificaat niet alles omzet van http naar https. Om dit op te lossen download je de plugin Really Simple SSL en activeer je deze. Als het goed is is het probleem dan opgelost. Je kunt zien of je SSL-certificaat geactiveerd is door het groeien slotje links van je URL.

 


Heb jij jouw WordPress website al beveiligd tegen hackers?


 

Elke week het nieuwste artikel + video ontvangen in je mail met daarin tips en inspiratie over hoe je je website kunt inzetten voor een succesvol bedrijf of blog? Schrijf je dan nú hier in!

 


 

 


In dit artikel staat een affiliatie link.


 

Vorig bericht
Het leven als zelfstandig ondernemer | Mei 2018
Volgend bericht
Wat is mijn favoriete WordPress thema en waarom?

Lees meer!

4 reacties. Reactie plaatsen

Hi Sabine, wat fijn je tips. Wat ik nog steeds moet regelen is last pass en dan ben ik up to date volgens mij. Waar stel je eigen IP adres veilig bij iThemes? Ik heb namelijk ook al een aantal keren gehad dat ik uitgesloten ben.

Beantwoorden

    Dankjewel Sandra! LastPass is echt erg handig, zeker met die honderden wachtwoorden die we tegenwoordig hebben haha 😀 Je eigen ip adres stel je als veilig onder globale instellingen en dan een beetje naar beneden scrollen. Ben zelf in het begin ook een paar keer uitgesloten. Heel fijn 😛

    Beantwoorden

[…] Lees ook: Is jouw website goed beveiligd tegen hackers? Hier vind je 11 tips voor een veilige website om direc… […]

Beantwoorden

[…] Met de populariteit van WordPress stijgt ook het aantal hackers die geïnteresseerd zijn in jouw website. Daarom heeft veiligheid een hoge prioriteit. Zowel het CMS als plugins worden constant ge-update, waarmee onder andere veiligheidslekken worden gedicht. Dit is echter niet genoeg om je website veilig te houden; daar moet je zelf ook iets voor doen. Download bijvoorbeeld alleen betrouwbare plugins, update regelmatig en zorg dat je inloggen voor hackers extra moeilijk maakt. Hier lees je alles over hoe je je WordPress website zo goed mogelijk beveiligt. […]

Beantwoorden

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Menu