Is jouw website gemaakt met WordPress of overweeg je een website te gaan maken met deze software? Lees dan zeker verder. Deze week werd bekend dat van alle websites wereldwijd bijna 20% gemaakt zijn met WordPress. Een mooie ontwikkeling, maar door deze populariteit neemt de kans dat jouw of iemand anders zijn of haar WordPress website een keer slachtoffer wordt van een hackaanval wel toe. Kwaadwillenden gaan hierbij op zoek naar zwakke plekken in je website.
In 5 stappen naar een veilige(re) WordPress website
Uit eigen ervaring weet ik dat men vaak niet denkt aan het nemen van veiligheidsmaatregelen. “Mijn site zal toch niet zo snel gehackt worden” of “Veel te ingewikkeld allemaal, ik houd me liever met mijn eigen werk bezig” zijn uitspraken die ik dan hoor van klanten. Totdat het te laat is! Maar er zijn een vijftal eenvoudige stappen die je kunt nemen om je website veilig(er) te houden.
Waarom je WordPress website beveiligen?
Een gehackte website kan in het ergste geval leiden tot het verlies van content, gestolen data en je website kan zelfs lange tijd uit de lucht zijn. Dit laatste betekent gewoonweg dat je site niet te bereiken is voor je bezoekers en klanten. Dit is niet goed voor je (online) reputatie en kan je zelfs klanten (en dus omzet) gaan kosten.
Gelukkig zijn er veel maatregelen die je kunt nemen om je WordPress website zo veilig mogelijk te houden, maar onderstaande vijf simpele stappen moet je op zijn minst toepassen om hackers buiten de deur te houden.
1. Verwijder ‘Admin’ als gebruikersnaam
Hackers zoeken vaak eerst naar websites met de standaard meegegeven gebruikersnaam ‘Admin’. Waarom? Omdat dit al de helft van de informatie is die een hacker nodig heeft om toegang te krijgen tot je website. Dus als je ‘Admin’ gebruikt als gebruikersnaam bespaar je de hacker heel veel tijd. Het enige wat hij (of zij) dan nog hoeft te doen is het achterhalen van het wachtwoord. Is dit eenmaal ook gelukt, dan heeft de hacker toegang tot je website en kan daar zijn gang gaan.
De eerste stap om je website dus veiliger te maken, is het aanmaken van een nieuw profiel voor jezelf.
Om een nieuw profiel met gebruikersnaam aan te maken ga je in het dashboard van WordPress naar Gebruikers –> Nieuwe toevoegen. Vul alle gegevens in en zorg er voor dat je jezelf de rol van beheerder geeft. Op die manier heb je de mogelijkheid om alles op je site aan te passen. Nadat je een nieuwe gebruikersnaam hebt aangemaakt log je uit om vervolgens met je nieuwe gegevens weer in te loggen.
Ga terug naar Gebruikers en verwijder het Admin profiel. Je zult de vraag krijgen of je de WordPress berichten die zijn aangemaakt onder dit profiel wilt overzetten naar het nieuwe gebruikersprofiel. Het is aan te raden om dit te doen. Op die manier verlies je in ieder geval geen content of gegevens.
2. Gebruik een sterk wachtwoord
Ondanks het feit dat er vaak wordt gewezen op de gevaren van het gebruik van een simpel wachtwoord, blijven veel mensen toch wachtwoorden gebruiken die voor hen zelf eenvoudig te onthouden zijn. En men is hierbij tamelijk voorspelbaar, en dat is niet verstandig. De minst veilige maar de meest voorkomende wachtwoorden op dit moment zijn ‘password’, ‘123456’ en ‘12345678’. Ook ‘welkom’ is er een die ik vaak terug zie. Deze wachtwoorden zijn dan wel makkelijk te onthouden, maar net zo makkelijk te kraken. Maak daarom gebruik van een sterk en veilig wachtwoord. Deze bestaat minimaal uit acht tekens met hoofd- en kleine letters, nummers en speciale tekens. Zo’n wachtwoord kun je zelf bedenken, maar ook laten samenstellen door een Password Generator
Om je WordPress wachtwoord te wijzigen ga je in je dashboard naar Gebruikers –> Je Profiel. Onderaan de pagina vul je (tweemaal) je nieuwe wachtwoord in.
Werk je met meerdere mensen aan je website, zorg er dan voor dat alle gebruikersprofielen voorzien zijn van sterke wachtwoorden.
3. Update de nieuwste WordPress versie
Er verschijnen regelmatig nieuwe versies van WordPress. Over enkele dagen verschijnt alweer de nieuwste versie 3.6. Het is belangrijk deze nieuwe versies van WordPress zo snel mogelijk te installeren. Vaak zijn in deze nieuwe versies een aantal kritische veiligheidslekken gedicht. Wacht je te lang met het installeren naar de nieuwste versie, dan is de kans groot dat je website binnen de kortste keren slachtoffer wordt van een hackaanval.
Bovenin je WordPress dashboard zie je direct een melding staan zodra er een nieuwe versie uit is en geïnstalleerd kan worden. Het updaten naar de nieuwste versie is erg simpel. Door één klik op Update wordt de nieuwe versie direct geïnstalleerd. In 99% van de gevallen verloopt deze update zonder problemen. Maar ik adviseer altijd om eerst een back-up van je website te maken voor je de update uitvoert. Er bestaat altijd een hele kleine kans dat de update vastloopt en je site niet meer functioneert. In die uitzonderlijke gevallen kun je dan altijd een back-up van je website terugzetten. Hoe je een back-up kunt maken, lees je in stap 4.
4. Maak een back-up van je database
Het maken van een back-up van de database is een belangrijk onderdeel voor het veilig houden van je website. Veel mensen denken hier vaak niet aan of gaan er van uit dat hun provider dit wel voor ze doet. Heb je een goede provider voor het hosten van je website, dan zal dit ook wel gebeuren. Maar weet je dit niet zeker of wil je zelf liever de controle houden over de back-ups, dan is het verstandig om zelf back-ups van je WordPress site te maken. Is je website dan (ondanks de tips in dit artikel) toch een keer gehackt of heb je per ongeluk een onhandige actie op je site uitgevoerd, dan kun je zelf vrij simpel een vorige versie van je website terugzetten.
Je kunt handmatig een back-up maken van je database en WordPress bestanden via programma’s als Filezilla (FTP) en PhpMyAdmin (export database). De meeste mensen vinden dit al snel te technisch en te ingewikkeld. Maar er is hoop! WordPress biedt tegenwoordig veel goede gratis en betaalde plugins voor het maken van back-ups. Ik gebruik zelf al een tijd de vrij uitgebreide en gratis plugin Better WP Security. Met deze plugin kun je niet alleen een back-up maken van je database, maar ook allerlei instellingen aanpassen om je website nog veiliger te maken.
Maar voor de beginners onder ons is er de veel gedownloade plugin WP-DB-Backup. Deze gratis plugin zorgt er voor dat je op een simpele manier een back-up van je database kunt maken. Je kunt je back-ups laten versturen naar je e-mail of FTP account.
Om WP-DB-Backup te installeren ga je in je dashboard naar Plugins –>Nieuwe plugin. Zoek via de zoekoptie naar WP-DB-Backup en klik op Nu Installeren.
Via het overzicht van je Plugins activeer je de net geïnstalleerde plugin. Na het activeren van WP-DB-Backup, ga je in je navigatie van je WordPress dashboard naar Extra. Daar zie je nu het onderdeel Backup staan. Hier kun je direct een back-up van je database maken of instellen op welke momenten er automatisch een back-up moet worden gemaakt.
5. Beperk het aantal login pogingen
De plugin Limit Login Attempts is erg handig om brute force aanvallen te bestrijden door hackers de toegang tot de website te blokkeren na een aantal mislukte inlogpogingen. Als beheerder van de website bepaal je zelf hoe vaak er foutieve inloggegevens mogen worden gebruikt voordat de plugin de toegang volledig blokkeert.
Het installeren van deze plugin gaat op dezelfde manier als de installatie van de plugin WP-DB-Backup zoals beschreven bij stap 4. Dus via Plugins –> Nieuwe toevoegen en hierbij zoeken naar Limit Login Attempts. Klik na installatie op Plugin Activeren. Na het activeren zie je in je navigatie bij Instellingen Limit Login Attempts staan.
Nu kun je via deze optie het aantal toegestane inlogpogingen en andere beperkingen instellen. Vergeet niet na het instellen de gegevens op te slaan.
Leuker kan ik het niet maken
Het beveiligen van je WordPress website is misschien niet het leukste werk om te doen, maar helaas wel noodzakelijk. Met bovenstaande vijf simpele stappen maak je je website in ieder geval al een heel stuk veiliger. Je website is hiermee een stuk veiliger vergeleken met veel andere WordPress websites die er zijn. De kans dat je website hierna nog slachtoffer wordt van een hackaanval is hiermee een heel stuk kleiner.
Heb jij al nagedacht over de beveiliging van je WordPress website? En heb je zelf nog tips om je website zo veilig mogelijk te houden? Schrijf je reactie onder dit artikel.