De eerste blogpost in deze serie ging over waarom iemand je WordPress site zou willen hacken, de tweede over hoe WordPress sites worden gehackt. In dit derde deel gaan we het hebben over hoe je kunt voorkomen dat je WordPress site gehackt wordt.
De veiligheid van je WordPress site is een kwestie van proactief zijn. Voorkomen is beter dan genezen, en dat geldt ook voor het web. Hieronder een aantal belangrijke tips om te voorkomen dat jouw WordPress site gehackt wordt!
#1. Kies een goede hosting provider
In de tweede blogpost van deze serie lieten we de statistieken zien, waaruit bleek dat de kwaliteit van je hosting provider een grote invloed heeft op de veiligheid van je WordPress site.
Het is daarom geen overbodige luxe om te kiezen voor een goede provider die veel aandacht besteed aan veiligheid. Als WordPress gebruiker kies je natuurlijk voor een hosting provider die een voor WordPress geoptimaliseerde omgeving biedt. Verder moeten ze de laatste versies van PHP en MySQL ondersteunen, regelmatig scannen op malware en dagelijks backups maken. Bespaar niet door te kiezen voor een shared hosting solution; hierdoor loop je alleen maar meer risico.
#2. Maak geregeld backups
Hoewel de stappen die we in deze lijst beschrijven je site aanzienlijk veiliger zullen maken, is er nooit 100% garantie dat je niet gehackt zult worden. Dat is niet omdat WordPress onveilig is, maar simpelweg omdat alles dat met het internet is verbonden altijd in meer of mindere mate risico loopt. Daarom is het belangrijk om altijd op het ergste voorbereid te zijn. Voor website eigenaren betekent dat geregeld backups maken.
Een goede hosting provider zal dagelijks een backup maken en een kopie van je website op een veilige locatie opslaan. Maar als je extra zekerheid wil is het goed om voor een betrouwbare backup oplossing te kiezen. Er zijn tal van gratis plugins waarmee je het maken van backups kunt automatiseren, zoals bijvoorbeeld Duplicator, UpdraftPlus en WordPress Backup to Dropbox.
Stel het niet uit en maak nu een backup. Ik wacht wel even. Serieus, doe het nu.
#3. Bescherm je login
Ook door zwakke gebruikersnamen en wachtwoorden worden veel WordPress sites het slachtoffer van hackers. Middels zogeheten brute force attacks draaien hackers een script dat net zo lang willekeurige wachtwoorden en gebruikersnamen invoert tot ze de juiste hebben gevonden.
Als eerste verdedigingslinie moet je zorgen dat je WordPress login goed beschermt is. Dat betekent:
- Geregeld je wachtwoorden veranderen;
- Een sterk wachtwoord gebruiken (met behulp van de password strength meter in WordPress of een externe dienst);
- Eventuele andere gebruikers aanmoedigen om hetzelfde te doen;
- Nooit admin als gebruikersnaam nemen (in oudere WordPress versies is admin de standaard gebruikersnaam, en deze sites worden dan ook vaak het eerst een doelwit);
- Je wachtwoorden op een veilige plek bewaren, zoals LastPass.
Verder kun je de veiligheid van je WordPress login verbeteren met de volgende methodes:
- Het aantal loginpogingen beperken – plugins zoals Login LockDown en Login Security Solution bieden je de mogelijkheid om het aantal loginpogingen vanaf een IP adres binnen een bepaald tijdframe te beperken.
- 2-staps authenticatie invoeren – Middels Duo Two-factor Authentication, Open ID of Clef kun je een extra laagje beveiliging toevoegen die alleen via je mobiele telefoon of je Facebook account gepasseerd kan worden.
- Je loginpagina verbergen – het verplaatsen van wp-admin en wp-login naar niet-standaard webadressen maakt het een stuk lastiger voor hackers om ze te vinden. Gebruik bijvoorbeeld HideLogin+.
#4. Hou WordPress up-to-date
Updates brengen niet alleen nieuwe WordPress functionaliteiten, maar bieden ook oplossingen voor veiligheidskwesties van oudere versies. Volgens een onderzoek van WP WhiteSecurity heeft meer dan 70% van de top WordPress sites op het web kwetsbaarheden doordat ze op een verouderde versie van WordPress draaien. Het is daarom van essentieel belang dat je je WordPress versie up-to-date houdt.
#5. Verberg het WordPress versie nummer
Over up-to-date blijven gesproken: WordPress voegt standaard een meta tag aan de header van je site toe die laat zien welke WordPress versie je draait. Zeker als je site niet up-to-date is (hoewel je onderhand wel beter zou moeten weten), kan dit versienummer hackers helpen om kwetsbaarheden te vinden. Dit kun je voorkomen door de onderstaande regel code aan je functions.php bestand toe te voegen:
remove_action('wp_head', 'wp_generator');
#6. Besteed aandacht aan je WordPress thema’s en plugins
Meer dan de helft van alle succesvolle hackpogingen komen door kwetsbare WordPress thema’s en plugins. Zelfs de beste plugins kunnen een veiligheidsprobleem hebben. Fouten gebeuren nu eenmaal, maar zijn in de meeste gevallen gerepareerd voor ze echt een probleem worden.
Maar om het risico voor je website te minimaliseren, zijn hier een aantal richtlijnen met betrekking tot thema’s en plugins:
- Elimineer wat je kunt — Probeer het aantal plugins dat je draait tot een minimum te beperken. Het zal je verrassen hoeveel plugins je geïnstalleerd hebt die je eigenlijk niet echt nodig hebt. Het verwijderen van overbodige plugins kan ook bevorderlijk zijn voor de snelheid van je website.
- Update regelmatig — Net als WordPress zelf moet je ook zorgen dat de plugins die je gebruikt altijd up-to-date zijn. Dat betekent ook dat als je ziet dat een plugin al langer dan een jaar niet meer geüpdatet is, je beter op zoek kunt gaan naar een alternatief dat wel actief onderhouden wordt.
- Controleer voor installatie — Vermijd het installeren van plugins en thema’s van onbetrouwbare bronnen, en dan met name als ze gratis zijn. Gebruik Theme Check en Plugin Check om elke plugin en elk thema op kwetsbaarheden te controleren voor je overgaat tot installatie.
Toch gehackt?
Het volgen van de bovenstaande tips zal je helpen om je WordPress site aanzienlijk minder kwetsbaar te maken. En mocht het toch ooit misgaan, dan heb je altijd je backup nog (toch?).