Elk voordeel heeft zijn nadeel. Omdat WordPress nu eenmaal het meest gebruikte CMS is ter wereld, is het ook een geliefd doelwit voor hackers. Bij elke WordPress website worden er dagelijks vele hackpogingen ondernomen. Wat zijn de redenen van deze hackpogingen en wat moet je doen om te voorkomen dat deze hackers slagen in hun opzet? Hieronder een aantal simpele tips die kunnen helpen om je WordPress website beter te beveiligen.
Waarom worden websites eigenlijk gehackt?
Eén van de grootste misvattingen is wanneer je een kleine website bezig je niet interessant bent voor hackers. Dit is niet waar, want elke website is interessant voor hackers. Hackers hebben verschillende motieven om websites te aan te vallen.
Om extra code toe te voegen aan jouw website
Lukt het een hacker binnen te dringen dan plakt hij vaak extra stukjes code aan jouw website pagina’s. Een hacker kan dit doen om allerlei redenen zoals:
- Om linkjes te tonen die doorlinken naar een nep ING of Rabobank website om bankgegevens van jouw gebruikers te achterhalen (phising).
- Om advertenties op jouw website te tonen waarmee de hacker vervolgens geld verdiend.
- Het misbruiken van jouw webserver resources om digitale munten te maken zoals bitcoins (minen).
- Het serveren van malware aan jouw bezoekers zodat zij ook besmet raken en gehackt kunnen worden.
- Jouw webserver misbruiken om andere website aan te vallen met nep-verzoeken (DDOS aanval) zodat een website niet of nauwelijks bereikbaar is.
Om spam mail te versturen
Hackers kunnen jouw website misbruiken om grote hoeveelheden ongewenste e-mails (SPAM) te versturen. Hiermee kunnen ze dan weer geld verdienen. Wanneer dit via jouw website gebeurd, is de kans vrij groot dat jouw server op een SPAM blacklist terecht komt. Staat jouw server op zo’n blacklist, dan komen alle e-mails (ook dus de legitieme) die je verstuurd vanuit jouw server direct in de spam map van jouw klanten en worden dus niet gelezen.
Om gebruikersgegevens te achterhalen.
Een hacker kan jouw database met klantengegevens kopieren en deze gegevens misbruiken voor SPAM mail, Phising of het versturen van malware aan jouw gebruikers.
Hoe maak ik mijn WordPress website veiliger?
1. Zorg dat je WordPress core en plugins update
In WordPress worden regelmatig beveiligingsupdates gedaan om een recent ontdekt beveiligingsprobleem op te lossen. Niet updaten betekent dat hackers weten dat jouw website vatbaar is voor deze beveiligingsproblemen. Dit geldt ook voor plugins. Zorg daarom dat je WordPress zo instelt dat je plugins en WordPress automatisch kan worden bijgewerkt.
2. Kies een goede hostingpartij
Kijk bij het kiezen van een hostingpakket niet alleen naar de prijs maar kijk ook naar beveiliging. Wordt er door jouw hostingprovider automatisch wordt gescand op malware, is er een firewall aanwezig , worden er automatische backups gemaakt en worden gebruikers automatisch geblokkeerd wanneer deze teveel aparte verzoeken op jouw website maken. Dit zijn zaken die een goede hostingprovider voor jouw kan regelen.
3. Installeer een security plugin
Installeer een beveiligingplugins zoals WordFence, IThemes of All In One WP Security & Firewall. Met deze plugins kun je gemakkelijk bepaalde beveiligingsmethoden toepassen zoals het beperken van het aantal inlogpogingen op de backend zonder een regel code.
4. Gebruikers rollen minimaliseren
Wanneer je meerdere gebruikers toevoegd, zorg ervoor dat deze gebruikers niet meer rechten geeft dan ze nodig hebben. De reden hier achter is dat niet ieder gebruiker denkt aan veiligheid. Hierdoor vormen zij zo een makkelijkere ingang voor aanvallen van buitenaf. Je beveiliging is namelijk zo sterk als de zwakste schakel. Door gebruikers minimale rechten te geven verklein je het risico. Met een plugin zoals user role editor kun je per rol de verschillende rechten binnen WordPress instellen.
5. Maak wachtwoorden en gebruikersnamen niet te makkelijk
Zorg dat elke gebruiker een lang en lastig wachtwoord gaat gebruiken die bij andere websites niet wordt gebruikt. WordPress heeft zelf een ingebouwde wachtwoord generator waarmee je zo’n lang en lastig wachtwoord kunt genereren. Deze kun je dan opslaan in een online wachtwoord manager zoals lastpass of 1password zodat je hem niet hoeft te onthouden. Zorg ook dat de standaard WordPress gebruikersnamen worden hernoemd of worden uitgeschakeld.
6. Gebruik altijd SSL voor je website
Bij het gebruik van SSL wordt alle informatie die je over het internet verstuurd versleuteld. De data is dan hierdoor onleesbaar voor internetcriminelen van buitenaf. Als je jouw website beveiligd met SSL, dan zien gebruikers ook het groene slotje naast de url. Dit geeft gebruikers een veilig gevoel. Zorg daarom dat je website pagina’s alleen via het HTTPS protocol zijn te benaderen (ipv. HTTP). Dit kun je doen door bijvoorbeeld de plugin Really Simple SSL te installeren.
7. Lees nog meer WordPress beveiligings tips
Hieronder staan nog een aantal interessante linkjes waarin je nog meer tips en informatie kunt krijgen over hoe je jouw website kunt beveiligen.
- https://codex.wordpress.org/Hardening_WordPress. De officiële WordPress pagina met veel uitleg over hoe je jouw beveiliging beter kunt maken.
- https://www.savvii.com/nl/blog/9-tips-om-je-wordpress-website-beter-te-beveiligen/ Een aantal tips over hoe een paar simpele instellingen jouw WordPress website veiliger kunnen maken.
- https://www.wpbeginner.com/wordpress-security/ Een goed leesbaar artikel over WordPress beveiliging.
- https://wpvulndb.com/ Een website waar alle beveiligingslekken voor WordPress en plugins worden bijgehouden.