Als je een WordPress website beheert, dan is het belangrijk om aandacht te besteden aan de veiligheid. Toch laat dit aspect vaak nog te wensen over. Daarom hebben we 10 veelgemaakte WordPress security fouten op een rijtje gezet.
Veelgemaakte WordPress security fouten
#1. Je negeert updates van de WordPress core, je thema’s en plugins
Bij de meeste WordPress sites die gehackt worden, ligt de oorzaak bij kwetsbare thema’s of plugins of zelfs bij een verouderde WordPress installatie. Dit kun je eenvoudig voorkomen door te zorgen dat alles up-to-date blijft. Een goede security plugin (check hier de beste security plugins voor WordPress in 2020) stuurt automatisch een melding wanneer er een update beschikbaar is, zodat je direct actie kunt ondernemen.
#2. Je gebruikt geen SSL-certificaat op je site
Een SSL (of TLS) certificaat zorgt ervoor dat de uitwisseling van gegevens tussen de browser van je bezoeker en je webserver over een beveiligde verbinding verloopt. Lees alles over een SSL-certificaat installeren op je WordPress site.
#3. Je gebruikt “admin” als gebruikersnaam om in te loggen
Hackers maken vaak gebruik van bots om de inloggegevens van admin gebruikers te raden. Daarbij proberen ze vaak als eerste “admin” als gebruikersnaam. Als dat klopt, dan hoeven ze dus alleen nog maar je wachtwoord te raden. Maak het hackers niet te makkelijk en verander je gebruikersnaam naar iets anders dan “admin”.
#4. Je gebruikt overal dezelfde wachtwoorden
Veel mensen gebruiken op verschillende websites en accounts dezelfde wachtwoorden. Dat kan ervoor zorgen dat wanneer één account gecompromitteerd wordt, de andere accounts ook risico lopen. Zorg dat je voor elke account een ander wachtwoord kiest en gebruik een password manager zoals LastPass om te voorkomen dat je wachtwoorden kwijtraakt.
#5. Je wachtwoorden zijn zwak
Het gebruiken van zwakke wachtwoorden is een van de meest gemaakte WordPress security fouten. Ingewikkelde wachtwoorden die zowel letters als cijfers en speciale tekens bevatten, reduceren de kans dat je gehackt wordt. Gebruik een wachtwoord generator om sterke wachtwoorden te genereren en wen jezelf aan om je wachtwoorden om de paar maanden te wijzigen.
#6. Je denkt niet na over gebruikerstoegang
Als je WordPress websites bouwt, zorg er dan voor dat de mensen die toegang moeten krijgen tot de backend niet meer rechten krijgen dan ze nodig hebben. Als je bijvoorbeeld een gebruikersaccount moet aanmaken voor iemand die alleen blogberichten gaat schrijven, wijs dan een ‘Auteur’ rol toe en geen ‘Beheerder’. Let er ook op dat niet-gebruikte accounts verwijderd worden. Lees alles wat je moet weten over WordPress gebruikersrollen en WordPress gebruikersrollen toewijzen.
#7. Je hebt een slechte webhost
Een goede webhost is belangrijk voor zowel de performance als de veiligheid van je website. Kies altijd voor geoptimaliseerde WordPress website hosting en betaal liever een paar euro per jaar meer voor goede ondersteuning!
#8. Je gebruikt “nulled” thema’s of plugins
“Nulled” thema’s en plugins zijn premium producten die gratis worden aangeboden op malafide sites. Dat lijkt misschien aantrekkelijk omdat je dan niet hoeft te betalen voor een premium product, maar deze thema’s en plugins bevatten vaker dan niet code die je site infecteert zodra het product geïnstalleerd is. Op die manier kunnen hackers je site overnemen zonder dat je het doorhebt. Haal je thema’s en plugins uitsluitend van een gerenommeerde website, de oorspronkelijke ontwikkelaar of het officiële directory op WordPress.org. Lees ook: Is die WordPress plugin veilig? 15 redenen om een plugin toch maar niet te downloaden.
#9. Je hebt geen beperking ingesteld op het aantal loginpogingen
Brute force aanvallen zijn aanvallen op je site waarbij gebruik wordt gemaakt van algoritmes om binnen korte tijd super veel loginpogingen te doen. Door het aantal inlogpogingen te beperken kun je voorkomen dat de server overbelast raakt en je site niet meer bereikbaar is. Met plugins zoals Limit Login Attempts Reloaded is dat super makkelijk. Je kunt eventueel ook je WordPress inlogpagina verbergen voor hackers.
#10. Je gebruikt geen Web Application Firewall
Web Application Firewalls (WAFs) functioneren als een gateway die verzoeken van gebruikers controleert om vast te stellen wat wel en niet is toegestaan, en niet-toegestane verzoeken blokkeert. Geen WAFs gebruiken is hetzelfde als je voordeur niet op slot doen en een briefje ophangen met de boodschap dat je op vakantie bent. Gebruik een security plugin zoals Wordfence om verzekerd te zijn van goede WAFs.