WordPress beveiligen is cruciaal voor uw omzet, reputatie en naamsbekendheid. Met deze 9 tips verkleint u de kans op hacks tot een minimum.
U moet er niet aan denken dat uw website wordt gehackt, en toch gebeurt het vaak genoeg. Heel vaak zelfs: volgens schattingen wereldwijd wel zo’n 30.000 keer per dag. Beveiliging van uw WordPress website is om die reden dan ook essentieel en daarom is Klarned er om u tegen hackers en andere ongewenste gasten te beveiligen. Host u zelf uw website, twijfelt u over de beveiliging en wilt u de WordPress website beter beveiligen? Ontdek in dit artikel, aan de hand van negen tips, hoe u de kans op hacks tot een minimum kunt beperken.
Is WordPress een veilig CMS?
WordPress is een open source CMS dat regelmatig wordt bijgewerkt. Waar u kleine updates automatisch kunt laten installeren, moet u dit met grote updates doorgaans zelf doen. Klarned zorgt voor de updates nadat we de update gecontroleerd hebben; uw hoeft er niets voor te doen. In de basis is WordPress een veilig CMS. Worden er door gebruikers of programmeurs echter veiligheidsrisico’s geconstateerd? Dan moet de WordPress beveiliging worden opgeschroefd en volgen er snel updates.
Naast de basis-software kunt u WordPress uitbreiden met diverse plugins en thema’s, die worden ontwikkeld door externe partijen. Plugins en thema’s zijn handig, maar ze kunnen uw site ook kwetsbaar maken voor hackers. Om uw WordPress website beter te beveiligen, kunt u om die reden het beste alleen software installeren van betrouwbare ontwikkelaars die hun producten regelmatig vernieuwen. Gebruikt u de plugins en thema’s niet meer? Verwijder ze dan. Dit omdat, wanneer u een plugin uit zet, hij alsnog kan worden misbruikt. Om uw WordPress optimaal te beveiligen raden we aan om updates altijd in de gaten te houden en zo snel mogelijk te downloaden. Op die manier blijft uw website zo veilig mogelijk.
WordPress beveiligen begint bij een betrouwbare hoster
Wanneer uw website online staat bij een hosting provider die zijn WordPress beveiliging niet goed op orde heeft, dan is de kans op hacks levensgroot. Eind 2020 werd een inbraakpoging gedaan bij het Nederlandse Alfa Host. Het bedrijf wilde niet vertellen of er gegevens buit zijn gemaakt, maar stof tot nadenken biedt het zeker. Klarned daarentegen maakt van de beveiliging van WordPress topprioriteit.
We richten ons bijvoorbeeld volledig op WordPress en kennen dit CMS daarom tot in het kleinste detail. We beschermen onze servers ten alle tijden met hardware en specifieke maatwerk WordPress-filters tegen veelvoorkomende cyberaanvallen. Zelfs commentaren en contactformulieren checken we op spamrobots. Daarnaast maken we het hackers onmogelijk om wijzigingen aan te brengen aan essentiële WordPress Core-bestanden. Uiteraard is dit nog maar het topje van de ijsberg. Host u uw website bij een andere provider? Of wilt u uw WordPress website nog wat beter beveiligen? Volg dan de onderstaande stappen!
1. WordPress beveiligen begint met goede back-ups
Bij de beveiliging van WordPress geldt: voorkomen is beter dan genezen. Mocht uw site onverhoopt wel een keer worden gehackt, zorg er dan in ieder geval wel voor dat u over een recente back-up van uw site en database beschikt. Een professionele hostingprovider maakt in ieder geval iedere dag updates van uw site. Het verschilt per aanbieder hoe lang ze deze bewaren, maar we raden aan hier kritisch op te zijn.
Tip. Klarned bewaart back-ups tot 6 maanden terug. Zo weet je zeker dat je website altijd veilig is terug te halen.
Host u zelf uw site of weet u niet of uw hostingprovider back-ups maakt? Regel dan dat back-ups gemaakt worden. Er zijn verschillende plugins waarmee u dit kunt doen, zowel handmatig als op vastgestelde tijdstippen.
“Wordt uw site ooit gehackt, zorg dan dat u een recente back-up hebt.”
2. Beveilig uw WP-site met een security plugin
Nadat u voor de juiste back-ups hebt gezorgd, is het goed om verdachte activiteiten op uw site te monitoren. Denk bijvoorbeeld aan pogingen om bestanden te wijzigen, mislukte inlogactiviteiten en malware-aanvallen. Een professionele hostingprovider monitort verdachte activiteiten op uw site, maar u kunt het met behulp van een plugin ook zelf doen. Sucuri Scanner is zo’n tool waarmee u eenvoudig hackpogingen op uw site kunt monitoren. De plugin is verkrijgbaar in zowel een gratis als een betaalde variant. Die laatste raden we met klem aan.
Tip. Klarned monitort uw site en verdacht verkeer 24/7. Host u bij ons, dan hebt u geen security plugin nodig.
3. WordPress beveiligen met een firewall
‘Sorry, maar u bent niet welkom’. Dat is kort gezegd wat een firewall doet om uw WordPress website te beveiligen. Als een virtuele uitsmijter houdt de firewall verdacht verkeer tegen. Firewalls zijn er in verschillende varianten. Allereerst benoemen we de DNS Level Firewall. Deze filtert verkeer om via proxy servers. Daar filtert de firewall traffic en stuurt hij alleen echte bezoekers door naar uw site. Daarnaast bestaat de Application Level Firewall. Deze filtert bezoekers als ze op uw server komen. Dit werkt net zo goed, maar zorgt voor extra belasting voor uw server. Dat kan weer leiden tot vertraging van de site, zeker als u veel bezoekers hebt.
Een andere bekende optie voor de beveiliging van WordPress is Wordfence Security. Deze plugin is verkrijgbaar in een gratis en een betaalde variant. Krijgt u veel ongewenst bezoek op uw website, bijvoorbeeld van dubieuze crawlers? Dan raden we aan om een firewall te installeren. Ook kunt u switchen naar een provider die dit verkeer voor u afvangt. Een van de meest bekende voorbeelden van DNS Firewall is Cloudflare. U kent de verificatieschermen vast. Hiermee vangt u verkeer op voordat het uw server bereikt. Daarnaast hebt u ook nog de WAF firewalling, die in de proxy server actief kan zijn. Klarned past de WAF-regels toe in al onze proxies en als extra laag op de WordPress servers.
Als laatste hebt u ook nog de IDS en IPS hardware firewalling. Deze zijn beter dan puur een hardware firewall. Al het verkeer gaat erdoorheen en wordt bekeken. Een IDS logt een fout verzoek maar doet verder niets. Een IPS daarentegen onderneemt direct actie. Indien nodig wordt het verkeer namelijk geblokkeerd. Zoek dus naar een provider met IPS firewalling.
4. Beveilig uw verbinding met TLS/HTTPS
Waar u ongetwijfeld wel eens van SSL hebt gehoord, is er nu met TLS een verbeterde opvolger. Dit protocol versleutelt data tussen gebruikers en uw site. Met WordPress beveiliging als een HTTPS-verbinding kunnen hackers geen gegevens ‘afluisteren’, waardoor het veiliger is voor uw bezoekers. Bovendien is TLS/HTTPS een rankingfactor voor SEO.
Werkt uw website nu nog niet via TLS? Installeer dan direct een veiligheidscertificaat of laat dit doen door uw hostingprovider. Let wel: er is geen garantie dat uw site niet gehackt kan worden, maar het verkleint in ieder geval de kans dat uw inloggegevens op straat komen te liggen. Ook de ingevulde contact- en bestelformulieren op de site worden qua transport tussen de bezoeker en de server dichtgetimmerd. Conform AVG/GDPR bent u verplicht een certificaat te (laten) installeren.
Tip. Klarned regelt gratis uw WordPress certificaat met een A+ rating en een fatsoenlijke bitkey grootte. We passen uwe instellingen automatisch aan. Ook stellen we een 301-redirect in van http naar https. Zo blijft uw SEO optimaal.
5. Wijzig te makkelijke gebruikersnamen en wachtwoorden
De mens is de zwakste schakel bij online WordPress beveiliging. Wilt u uw WordPress site beter beveiligen, stel dan een moeilijk te raden gebruikersnaam in. Vroeger was de standaard gebruikersnaam voor WordPress ‘admin’. Daarmee wisten hackers al de helft van uw login en dat is logischerwijs niet heel handig. Ook is het mogelijk om gebruikersnamen te raden. Dit is standaard uitgeschakeld bij Klarned.
Tegenwoordig kunt u gelukkig wel zelf een gebruikersnaam instellen. Bedenk een moeilijke naam of laat hem automatisch genereren door een wachtwoordkluis als LastPass. Kies ook een moeilijk wachtwoord. Met een wachtwoordprogramma als LastPass kunt u het net zo lang en ingewikkeld maken als u zelf wilt, want het programma bewaart ze veilig voor u.
Tip. Wachtwoorden kunt u extra versleutelen in de database. Bij Klarned gebruiken we hiervoor een sterker algoritme dan het standaard algoritme.
Ook kunt u gratis gebruik maken van onze wachtwoordgenerator en stellen we standaard tweestapsverificatie ( 2FA ) in. Veiligheid gaat boven alles.
6. Beperk aantal inlogpogingen bij WordPress
Waarschijnlijk herkent u het wel: wanneer u drie keer de verkeerde pincode intypt als u geld opneemt, dan blokkeert de bank uw pas. Deze vorm van beveiligen kunt u ook toepassen op uw WordPress beveiliging. Gebruikers kunnen normaliter zo vaak inloggen als ze willen. Hackers proberen dit met zogenaamde brute force attacks: ze proberen automatisch alle mogelijke gebruikersnamen en wachtwoorden, tot ze er daadwerkelijk in zitten.
Een firewall helpt WordPress beveiligen door deze brute force attacks tegen te houden. Gebruikt u geen firewall en wilt u de beveiliging van uw WordPress toch optimaliseren? Installeer dan de plugin Limit login attempts van Johan Eenfeldt. Daarmee kunt u precies aangeven hoe vaak mensen mogen inloggen en dat helpt uiteraard om uw WordPress site beter te beveiligen.
Tip. Lees hier hoe Klarned u beschermt tegen Brute Force aanvallen.
7. Activeer tweestapsverificatie
Tweestapsverificatie is een ander handig hulpmiddel dat u waarschijnlijk wel kent van uw bank en dat u tevens kan helpen bij het beveiligen van uw WordPress website. Voordat u geld overmaakt moet u in dit geval eerst een link in een SMS’je of een appje aanklikken. Wanneer u op uw WordPress-site een tweestapsverificatie activeert, dan krijgt u na het inloggen een mailtje of een SMS. Pas op het moment dat u op de link hebt geklikt komt u ook daadwerkelijk in de admin-omgeving. Voor WordPress zijn er verschillende handige plugins die tweestapsverificatie mogelijk maken. Denk aan Keyy Two Factor Authentication. Een goede hosting provider regelt dit standaard voor u.
8. Beveilig admin-omgeving en login-scherm bij WordPress
Hackers zijn opportunistische en tamelijk ongeduldige mensen. Lukt het ze niet snel genoeg om uw site binnen te dringen, dan proberen ze het wel bij een ander. Maak het ze daarom zo moeilijk mogelijk en een goede WordPress beveiliging is om die reden essentieel. Typt u ‘wp-admin’ achter de URL van een WordPress website, dan ziet u het inlogscherm. Dit kunt u via de server afschermen met een wachtwoord. Een wachtwoord op de admin-omgeving en het inlogscherm zorgt voor een extra drempel voor de hackers, die op die manier worden afgeschrikt. Goed om te weten: bij Klarned is het niet mogelijk voor spamrobots om op basis van een (gestolen) WordPress-wachtwoord en gebruikersnaam in te loggen. Er zit namelijk een sterk tussenscherm voor. Zeker in combinatie met 2 factor zoals net beschreven zit u helemaal goed!
Opmerking. Bij Klarned is het niet mogelijk voor spamrobots op basis van een (gestolen) WordPress wachtwoord en gebruikersnaam in te loggen.
9. Maak het hackers moeilijker met geoptimaliseerde .htaccess
In het bestand .htaccess staan instructies voor uw server. U kunt hier bijvoorbeeld zien welke crawlers wel of niet op uw site mogen komen of welke nieuwe URL een verhuisde pagina heeft gekregen. U kunt de .htaccess ook inzetten voor het beveiligen van uw site. WordPress maakt op de server gebruik van mappen, bijvoorbeeld met afbeeldingen. De URL is in dat geval bijvoorbeeld ‘www.jouwsite.nl/images’.
Met directory browsing kunnen hackers zien hoe uw site is opgebouwd. Soms vinden ze op die manier informatie of bestanden die u niet wilt delen. Ook kunt u instellen dat PHP-bestanden in bepaalde mappen niet bewerkt kunnen worden. Daardoor kunnen mensen die kwaad willen uw site niet op afstand bewerken. Bij Klarned doen we dit standaard. Kijk wel uit met het bewerken van de .htaccess, want u moet wel echt weten wat u doet. Hebt u twijfels? Laat het dan doen door een programmeur of vraag het aan uw favoriete webhostingpartij. Alles om er maar voor te zorgen dat uw WordPress beveiliging volledig op orde is.
Narigheid voorkomen door goede WordPress beveiliging? Kies voor Klarned!
Een website beginnen met WordPress is eenvoudig, want in een uurtje staat de eerste versie online. Maar dit wil niet zeggen dat dit altijd zo blijft. Hackers zijn altijd op zoek naar zwakke plekken in uw website. Voor de lol, of juist omdat ze gevoelige informatie willen stelen. Het is dan ook cruciaal om uw WordPress site goed te beveiligen. U kunt zelf uw WordPress beveiligen, maar dat kost veel tijd en u hebt er specialistische kennis voor nodig. Daarom kan u uw site laten hosten door Klarned. Wij regelen in dat geval ook de WordPress beveiliging, wat u meer rust geeft en waardoor u bovendien tijd en geld bespaart. Neem gerust contact met ons op om de mogelijkheden en voordelen te bespreken en profiteer snel van de WordPress beveiliging van Klarned. Een gratis demo? Ook dat behoort tot de mogelijkheden!
WordPress zelf beveiligen of laten doen? Dit zijn de verschillen
| Wat | Laagste kosten per jaar per site | Bij Klarned | Besparing in kosten |
| Beveiliging | 99 dollar Wordfence 70 dollar Secupress 80 dollar iThemes security 120 dollar Sucuri | WAF en IPS firewalling 2Factor login Bruteforce checks | 92 dollar |
| Anti-spam | 90 euro Akismet | WAF en IPS firewalling Dagelijkse en wekelijkse reputatiescans Land-blokkades en slimme spam filters voor reacties en contactformulieren Monitoring op uitgaande site-mail | 90 dollar |
| Back-ups | 80 dollar backupbuddy 54 dollar Vaultpress | Gratis inbegrepen to 6 maanden terug Gaat niet van je eigen pakketopslag af Opslag in Europa (op het vasteland) | 67 dollar |
| Onderhoud en updates | Vanaf 300 euro, meestal 540 euro | Automatische updates | 507 dollar |
| Monitoring | 84 dollar uptimerobot 100 euro pingdom | Servermonitoring vanaf 3 onafhankelijke systemen Site error detectie | 85 dollar |
| Subtotaal = 841 dollar per site per jaar | |||
| Eigen server / VPS | |||
| Malware verwijderen | Vanaf 80-400 euro startprijs | Gratis bij Growing en hoger | 80 – 400 euro per site per hack |
| Opslag site en back-ups | Op Amerikaanse of gehuurde servers | Op eigen servers, op het Europese vasteland | Onbetaalbaar 🙂 |
Tip: Klarned biedt ook bescherming tegen DDOS aanvallen.
Reacties
No comments yet.