De ultieme WordPress security checklist (2024) | WP Handleiding

De ultieme WordPress security checklist (2024)

Is jouw WordPress website veilig? We hopen van wel. Want als het meest gebruikte content management systeem is WordPress een populair doelwit voor hackers en spammers. Gelukkig zijn er veel maatregelen die je kunt nemen om de risico’s te minimaliseren. Wij hebben ze voor je op een rijtje gezet in een ultieme WordPress security checklist!

De ultieme WordPress security checklist

#1. Zorg voor een betrouwbare hosting provider

WordPress security begint met een goede basis. Het is dan ook zeker raadzaam om de tijd te nemen om een betrouwbare hosting provider te vinden die adequate beveiligingsmaatregelen op server-niveau heeft getroffen. Weet je niet zo goed waar je moet beginnen? Verdiep je dan eerst in de verschillende soorten WordPress hosting en kijk eens of onze WordPress website hosting iets voor jou is. 

#2. Implementeer een SSL-certificaat

Secure Sockets Layer (SSL) certificaten faciliteren een versleutelde verbinding tussen een webserver (host) en webbrowser (client). Naast het SSL-certificaat installeren moet je ook WordPress https instellen voor jouw website.

#3. Gebruik nooit ‘admin’ als gebruikersnaam

‘Admin’ is een veelgebruikte gebruikersnaam – en dat weten hackers en scammers ook! Zorg dus dat je altijd een andere gebruikersnaam neemt.

Je WordPress gebruikersnaam veranderen? Dat doe je zo!

#4. Gebruik een sterk wachtwoord – en dwing het gebruik van sterke wachtwoorden voor andere gebruikers af

Het gebruik van zwakke wachtwoorden behoort tot de meest voorkomende beveiligingsrisico’s van WordPress websites. Gebruik dus altijd een sterk wachtwoord! Je hoeft het overigens niet te onthouden als je een wachtwoord manager hebt (dit zijn de beste wachtwoord managers voor WordPress gebruikers).

#5. Installeer een security plugin

Met een goede security plugin zoals Wordfence of AIOS heb je een laagje beveiliging over je website zonder dat je daar veel voor hoeft te doen.

#6. Maak regelmatig backups

Het laatste dat je wil als er iets mis gaat, is dat je geen recente backup hebt om terug te zetten. Zorg daarom dat je regelmatig een volledige backup maakt van je WordPress website, inclusief database. Heb je nog geen backup-oplossing? Check dan onze top 5 backup plugins voor WordPress.

#7. Zorg dat WordPress altijd up to date is

Je WordPress installatie up to date houden is cruciaal voor het waarborgen van de stabiliteit en veiligheid van je site. Elke keer dat er een kwetsbaarheid wordt gerapporteerd, gaat het WordPress core team aan de slag met een update om het probleem te verhelpen. Dus als je niet de nieuwste WordPress versie draait, is de kans groot dat je een versie met bekende kwetsbaarheden gebruikt. Wil je niet over het updaten van WordPress na hoeven denken, schakel dan automatische updates in.

#8. Hou je plugins en thema’s up to date

Ook verouderde thema’s en plugins kunnen je website kwetsbaar maken. Zorg dus dat je ook deze up to date houdt. Veilig WordPress plugins updaten doe je zo en zo kun je veilig je WordPress thema veranderen.

#9. Wees kritisch met betrekking tot de plugins die je installeert

Zomaar plugins installeren kan veiligheidsrisico’s met zich meebrengen. Installeer alleen plugins van betrouwbare ontwikkelaars en installeer geen nulled plugins in WordPress! Lees ook: Is die WordPress plugin veilig? 15 redenen om een plugin toch maar niet te downloaden

#10. Verwijder end-of-life plugins

End-of-life plugins zijn plugins die niet langer geupdatet worden door de ontwikkelaar. Dat kan een tijdje goed gaan, maar hou in gedachten dat eventuele kwetsbaarheden niet gepatched worden. End-of-life plugins verwijderen is volgens Wordfence dan ook het beste om de veiligheid van je site te waarborgen.

#11. Gebruik geen verouderde PHP versie

Net zoals een verouderde WordPress versie kan ook een verouderde PHP versie risico’s met zich meebrengen. Zorg dat je weet hoe je kunt controleren op welke PHP versie je WordPress site draait en hoe je indien nodig kunt updaten.

#12. Beveilig je WordPress inlogpagina…

De standaard inlogpagina van WordPress is een populair doelwit voor hackers. Om deze te beveiligen kun je verschillende dingen doen, zoals een custom inlog URL toevoegen in WordPress, beveiligingsvragen toevoegen aan je WordPress login scherm of het toepassen van Two-Factor Authentication (2FA).

#13. …of verberg de inlogpagina

Je kunt ook de WordPress inlogpagina verbergen. Als aanvallers je loginpagina niet kunnen vinden, is de kans dat ze binnen kunnen komen namelijk aanzienlijk kleiner…

#14. Beperk het aantal inlogpogingen

Brute force aanvallen, waarbij aanvallers geautomatiseerde inlogpogingen doen met de intentie je inloggegevens te raden, komen best vaak voor. Zelfs als ze niet binnenkomen, kan de server overbelast raken waardoor je site niet langer bereikbaar is. Door het beperken van inlogpogingen in WordPress kun je dergelijke problemen voorkomen. 

#15. Verberg het WordPress versienummer

Aan de hand van je WordPress versienummer kunnen kwaadwillenden misbruik maken van kwetsbaarheden in de core. Dat vormt een veiligheidsrisico, zeker wanneer WordPress niet (tijdig) geüpdatet wordt. Gelukkig is je WordPress versie verbergen relatief eenvoudig.

#16. Wees voorzichtig bij het toewijzen van WordPress gebruikersrollen

Wat je moet weten over WordPress gebruikersrollen is dat hoe meer rechten een gebruiker heeft, hoe groter de schade is die diegene kan aanrichten – of dat nu met opzet is of niet. WordPress gebruikersrollen toewijzen is dan ook iets waar goed over nagedacht moet worden.

#17. Beveilig je .htaccess bestand

In onze blogpost over WordPress .htaccess tips en trucs leggen we uit wat het .htaccess bestand is, hoe je het kunt aanpassen en met welke snippets je je WordPress site kunt beveiligen.

#18. Beveilig het wp-config.php bestand

Wp-config.php is een bestand dat waardevolle informatie bevat met betrekking tot databases, gebruikersnamen, wachtwoorden en authenticatiesleutels. Om te voorkomen dat anderen toegang tot dit bestand hebben kun je de onderstaande code snippet toevoegen:

<files wp-config.php>

order allow, deny

deny from all

</files>

Zo bewerk je het wp-config.php bestand.

#19. Schakel directory browsing uit

We raden aan om directory browsing uit te schakelen, zodat kwaadwillenden niet door je mappenstructuur kunnen snuffelen om kwetsbare bestanden te vinden. Dit kun je doen door de volgende code snippet aan je .htaccess bestand toe te voegen:

# Disable directory browsing

Options All -Indexes

#20. Bescherm je error_log bestand

Om anderen de toegang tot error logs te ontzeggen kun je de volgende code snippet in het bestand plaatsen:

# Protect error_log

<files error_log>

order allow,deny

deny from all

</files>

#21. Gebruik een Web Application Firewall

Een Web Application Firewall (WAF) fungeert als een extra beveiligingslaag tussen je website en het binnenkomende webverkeer. Dit cloud-based beveiligingssysteem blokkeert verdachte vormen van webverkeer. Voor meer informatie verwijzen we je naar onze blogpost over de beste WordPress firewall plugin.

#22. Implementeer backend activity tracking

In het geval dat er niet-geautoriseerd personen toegang krijgen tot de backend van websites, komt men daar vaak pas achter als het al te laat is. Met backend activity tracking kun je de activiteit op je WordPress dashboard monitoren. Denk aan wachtwoord herstelpogingen, de aanmaakt van nieuwe gebruikers en de installatie van plugins.

#23. Wees waakzaam voor WordPress phishing scams

Eind 2023 waarschuwde het WordPress Security Team al voor WordPress phishing scams, en dit blijft iets om voor op je hoede te zijn. Hou in je achterhoofd dat het echte WordPress Security Team nooit e-mails verstuurd, zeker niet met het verzoek om een plugin of thema op je site te installeren.

 

 

 

Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Medaille-buddy

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.