WordPress Beveiligen

Ben jij wel eens bang dat je WordPress site gehackt wordt en wat je hier preventief tegen kan doen? Wij hebben een aantal aandachtspunten op een rijtje gezet om je WordPress te beveiligen.
Wil je dat wij je WordPress site beveiligen? Neem dan contact met ons op!

Is WordPress veilig?

WordPress is een “open source” community project, wat betekent dat iedereen de code mag bekijken en aanpassen zonder dat hier toestemming voor nodig is. Hierdoor wordt het gemakkelijker om beveiligingslekken te vinden en kunnen kwaadwillende deze misbruiken.
Het WordPress Security Team dicht deze beveiligingslekken zo snel mogelijk. Dit doen ze door middel van het uitvoeren van updates. Daarom is het erg belangrijk om je WordPress website up- to-date te houden.

Omdat WordPress door enorm veel websites gebruikt wordt, is het een interessant doelwit voor hackers om dit geautomatiseerd te doen. Wanneer een lek gevonden is, zijn er al snel miljoenen websites die achterlopen met updates die hiervan slachtoffer kunnen worden. Daarom is het zaak om bij te blijven met alle updates. Dit is ook iets wat je kan laten doen door specialisten.
Wanneer je up-to-date bent, is de ‘kern’ van WordPress gelukkig enorm veilig, er zijn wel een paar dingen waar je rekening mee moet houden.

Plugins & thema’s

Plugins en thema’s spelen een grote rol bij de beveiliging van WordPress en de ‘onveiligheid’ hiervan. De plugins en thema’s bevatten vaak een hoop extra functionaliteiten en worden door een veel kleinere groep ontwikkelaars gemaakt. Sommige plugins of thema’s worden slechts door één persoon onderhouden, beheerd en gecontroleerd. Daardoor neemt het risico op fouten en achterstallig onderhoud toe. Vaak worden hierom bekendere plugins met veel updates en veel gebruikers als ‘veilig’ gezien.

Bij het toevoegen van een plugin is het belangrijk om er op te letten dat deze nog steeds onderhouden wordt. Wanneer een plugin zes à twaalf maanden geen update heeft gehad, kun je vaak in de support/ondersteuningssectie kijken hoe actief de mensen daar zijn en of alles nog juist functioneert. Plugins die één à twee jaar geen updates meer hebben gehad, kun je doorgaans beter vermijden! (uitzonderingen daargelaten)
Daarnaast is de bron (waar je een plugin download) belangrijk. De bron van een plugin moet vertrouwd zijn zoals bijvoorbeeld WordPress.org (direct vanuit je dashboard) of CodeCanyon. Zo kun je de kans verkleinen dat je een plugin download waar iemand moedwillig ‘onveilige code’ in heeft geplaatst.

Wat kan er nog meer fout gaan?

DDOS Aanval

Een bekend fenomeen binnen de hacker wereld is de zogenaamde “DDOS aanval”. Hierbij wordt een andermans website neergehaald omdat er meerdere computers tegelijk berichtjes sturen naar de website. Op een bepaald punt kan de website het aantal berichtjes niet meer aan en valt het uit. Dit kan voor bijvoorbeeld webshops een erg groot probleem vormen, omdat zij hier heel veel inkomsten mee mislopen. Ook kan het zijn dat de desbetreffende hacker een afpers e-mail stuurt waarin staat dat ze pas stoppen met hun DDOS aanval als er bitcoins worden betaald.

Phishing

Phishing is een ander bekend fenomeen dat heel veel gebruikt wordt om inloggegevens te achterhalen. Meestal gebeurt dit door middel van een simpele e-mail waarin staat dat je opnieuw moet inloggen op je website omdat deze zogenaamd “opnieuw ingesteld moet worden”. In de e-mail bevindt zich dan meestal een link die jou zogenaamd naar je eigen website zou moeten brengen om je wachtwoord opnieuw in te stellen, maar wat er echt gebeurd is dat je naar een nep site wordt doorverwezen en de hackers stiekem je inloggegevens opslaan.

Besmet thema of plugin

Zoals hierboven al genoemd, kan het zijn dat een plugin al meerdere maanden niet is onderhouden en hierdoor een doelwit wordt voor hackers, maar het kan ook zijn dat een thema of plugin wordt besmet met malicious code. Hackers implementeren dan een extra nutteloos bestand in het thema en /of plugin, die in de eerste instantie niet opvalt. Op het moment dat deze wordt geïnstalleerd in een website, geeft dit de hackers direct toegang tot de desbetreffende website.

Bruteforce aanval

Een bruteforce aanval is een manier waarbij hackers een computer gebruiken die heel erg lang achter elkaar gaat proberen in te loggen op een website totdat ze de juiste login combinatie hebben gevonden. Dit wordt meestal gedaan met een lijst van wachtwoorden die afkomstig zijn van eerdere hacks.

Welke maatregelen kun je zelf nemen tegen WordPress hacks?

Het is onmogelijk om je website “100% hackproof” te krijgen, maar er zijn natuurlijk heel veel dingen die je kunt doen om de kans heel erg te verkleinen.
(Al zijn wij zo zeker van ons kunnen dat we een hack-vrij garantie geven op onze Site Service pakketten!)

Check de afkomst van je thema’s en plugins

Het is erg belangrijk om te checken waar je je plugins en/of thema’s vanaf downloadt. Alle producten die op WordPress.org staan moeten een beveiligingscheck ondergaan voordat ze online worden geplaatst maar er bestaan talloze andere websites waar een dergelijke check niet of in veel mindere mate aanwezig is. Daarom is het erg belangrijk om goed naar de recensies te kijken voordat je over gaat tot het kopen van een bepaald thema.

Neem een goede en veilige hosting provider

Een van de belangrijkste dingen die je nodig hebt voor je website is natuurlijk een goede hosting provider, maar het is ook erg belangrijk om er een uit te zoeken die veilig is. Het kan bijvoorbeeld zijn dat jouw website het slachtoffer wordt van een DDOS aanval en dat je een webshop hebt die eigenlijk niet echt inkomsten kan mislopen. Het is dan erg belangrijk om een hosting provider te hebben die de mogelijkheid biedt tot een DDOS protectie wanneer dit nodig is. Ook is het belangrijk dat de hosting provider regelmatig back-ups van je website maakt zodat er geen gegevens verloren gaan.

Draai regelmatig updates

Het regelmatig draaien van updates speelt ook een hele grote in de beveiliging van WordPress. Hackers zoeken voortdurend naar fouten in de code die ze kunnen misbruiken en deze fouten worden vaak gefixt door middel van updates. Het is dus erg aan te raden regelmatig updates te draaien.

Installeer een WordPress beveiligingsplugin

Er zijn verschillende plugins die kunnen helpen bij het beveiligen van je WordPress website. Dit is doorgaans een tool om te helpen maar je WordPress beveiliging is zo sterk als de zwakste schakel. Punten om rekening mee te houden is het automatisch blokkeren van verdachte bezoekers/aanvragen, two-factor authentication en bestanden scannen/monitoren, zijn punten die regelmatig in een plugin terug te vinden zijn echter zijn er ook hosting providers die dit op hosting niveau al verzorgen.

Sterke inloggegevens

Heel veel mensen gebruiken vaak hetzelfde wachtwoord bij verschillende websites. Dit is natuurlijk lekker makkelijk maar totaal niet veilig. Hiermee geef je hackers makkelijker de kans om met een bruteforce aanval binnen te komen op jouw website, dus zorg er altijd voor dat je een goed en uniek wachtwoord hebt en je niet een standaard gebruikersnaam gebruikt zoals “Admin”. Dit staat namelijk meestal bovenaan het lijstje van een computer die een bruteforce aanval uitvoert. Dit kan je verder nog versterken door gebruik te maken van two-factor authentication.

Hulp nodig met je WordPress beveiliging?

Neem contact met ons op voor meer informatie.