WordPress tegen hacker beveiligen
WordPress is een ontzettend populair CMS. Met de verwachting dat deze populariteit alleen maar zal toenemen. Eén beheersysteem die gebruik word voor miljoenen websites, is dat wel veilig? Het WordPress CMS stond er helaas al een tijdje om bekend een ‘onveilig systeem’ te zijn waar je als hacker zonder enige moeite binnen kwam. Gelukkig is dat inmiddels niet meer het geval, maar niets is 100% waterdicht. Hoe kwetsbaar jouw WordPress website is heb je echter zelf in de hand!
WordPress beveiligen hoe doe je dat?
Het WordPress CMS is op zich veilig genoeg, toch hoor je dat door de vele plugins en themes je WordPress onveiliger kan worden. Hiernaast is het ook mogelijk dat je WordPress niet goed hebt geïnstalleerd of juist een slechte gebruikersnaam/wachtwoord-combinatie hebt gekozen. Ik heb een lijst gemaakt van zeven punten die vaak misgaan als het gaat om de beveiliging van een WordPress website. In dit artikel behandel ik elk punt. Heb jij alle stappen uit dit artikel gevolgd, dan is de kans dat je WordPress website getroffen wordt door een hacker minimaal en heb jij er alles aan gedaan om dit te voorkomen.
- Bepaal vooraf een goede hosting partij
- Slechte installatie is een halve start
- Gebruik niet voor de hand liggende gebruikersnaam/wachtwoord-combinatie.
- Onderzoek waar je je plugins en themes vandaan haalt.
- Houd WordPress up to date
- Pass de bestandsrechten aan.
- Verwijder alle overbodige bestanden.
1. Bepaal vooraf een goede hostingspartij
Een periculeuze website is vaak gevestigd in een onveilige omgeving. De hosting van je website is extreem belangrijk. Naast de veiligheid is ook de snelheid van je website is van groot belang. Wij raden aan nooit in te gaan op gratis hosting of hosting voor een euro per maand, je zult hier later spijt enorme van krijgen. Vaak bieden dit soort hostingpartijen weinig support voor je websites. Denk goed na en kies een betrouwbare hostingspartij.
2. Slechte installatie is een halve start.
Goed begonnen is het halve werk zo luid het spreekwoord. Zorg ervoor dat je met een schone installatie start. Deze installatie zo volledige en zo optimaal mogelijke maken voordat je met de website aan de slag gaat.
Indien je al een WordPress website hebt is het goed lastig om de hieronder vermelde punten nog goed te zetten. Doe dit dan ook niet zonder er een back-up van te maken. Dit is een technisch onderdeel, vraag daarom altijd hulp hulp als je het niet begrijpt. Maak nooit zomaar wijzigingen in je database!
Gebruik onderstaande punten als je een nieuwe WordPress website gaat maken: dit gaat je een hoop rompslomp besparen. Bij een stabiele installatie komen een aantal zaken kijken:
- Table Prefix.
- Naam database.
- Gebruikersnaam & wachtwoord database gebruiker.
- Salts & Keys.
Maak een wijziging in de Table Prefix
De Table Prefix is een databaseveiligheidsmaatregel die al lang in WordPress Word gebruik. D.M.V. Table prefix voegt een aantal tekens toe aan het begin van elke tabel in de database van je WordPress website. Dit met het doel een hacker niet zomaar de juiste naam van een tabel in handen kan krijgen. Standaard is de naam van een tabel in WordPress wp_naam. Een van deze tabel is wp_user in deze tabel bevinden zich alle gebruikers. Dit is overig standaard voor alle WordPress installaties hackers weten dit uiteraard ook.
Als jij de tabel_naam wijzigt naar bijvoorbeeld bk_users, is de kans dat een hacker de naam van je tabel raadt veel kleiner. Je vindt dit ook in je wp-config.php file van het CMS van je website. Toch raad ik het je stellig af om dit te wijzigen bij een bestaande WordPress website. De kans dat het fout gaat is dan zeer groot!
Gebruik niet voor de hand liggende namen voor je database
Zonder database kun je niet starten met het installeren van je WordPress website. Je moet dus een database aanmaken. Gebruik niet voor de hand liggende namen maak het moeilijk en kies uit kleine letters, hoofdletters en cijfers. Voorkom dat de naam van je database hetzelfde is als aan de naam van je website.
Kies een veilige gebruikersnaam & wachtwoord voor de database.
Tijdens de installatie moet je een gebruikersnaam & wachtwoord opgeven. Dit zijn de beheergegevens van je database. Zorg ervoor dat de gebruikersnaam als het wachtwoord bestaan uit een willekeurige tekens van kleine letters, hoofdletters, cijfers en symbolen. De meeste hosts beschikken over de gratis tool Instrallatron. Deze tool kun je gratis gebruiken om een CMS of elders te installeren zonder dat je zelf bestanden hoeft te downloaden
Gebruik unieke salts & keys
Het laatste onderdeel van de WordPress-installatie zijn de salts en keys. Dit zijn code die je tijdens de installatie in het wp-config.php bestand plaatst. Het zijn bepaalde sluitels die je WordPress website beveiligen tegen cookie hackers. Het is van enorm belangrijk dat deze waarden uniek zijn! WordPress heeft een generator gemaakt: kopieer de code (elke keer uniek) en plaats deze in het wp-config.php bestand van je WordPress-installatie. Maak geen wijzigingen als je al een bestaande WordPress website hebt. Voor de salts & keys geldt ook dat dit automatisch word in gevult met de tool Instrallatron.
3. Gebruik niet voor de hand liggende gebruikersnaam & wachtwoord-combinatie.
Ja ook ik zou het niet snel zeggen toch is het waar dat dit het grootste beveiligingsrisico is van elke WordPress website. Niet zo zeer dat WordPress de gegevens zo onveilig verwerkt, maar puur om het feit dat gebruikers slechte gebruikersnamen en wachtwoorden kiezen. De gebruikersnaam is vaak admin en het wachtwoord heeft meestal iets met het onderwerp van de website te maken, of het is in de lijst met 20 meest voorkomende wachtwoorden te vinden.
Hier een aantal tips die je helpen een veilige gebruiksnaam en wachtwoord te kiezen.
- Het gebruik van gebruikersnaam als ‘admin’ is stellig af te raden! Toch een gebruikersnaam admin geen nood? Hier is de oplossing “maak een nieuwe gebruiker aan en geeft deze administratie rechten. Test deze gebruiker eerst voordat je de admin gebruiker verwijdert. Tijdens de verwijdering zal verzicht worden met de content van deze gebruiker. Verplaats de conten onder de nieuwe gebruiker met administratie rechten.
- Gebruik nooit namen die verbonden staan aan je het onderwerp van je website ook het gebruik van de websitenaam is echt af te raden.
- Zorg ervoor dat je wachtwoord uit hoofdletters, kleine letters, cijfers en symbolen bestaat.
- Tip! tegenwoordig kun je ook spaties gebruiken in je wachtwoorden; zo kun je dus een zin maken, bijvoorbeeld: ‘Mijn W8ChTW00Rd k@n Z0’.
- Zorg ervoor dat je wachtwoord minstens uit acht tekens bestaat.
Liever deze werkzaamheden aan een expert uitbesteden
4. Onderzoek waar plugins & themes vandaan komen
Er zijn diverse platformen waar je terecht kunt voor plug-ins en theme voor je WordPress website. Over het algemeen geldt dat plug-ins en themes in de WordPress.org directory veilige plug-ins en themes zijn. WordPress controleert deze plug-ins en themes uitvoerig en je kunt deze dus met een gerust hart gebruiken. Het kan best weleens gebeuren dat er ééntje tussendoor glipt, maar WordPress-gebruikers melden dit meestal netjes in de vorm van een reviews. Controleer dus eerst de rating, reviews en het aantal downloads voordat je een plug-in of theme besluit te gebruiken. Je vindt deze onderdelen op de pagina van de betreffende plug-in of theme op WordPress.org.
Overige aanbieders
Er zijn talloze aanbieders van WordPress plug-ins en themes te vinden en op veel websites kun je gratis WordPress themes downloaden. Pas echter wel op! Het gaat vaak om themes die zijn geïnfecteerd met base64-code of andere kwaadaardige code en dit is schadelijk voor je website.
5. Houd WordPress up-to-date
WordPress wordt regelmatig voorzien van beveiligingsupdate, updates die bepaalde (veiligheid) lekken dichten en oplossingen biedt in bugs. Het is extreem belangrijk dat je WordPress-installatie up-to-date blijft! Na een onveilige gebruikersnaam/wachtwoord-combinatie is dit de meest voorkomende fout als het gaat om de beveiliging in je WordPress websites. Maak altijd een back-up van website voordat je gaat updaten.
6. pas de bestandsrechten aan.
Standaard behoren de bestandsrechten op 644 staan. Veel gebruikers zetten na het zien van een bestandsrechtenerror de bestandsrechten van al hun bestanden op 777, maar dit is niet veilig. De bestandsrechten kun je aanpassen door in te loggen via FTP of beheerpanel meestal is dit cpanel of direct-admin. Tip dit zijn de juiste rechte voor je bestanden op je server.
- root website 755
- wp-admin 755
- wp-content 755
- wp-includes 755
- .htaccess 644
- readme.html 400 (of nog beter: verwijderen!)
- wp-config.php 644
- wp-admin/index.php 644
- wp-admin/.htaccess 644
7. Overbodige bestanden
Tip ook voor gevorderden, Bij een automatische WordPress-installatie met tools als Instrallatron blijft het wp-config-sample.php bestand bestaan, terwijl je alleen het wp-config.php bestand gebruikt. Verwijder het wp-config-sample.php bestand dus uit de root van je website:
Gebruik beveiliging plugins voor extra beveiliging
Het WordPress CMS is zoals gezegd veilig genoeg en als jij de bovenstaande punten in orde maakt zit het met de veiligheid van jouw website wel goed, de kans dat je website wordt gehackt minimaal. Het kan echter geen kwaad om wat extra maatregelen te gebruiken.
Wat je altijd moet doen is na iedere aanpassing die je maakt een back-up te maken van je website systeem. Wordt je website gehackt dan heb je nog een schone versie.
- iThemes Security – Is één van de populairste WordPress plugin als het om beveiliging van je WordPress gaat. Deze plugin doet echt veel en maakt zelfs backups van je website. Andere mogelijkheden zijn het aanpassen van de user-ID’s en de URL van het dashboard, het verbergen van foutmeldingen en nog veel meer. De plugin is gratis te downloaden in de WordPress.org plugin directory en heette voorheen Better WP Security.
- Wordfence Security – Dit is een gratis WordPress plugin die je website goed beveiligt tegen aanvallen. De plugin kan je website scannen op fouten en toont je overzichtelijk welke stappen je nog moet nemen om je website veiliger te maken. De plugin ondersteunt WordPress Multisite en beschermt je website automatisch als deze onder aanval ligt.
- BulletProof Security – Dit is een plugin die eigenlijk altijd op de 3e plaats staat in dit rijtje, maar toch zeker niet onderschat mag worden. BulletProof Security is meer dan 1,1 miljoen keer gedownload en richt zich vooral op het beschermen van formulieren en andere zwakke punten: XSS, RFI, CRLF, CSRF, Base64, Code Injection en SQL Injection behoren tot de features van deze plugin.
