WordPress website beveiligen, alles wat je moet weten
Je WordPress website beveiligen? Waarom? Bloggers en kleine bedrijven zien er vaak het nut niet van in. Je website is niet groot en belangrijk, wie zou dat nou willen hacken? Helaas is dat echt een misvatting. Automatische scripts van hackers staan te popelen om je website aan te vallen en geven niets om het belang van je website. Je WordPress website beveiligen is dus altijd een goed idee en gelukkig lang niet zo moeilijk als je zou denken. Met onze tips ga je voortvarend aan de slag. En heb je toch hulp nodig? Dan staat Precies Internetbureau voor je klaar.
Waarom is WordPress beveiligen zo belangrijk?
WordPress is het populairste CMS ter wereld en de basis voor miljoenen websites. Dat maakt het CMS ook populair bij hackers. Wanneer een hacker een script maakt om WordPress websites aan te vallen, zijn er in no-time tal van slachtoffers. Dagelijks worden er meer dan 100.000 websites gehackt. Een groot deel daarvan bestaat uit WordPress websites.
Kan ik WordPress veilig gebruiken?
Nu je weet dat WordPress een populair doelwit van hackers is, kun je onzeker worden over je keuze voor WordPress. Is WordPress nog wel veilig te gebruiken? Het antwoord op deze vraag is ‘ja’. WordPress is een veilig platform. Maar je zult wel zelf maatregelen moeten nemen om de veiligheid van je website in stand te houden. Door een aantal kleine zaken aan te passen, kun je de beveiliging van je WordPress website eenvoudig verbeteren. Investeer in het beveiligen van je WordPress website en je hoeft niet langer wakker te liggen van online dreiging van hackers. Wel zo’n prettig idee.
WordPress website gehackt? Dit zijn de gevolgen
Wanneer je WordPress website gehackt is, kan dat heel vervelende gevolgen hebben, zoals:
- Persoonlijke informatie kan gesloten worden.
- Je website kan links bevatten naar andere websites waar je niets mee te maken wil hebben.
- Geïnstalleerde malware kan je bezoekers infecteren.
- Google rankings kunnen dalen.
- Je website kan minder goed converteren en levert minder geld op.
Zonde van alle tijd en moeite die je in je website hebt gestoken! Zeker voor bedrijfswebsites is het beveiligen van WordPress dan ook essentieel. Met onderstaande tips helpen we je graag op weg.
WordPress website beveiligen: 16 handige tips
Het beveiligen van je WordPress website kan op verschillende manieren. Volg je de eerste vijf tips? Dan ben je al beter beveiligd dan 99% van alle WordPress websites. Hoe meer van de andere tips je daarnaast ook nog opvolgt, hoe beter de beveiliging van je website. De kans dat je dan nog gehackt wordt is nihil.
Tip #1: Computer beschermen
De eerste tip heeft niet direct met WordPress te maken, maar ligt echt aan de basis: het beveiligen van je computer. Door de voorkomen dat je computer geïnfecteerd kan raken met een virus of malware, zorg je er ook voor dat dit niet kan overslaan naar je website. Gebruik daarom altijd een VPN als je verbinding maakt met een openbaar WiFi netwerk, houdt computersoftware up-to-date en draai regelmatig een virusscanner om eventuele problemen op te sporen.
Tip #2: Veilige webhosting kiezen
Helaas heeft niet iedere hostingprovider de veiligheid van websites hoog in het vaandel staan. Grote partijen als GoDaddy en Bluehost staan er om bekend dat veel van de websites die zij hosten worden gehackt. Investeer daarom in veilige webhosting met een actuele PHP-versie, regelmatige backups en updates, malware scans en firewalls. Een goede Nederlandse optie is Cloud86. Internationaal staan Kinsta en SiteGround goed bekend.
Tip #3: Beveilig je website accounts met sterke wachtwoorden
Het lijkt een inkoppertje, maar wordt vaak overgeslagen: sterke wachtwoorden. Zorgt dat je voor alle ingangen van je website een uniek wachtwoord gebruikt en verander deze regelmatig. Denk aan de wachtwoorden voor je WordPress dashboard, je hosting account, je e-mailadres, FTP accounts, thema’s en plugins en andere dingen die met je website verbonden zijn.
Tip #4: Zorg dat de software van je website up-to-date is
Gebruik je achterhaalde en verouderde software? Dan ben je eerder slachtoffer van hacks en malware dan wanneer je dit systematisch bijhoudt of bij laat houden. Niet al het WordPress onderhoud kun je zelf doen en soms zul je ook de hulp van een expert of Internetbureau moeten inschakelen. Helemaal wanneer er iets mis gaat na een update. Internetbureau lossen die dan meteen voor je op en dan kun jij je focus houden op je business.
Tip #5: Installeer een plugin voor WordPress beveiliging
Bij WordPress is voor vrijwel alles een plugin verkrijgbaar, zo ook voor WordPress beveiliging. Deze plugins voeren veel van onze tips automatisch uit. Geschikte plugins zijn onder andere:
- Sucuri
- SG Security
- iThemes Security
Tip #6: Geef gebruikers niet meer toegang dan nodig is
Iedere gebruiker van een website heeft een eigen rol. Door deze rollen goed in te delen, voorkom je dat mensen onnodig toegang hebben tot delen van de website waar zij niets te zoeken hebben. De tekstschrijver die artikelen publiceert, heeft immers niets aan site admin rechten. Check regelmatig of iedereen een goede rol heeft en verwijder gebruikers die niet meer actief zijn om te voorkomen dat er gekke dingen op je website kunnen gaan gebeuren.
Tip #7: Kies een unieke inlognaam
De standaard gebruikersnaam voor je WordPress dashboard is ‘admin’. Dit is dan ook de eerste gebruikersnaam die hackers proberen bij een brute force login poging. Verander daarom je gebruikersnaam in een unieke inlognaam en houd hackers buiten de deur.
Tip #8: Plaats geen berichten als Administrator
Om het hackers moeilijk te maken je inlognaam te raden, kun je berichten het beste plaatsen als Contributor of Editor. Wanneer je dingen plaatst als Administrator, kan een hacker je gebruikersnaam herleiden uit de URL. Hij heeft dan alleen nog je wachtwoord nodig om binnen te komen.
Tip #9: Installeer een SSL-certificaat
Ken je dat slotje naast de URL in de zoekbalk? Dat is een teken dat je website voorzien is van een veilige verbinding. Hiervoor heb je een SSL-certificaat nodig. Je kunt een SSL-certificaat gratis verkrijgen via Let’s Encrypt.
Tip #10: Zorg voor twee-staps authenticatie
Is het een hacker toch gelukt om je inlognaam én wachtwoord te achterhalen? Dan voorkom je met twee-staps authenticatie alsnog dat iemand kan inloggen op je website. Gebruik bijvoorbeeld de plugin Two Factor Authentication, zodat je pas kunt inloggen nadat je ook de bevestigingscode op je telefoon ontvangen hebt.
Tip #11: Wijzig de URL van je WordPress admin
Net als de gebruikersnaam is ook de standaard WordPress admin URL altijd hetzelfde (/wp-admin/ of /wp-login.php). Alle hackers, bots en scripts zijn daarvan op de hoogte. Door de URL van je WordPress admin te wijzigen, wordt de kans een stuk kleiner dat hackers kunnen proberen je website binnen te dringen. Je wijzigt je admin URL door middel van een gratis plugin, zoals WPS Hide.
Tip #12: Zorg voor een actuele PHP-versie
PHP vormt de basis van je WordPress website. Het is daarom heel belangrijk dat de gebruikte PHP versie een actuele versie is en niet een verouderde versie als PHP 5.6. Op het dashboard van je hostingprovider kun je zien op welke PHP-versie jouw website draait. Is dat een verouderde versie? Dan kun je deze via je hosting upgraden. Hou er wel rekening mee dat wanneer je software niet up-to-date is je website “kapot” kan gaan wanneer je de PHP update. Sommige functionaliteiten werken dan niet goed meer samen met de vernieuwde PHP-versie.
Tip #13: Maak regelmatig een WordPress back-up
Het kan natuurlijk gebeuren dat er toch iets misgaat met je website. Vervelend! Dan ben je blij als je een recente WordPress back-up kunt terugzetten om je website snel weer online te krijgen. Als je bij een Internetbureau je website laat onderhouden dan zullen zij in de meeste gevallen een dagelijkse back-up maken van je website en deze minimaal 30 dagen bewaren. Wij bij Precies Internetbureau bewaren je back-ups zelf 3 maanden!
Tip #14: WordPress niet up-to-date? Verberg dan je WordPress versie
We schreven het al bij Tip 4: zorg dat je software up-to-date is. Lukt het, om wat voor reden dan ook, niet om WordPress automatisch en/of regelmatig te updaten? Zorg dan dat hackers niet kunnen achterhalen welke WordPress versie je gebruikt. De gebruikte versie is te achterhalen via de code van je website. Met een beveiligingsplugin als SG Optimizer kun je het WordPress versie nummer verbergen. Het beste is natuurlijk nog steeds om met regelmaat als te laten bijwerken.
Tip #15: Bescherm je WordPress website tegen DDoS-aanvallen
Een DDoS-aanval is voor hackers een populaire manier om je website stil te leggen. Door je website te overspoelen met nep-verkeer, lopen de systemen vast en gaat je website uit de lucht. Als je de website laat hosten door ons dan is dit automatisch voor je geregeld. Mochten er toch problemen ontstaan dan worden er direct maatregelen genomen om het z.s.m. op te lossen.
Tip #16: Kies voor betrouwbare WordPress thema’s en plugins
Laat je de website niet ontwikkelen door een Internetbureau en zoek je een thema of plugin voor je WordPress website? Dan heb je eindeloos veel keuze. Let er bij het kiezen op hoeveel gebruikers de software hebben geïnstalleerd. Dit is een goede indicatie van de betrouwbaarheid van een thema of plugin. Regelmatige updates en een betrouwbaar team zijn belangrijk om de veiligheid van een thema of plugin te garanderen. Er zullen dan ook regelmatiger updates verschijnen die alles netjes en veilig houden.
Toch gehackt? Wij helpen je uit de brand!
Ondanks je goede en eindeloze inzet om je WordPress website beveiliging goed te houden kan het toch gebeuren dat je website gehackt wordt. Of misschien twijfel je of de beveiliging van je website wel goed genoeg geregeld is. Dan is het slim om een professional in te schakelen die met je meekijkt. Precies Internetbureau helpt je graag zoeken naar de hack en kan eventuele problemen ook voor je oplossen. Aarzel dus zeker niet om onze hulp in te schakelen wanneer je website (vermoedelijk) gehackt is. Dan zorgen wij ervoor dat de beveiliging van je website weer helemaal in orde komt.
