Wordpress

Eenvoudige beveiligingschecklist voor WordPress-sites

Wist je dat er dagelijks meer dan 100,000 websites worden gehackt? Dat klopt, cybercriminaliteit is een serieuze bedreiging voor elk bedrijf, en iedereen met een WordPress-site is ook niet veilig. Ik heb een aanvaring gehad met hackers (en moest mijn WordPress-site herstellen), en je weet waarschijnlijk dat het lelijk was.

Hackers zijn actief op zoek naar kwetsbare websites om gegevens te kraken en te stelen die ze kunnen vrijgeven voor geldelijk gewin of pure kwade bedoelingen. Om uzelf en uw kostbare site te beschermen, moet u serieus overwegen om uw WordPress-beveiliging te versterken.

Aangezien u inkomsten, tijd en moeite verliest wanneer hackers uw website binnendringen, hebben we de volgende beveiligingschecklist gemaakt die u kunt gebruiken om uw WordPress-website te beveiligen. Alle beveiligingsitems in de post zijn relatief eenvoudig te implementeren, zelfs voor beginners:

  1. WordPress bijwerken
  2. Thema's en plug-ins bijwerken
  3. Gebruik unieke en sterke wachtwoorden
  4. Installeer een WordPress-beveiligingsplug-in
  5. Kies voor geweldige WordPress-hosting
  6. SSL (HTTPS) gebruiken
  7. Een volledige siteback-up maken
  8. Gebruik een Web Application Firewall (WAF)
  9. Schakel bestandsbewerking uit in WordPress Admin
  10. Beveilig uw inlogpagina
  11. Authenticatie toevoegen
  12. Uitloggen inactieve gebruikers
  13. Scannen op malware en problemen
  14. Gebruik een VPN

Zoals je kunt zien, zullen we het bericht in meerdere delen opsplitsen, van het kiezen van een veilige host tot het versterken van je admin-gebied en andere. U moet enkele beveiligingstaken herhalen, zoals het regelmatig bijwerken van uw thema's. Andere taken zijn een eenmalig iets, maar hebben nog steeds een aanzienlijke impact op het beveiligen van uw site. Controleer wat u moet repareren en doe het meteen, want hackers verspillen ook geen tijd.

Eenvoudige WordPress-beveiligingschecklist

1. WordPress bijwerken

De kern van WordPress wordt regelmatig gecontroleerd en gecontroleerd op beveiligingsproblemen. Als beveiligingsfouten en bugs worden gedetecteerd, brengen kernontwikkelaars meestal onderhoudsupdates uit. Kleine updates worden automatisch op uw WordPress-website geïnstalleerd.

U moet WordPress echter handmatig bijwerken voor alle belangrijke releases. Het is een relatief eenvoudig proces omdat je een zeurend bericht krijgt in je WordPress-beheerder. Slechts 22% van de websites draait op de nieuwste versie van WordPress, wat jammer is als je bedenkt hoe gemakkelijk het is om te updaten.

Behoor niet tot de resterende 78%, aangezien u uw site in wezen blootstelt aan allerlei soorten aanvallen door uw website niet bij te werken. Gewoonlijk zijn hackers de eerste groep mensen die iets te weten komt over eventuele kwetsbaarheden in oude versies, omdat ze op de gebreken rekenen om succesvolle aanvallen uit te voeren.

Voordat je WordPress bijwerkt, raden we je aan de release-opmerkingen te lezen om te zien wat er is veranderd en een back-up van je website te maken (voor de zekerheid). Op deze manier weet je nu wat je kunt verwachten als je op die update-knop klikt, en je hebt een failsafe als er iets misgaat.

2. Thema's en plug-ins bijwerken

Vergeet tijdens het bijwerken van de WordPress-kern niet ook uw thema's en plug-ins bij te werken. Hackers zijn vooral dol op oude thema's en plug-ins met bekende beveiligingslekken.

Ze maken misbruik van deze beveiligingsproblemen en kunnen zelfs een achterdeur verbergen in een oud thema of oude plug-in. Als u niet bijwerkt, kunnen ze uw website hacken wanneer ze maar willen.

Om te voorkomen dat u uw aangepaste stijlen kwijtraakt, raden we u aan een WordPress-kinderthema te gebruiken in plaats van het bovenliggende thema. Op die manier verliest u uw aanpassingen niet wanneer u uw thema bijwerkt.

Je moet ook alle inactieve thema's, plug-ins en ongebruikte WordPress-installaties verwijderen. U bespaart niet alleen bandbreedte en maakt uw website sneller, maar u houdt ook hackers op afstand.

Nog een snelle opmerking, download nooit premium-thema's en plug-ins met "nulled". Gebruik alleen vertrouwde bronnen zoals WordPress.org, Envato of een andere gerenommeerde themawinkel.

3. Gebruik unieke en sterke wachtwoorden

Het zal je verbazen dat de meeste websites worden gehackt wanneer de slechteriken je inloggegevens stelen. Bovendien komen brute force-aanvallen vrij vaak voor en wordt uw inlogpagina gebombardeerd met duizenden combinaties van gebruikersnaam en wachtwoord totdat er iets gebeurt.

Als u zwakke gebruikersnamen en wachtwoorden gebruikt (zoals de beruchte "admin" of "12345"), maakt u het voor hackers ongelooflijk gemakkelijk om in te breken op uw website. Maak er een gewoonte van om unieke en sterke wachtwoorden te maken die u regelmatig wijzigt. U kunt zelfs een gratis online generator gebruiken, zoals deze van LastPass.

Het beheren van veel sterke wachtwoorden kan een probleem zijn. Om te helpen vertrouw ik vaak op wachtwoordmanagers zoals 1Password of LastPass. Gebruik niet hetzelfde wachtwoord op meerdere websites en bewaar uw inloggegevens altijd veilig. Zorg ervoor dat uw WordPress-gebruikers ook sterke wachtwoorden gebruiken.

Terwijl u toch bezig bent, vergeet niet om sterke wachtwoorden te gebruiken voor uw e-mail, cPanel, MySQL-databases en FTP-accounts.

4. Installeer een WordPress Security Plugin

Telkens wanneer ik een nieuwe WordPress-website maak, heb ik meestal verschillende defacto-plug-ins die ik bijna automatisch installeer. Ik krijg een anti-spam-plug-in, Contact Form 7, Symple Shortcodes en iThemes Security, mijn favoriete WordPress-beveiligingsplug-in.

Met de plug-in kan ik mijn WordPress-verdediging versterken zonder te zweten. Het wordt geleverd met zoveel functies die het een fluitje van een cent maken om de slechteriken uit mijn websites te houden. Het configureren van de plug-in is super eenvoudig; je zou binnen de kortste keren aan de slag moeten zijn.

De beste WordPress-beveiligingsplug-ins bieden u verschillende functies, dus controleer voordat u installeert of u alle functies krijgt die u nodig heeft om uw hele website te beveiligen, hoe uniek ook. Standaardfuncties zijn onder meer het scannen van malware, IP-blokkering, brute-force-preventie, tweefactorauthenticatie en nog veel meer - het aanvinken van veel van de vakjes voor deze beveiligingschecklist die u nu aan het lezen bent!

5. Kies Geweldige WordPress-hosting

Meestal springen beginners op voor het eerste goedkope hostingpakket dat ze tegenkomen. Ik zou het je niet kwalijk nemen omdat je niet beter weet, maar twijfelachtig goedkope (of zelfs gratis) shared hosting kan je blootstellen aan beveiligingsrisico's. Ik weet dit zeker omdat ik ben gehackt op twee verschillende hostingbedrijven die shared hosting aanbieden.

Bij shared hosting wordt een server gedeeld met duizenden andere websites. Dit verhoogt het risico op cross-site besmetting. Dat wil zeggen dat een hacker toegang kan krijgen tot uw site, zelfs als de website van iemand anders het oorspronkelijke aanvalspunt was.

Beheerde WordPress-hosting daarentegen richt zich alleen op WordPress-websites. Je deelt een server niet met anderen en je krijgt meer beveiligingsopties om veilig te blijven. Ze bieden ook toegewijde ondersteuning en meer herstelopties mocht het ergste gebeuren.

Als je shared hosting moet gebruiken, stel dat je begint met een blog die nog geen geld verdient, zorg er dan voor dat de sites geïsoleerd zijn of 'gevangengezet'. Als u een zakelijke of eCommerce-website heeft, loont het om de beste WordPress-hosting te gebruiken die vanaf het begin in uw budget past, zoals VPS, dedicated of beheerde WordPress-hosting.

6. Gebruik SSL (HTTPS)

Tegenwoordig bieden veel WordPress-hostingbedrijven vanaf het begin gratis SSL-certificaten aan en met een goede reden. SSL-certificaten maken uw website veiliger dan sites zonder SSL. Google raadt ook aan om SSL-certificaten te gebruiken om gegevens op uw website te beschermen (en ervoor te zorgen dat gebruikers weten of u SSL gebruikt of niet).

HTTPS is veiliger dan zijn voorganger HTTP. Een website die HTTPS gebruikt, versleutelt alle gegevens die tussen de browser van de gebruiker en uw servers worden verplaatst. Als een hacker de communicatie onderschept, zullen ze alleen versleutelde gegevens vinden die net zo nuttig zijn als een eenbenige man in een ass-kicking competitie 🙂

Het installeren van SSL-certificaten op de meeste webhosts is net zo eenvoudig als A, B, C. De meeste bieden installatieprogramma's met één klik die het hele proces gemakkelijk maken. Log eenvoudig in op uw cPanel en klik op een enkele knop om uw SSL-certificaten te installeren en te beheren. Als je een meer praktische benadering wilt, overweeg dan om Let's Encrypt te bekijken.

7. Maak een volledige siteback-up

Toen hackers me onttroonden, moest ik mijn websites helemaal opnieuw opbouwen, een hoofdpijn die ik zou hebben vermeden als ik er goed aan had gedacht een back-up van WordPress te maken.

Maar nee, de back-ups die bij mijn webhost waren, waren beschadigd tijdens de aanval, en nee, ik had geen secundaire back-upoplossing. Een klassiek geval van al je eieren in één mand leggen, dat leerde me een harde les.

Tegenwoordig maak ik volledige websiteback-ups die mijn websitebestanden en databases bevatten. Ik gebruik voornamelijk ManageWP, maar ik gebruik ook de Duplicator-plug-in om back-ups op mijn computer en in Google Drive op te slaan.

Ik verzoek u dringend om regelmatig volledige back-ups te maken. Met veel back-upoplossingen voor WordPress kun je het hele proces automatiseren, waardoor je tijd bespaart en je gemoedsrust hebt.

8. Gebruik een Web Application Firewall (WAF)

Om een ​​extra beveiligingslaag aan uw WordPress-site toe te voegen en 's nachts beter te slapen, schakelt u een webtoepassingsfirewall (WAF) in. Een WAF beschermt uw website door kwaadaardig verkeer te blokkeren lang voordat het uw site bereikt. Het is een proactieve maatregel om de slechteriken te stoppen voordat ze schade aanrichten.

De firewall filtert uw inkomend verkeer, elimineert hackers en laat legitieme gebruikers door. Veel WordPress-beveiligingsbedrijven bieden naast andere functies ook firewalls voor webtoepassingen. Populaire opties in de branche zijn Sucuri en Cloudflare.

9. Schakel bestandsbewerking uit in WordPress Admin

Het WordPress CMS wordt geleverd met een fantastische code-editor waarmee u plug-in- en themabestanden in uw WordPress-beheerdersdashboard kunt bewerken. De code-editor is een geweldig hulpmiddel om tot je beschikking te hebben, maar in verkeerde handen kunnen hackers het gebruiken om malware op je website te defacen of toe te voegen.

U kunt uw thema- en plug-insbestanden (indien nodig) altijd bewerken via FTP of bestandsbeheer in cPanel, wat betekent dat u de code-editor in WordPress helemaal kunt uitschakelen. U wilt niet dat hackers die toegang krijgen tot uw WordPress-beheergebied toegang hebben tot de code-editor, omdat ze met een paar regels code veel schade kunnen aanrichten.

Wat te doen? U kunt de ingebouwde code-editor uitschakelen met de gratis plug-in Sucuri Security. Als alternatief kunt u de volgende code toevoegen aan uw: wp-config.php file:

//Bewerken van bestand niet toestaan ​​definiëren ('DISALLOW_FILE_EDIT', true);

We gaan verder.

10. Beveilig uw inlogpagina

Meestal heeft het inlogformulier op uw WordPress twee velden; gebruikersnaam en wachtwoord. Nu brute force aanvallers en bots met de dag slimmer worden, hoe voorkom je dat hackers toegang krijgen tot je WordPress-beheergebied? Het is makkelijk; je voegt CAPTCHA of beveiligingsvragen toe die het voor iedereen moeilijker maken om ongeautoriseerde toegang te krijgen.

En je hoeft geen code te bewerken om CAPTCHA toevoegen or veiligheidsvragen naar uw inlogpagina. Er is een populaire WordPress-plug-in die bekend staat als WP Security Question en die eenvoudig te configureren en te gebruiken is. Als je CAPTCHA wilt gebruiken, kun je Simple Login Captcha, WordFence of een van de vele andere gratis opties gebruiken op WordPress.org.

Tegelijkertijd kun je verander je wp-login URL tot iets unieks. Op die manier zullen bots en hackers moeite hebben om de URL naar uw inlogpagina te raden. wp-login is al populair onder hackers, dus het is volkomen logisch om de URL in iets anders te veranderen. U kunt een plug-in gebruiken zoals WPS Hide Login.

11. Verificatie toevoegen

Overweeg daarnaast om twee-factor- en multi-factor-authenticatie te implementeren. Als een hacker toegang krijgt tot uw inloggegevens, kunnen ze niet inloggen op uw WordPress-site. Er zijn veel opties beschikbaar, maar Google Authenticator is een populaire keuze.

Anders dan dat, beperk logins op uw inlogpagina. Als een bezoeker probeert in te loggen met een account dat niet bestaat of vaak opnieuw probeert in te loggen, is het hoogstwaarschijnlijk een hacker of bot die probeert om met brute kracht binnen te komen. U kunt een plug-in gebruiken zoals Limit Login Pogingen of Login Lockdown om deze opdringerige elementen weg te houden.

12. Uitloggen inactieve gebruikers

Wanneer u een WordPress-website voor meerdere gebruikers heeft, kunt u niet volledig bepalen hoe of waar gebruikers uw website openen. Een auteur kan besluiten om gratis openbare wifi te gebruiken om de laatste hand te leggen aan een artikel. Een webdesigner kan zijn bureau verlaten en terugkomen van een lunchpauze van een uur.

In dergelijke scenario's kan uw gebruiker uw website onbewust blootstellen aan beveiligingsrisico's. Een kwaadwillende persoon kan zijn sessie overnemen, zijn gegevens aanpassen en eenvoudigweg schade aanrichten. Als de onbevoegde weet wat hij doet, kan hij gemakkelijk het account van de gebruiker overnemen en schade aanrichten.

Wat te doen? U kunt inactieve gebruikers automatisch uitloggen na een vooraf gedefinieerde periode. En het beste deel? Er zijn plug-ins voor dit exacte doel. Een populaire optie is de plug-in Inactive Logout, die opties bevat voor het aanpassen van de inactieve tijd vóór het uitloggen, een aangepast pop-upbericht of omleiding bij het uitloggen, en een time-out op basis van de gebruikersrol.

13. Scannen op malware en problemen (regelmatig)

Vaak vergeten, kan het regelmatig scannen van uw WordPress-website u helpen beveiligingsproblemen in een vroeg stadium te identificeren. Het duurt slechts een seconde voordat een hacker inbreekt op uw website en allerlei vervelende dingen doet. Dit is precies waarom je altijd op de hoogte moet blijven.

Veel WordPress-beveiligingsplug-ins om te scannen op malware-infecties, bekende beveiligingsproblemen, verouderde scripts, brute force-aanvallen, niet-bestaande back-ups, enzovoort. De plug-ins sturen u gedetailleerde rapporten over bekende problemen, zodat u ze kunt oplossen of een professional kunt inhuren.

Er zijn veel websitescanners, zoals Sucuri SiteCheck, waarmee u uw site in een oogwenk kunt controleren. Het enige wat u hoeft te doen is uw URL in te voeren, en de tools zullen uw website automatisch controleren. Daarna bieden ze u een rapport aan over wat u moet oplossen. Zodra u het rapport heeft, lost u onmiddellijk alle beveiligingsproblemen op.

14. Gebruik een VPN

Als u een website beheert met gevoelige informatie die nooit in handen van hackers mag komen, overweeg dan om een ​​virtueel particulier netwerk (VPN) te gebruiken, vooral wanneer u gratis openbare wifi gebruikt. Een VPN beschermt je tegen man-in-middle-aanvallen die veel voorkomen in openbare netwerken, ook thuis en op het werk.

Een virtueel particulier netwerk zorgt ervoor dat zelfs als de aanvallers toegang krijgen tot het systeem en uw gegevens stelen, ze niets kunnen doen met de gegevens die ze van u afnemen. Als je een internetnetwerk hebt dat je met veel mensen deelt, gebruik dan altijd een VPN voordat je naar je WordPress-beheergebied gaat.

Andere WordPress-beveiligingsopties

Meer te doen? We willen uw website graag te allen tijde veilig houden, dus hier zijn bonusbeveiligingsitems om toe te voegen aan uw checklist:

  • Schakel PHP-bestandsuitvoering uit in /wp-content/wp-uploads/
  • Wijzig uw WordPress-databasevoorvoegsel
  • Beveilig uw beheerders- en inlogpagina's met een wachtwoord aan de serverzijde
  • Directory-indexering uitschakelen
  • Schakel WP REST API en XML-RPC uit indien niet nodig
  • Bewerk/wijzig de WordPress-kern niet - schrijf of gebruik een plug-in die in plaats daarvan de functionaliteit biedt die u nodig hebt
  • Zorg ervoor dat uw website de nieuwste versie van PHP gebruikt
  • Gebruik een antivirusprogramma op uw computer
  • Google Search Console inschakelen
  • Verminder XSS- en SQL-injectiekwetsbaarheden (mogelijk heeft u een meer technisch onderlegde persoon nodig om met deze twee te helpen)

Het aantal stappen dat u kunt nemen om uw site te beschermen, is echt eindeloos. Maar als u de 14 items kunt afvinken die we hebben vermeld, is het een enorme stap om uw site te beveiligen.


Het beveiligen van uw WordPress-website is een uitdaging, maar niet onmogelijk. Met de juiste tools en vaardigheden kun je snel je WordPress-beveiliging versterken en de slechteriken weghouden.

Kortom, houd uw website altijd up-to-date. Download bovendien nooit thema's of plug-ins van onbetrouwbare sites. En voor de zekerheid, mocht het ergste gebeuren, zorg altijd voor een betrouwbare back-upoplossing.

We hopen dat je alle tips hebt gevonden die je nodig hebt om je WordPress-website te beveiligen, dus online zakendoen. Als je een vraag hebt of hulp nodig hebt bij het uitzoeken hoe je je WordPress-website kunt beveiligen, laat het ons dan weten in de comments. Blijf Veilig!

Gerelateerde artikelen

0 Comments
Inline feedbacks
Bekijk alle reacties
Terug naar boven knop