Het klinkt vanzelfsprekend dat je zuinig bent op je WordPress website en deze hebt voorzien van een goede beveiliging. Toch gaat het niet zelden mis en worden hackers steeds slimmer, waardoor ook de beveiliging van websites altijd weer om nieuwe antwoorden vraagt. Je denkt dat je op je bestemming bent van je onlinereis, maar ook dan stopt je avontuur nooit helemaal en is het raadzaam om een goede reisgids bij de hand te houden.
‘Universitair Medisch Centrum Groningen (UMCG) is al sinds zaterdag slachtoffer van een cyberaanval, uitgevoerd door de pro-Russische hackersgroep Killnet. Dat stellen specialisten van Z-CERT, de instantie die de zorg bijstaat bij problemen die te maken hebben met cybersecurity.
Het gaat om een ddos-aanval. Bij een ddos-aanval wordt een computersysteem overspoeld met bezoekers, die allemaal tegelijk op het doelwit worden afgestuurd. De impact lijkt vooralsnog mee te vallen, zegt de woordvoerder. Ook een woordvoerster van het UMCG liet maandagochtend weten dat de zorg voor patiënten gewoon door kan gaan.’ (bron: ANP, 30 januari 2023, medischcontact)
Afgelopen week werden we opgeschrikt door bovenstaand bericht. Deze gebeurtenis staat niet op zichzelf en komt regelmatig voor in het internationale cyberverkeer. Ondanks de steeds meer verfijnde beveiligingssystemen lukt het niet om elk computersysteem voor 100 honderd procent waterdicht te maken.
Jouw website is waarschijnlijk niet van een omvang als die van het UMC Groningen, maar dit neemt niet weg dat je je beveiliging regelmatig goed onder de loep moet nemen. Ik draag hiervoor 11 snel toepasbare tips aan die je kunt nalopen bij elke beveiligingscheck van je WordPress website.
Wat is WordPress
WordPress is een populair CMS (Content Management Systeem) voor het maken van een website. Wereldwijd wordt dit door miljoenen mensen gebruikt en dat is niet zomaar. Met WordPress kun je een website creëren geheel naar eigen keuze, het is een open source systeem en gratis te downloaden bovendien. Als dat geen pluspunten zijn! Lees meer over de voor- en nadelen van een WordPress website. De markt voorziet in duizenden plug-ins en thema’s om je website aan te passen en daar zit ook meteen de valkuil. Door de enorme diversiteit aan – vooral slechte – plug-ins en thema’s is het voor hackers minder moeilijk om in te breken. Een minpunt van de WordPress populariteit.
Beveiligen van je WordPress website is geen overbodige luxe
Of het nu een website betreft voor een heel medisch centrum of voor een ondernemer zonder personeel, hackers zijn dol op elke website, zowel voor het verzenden van spam-mail als voor het verdienen van geld door jouw website door te linken naar een andere. Daar zit niemand op te wachten, dus beveiliging is geen overbodige luxe. Een sterk wachtwoord, een goede installatie van je WordPress website en regelmatige updates van plug-ins en thema’s vormen weliswaar een goed begin, maar zijn helaas niet voldoende voor de beste beveiliging tegen hackers.
Je website optimaal beveiligen
11 tips om je WordPress website te beveiligen
1. SSL-certificaat installeren
Een SSL-certificaat vormt een versleutelde, ontoegankelijke link tussen browser en webserver. Een echte must voor de veiligheid, maar ook voor je SEO. Met het groene slotje van je SSL-certificaat krijg je voorrang bij Google, die vanzelfsprekend veilige websites boven onveilige verkiest.
Je kunt dit certificaat regelen bij je host. Extra fijn om te melden dat bijna alle goede hosts een gratis SSL-certificaat verlenen. Ook is een betaalde versie beschikbaar, voor degenen die nog meer wensen. Ik adviseer om bij elke nieuwe website meteen het SSL-certificaat te activeren, bij een bestaande website is dit namelijk iets ingewikkelder. Dit heeft te maken met de eventuele mixed content die al op de website staat waardoor niet alles automatisch wordt omgezet van http naar https. De plug-in van Really Simple SSL biedt hiervoor de oplossing. Je SSL-certificaat is zichtbaar door het groene slotje links van je URL.
2. Een sterk wachtwoord
Het is al aangegeven in de inleiding, maar ik kan het niet vaak genoeg herhalen. Een sterk en moeilijk te achterhalen wachtwoord is de eerste stap naar goede beveiliging. Alleen naam en geboortedatum is niet sterk genoeg, voeg minimaal niet voor de hand liggende tekens toe. Wist jij dat WordPress je kan helpen bij een wachtwoord? Je kunt een sterk wachtwoord laten genereren als volgt: Ga naar Gebruikers ⇒ Je Profiel ⇒Scroll naar beneden tot Gebruikersbeheer.
Je kunt ook kiezen voor een account in LastPass, genereer van daaruit een wachtwoord en sla dit vervolgens op. In Lastpass kun je bovendien al je wachtwoorden veilig en overzichtelijk bewaren. Hier kun je LastPass gratis downloaden of voor 3 dollar per maand aankopen voor nog betere beveiliging.
3. Een veilige host
Niet alleen voor de snelheid en support van je website, maar ook voor de veiligheid – en dus ter voorkoming van hacks – is het raadzaam om je website onder te brengen bij een goede host. Goedkoop is hierbij vaak duurkoop. Een iets duurdere host is de investering meer dan waard.
Let met name op ondersteuning van de nieuwste versies van PHP en MySQL database bij de keuze voor een host. Ook automatische en frequente back-ups zijn een punt van aandacht. En vergeet niet de reviews te bekijken. Bij veel klachten over support en storingen kun je beter op zoek naar een andere host. Vimexx kan ik van harte aanbevelen.
4. Géén standaard gebruikersnaam
In veel gevallen wordt bij een WordPress website nog de gebruikersnaam ‘admin’, de naam van de website of een eigen naam gehanteerd. Voor een hacker zet je zo de deur al op een kier. Heb je WordPress al geïnstalleerd met een standaard gebruikersnaam, wijzig dit dan zo snel mogelijk in de volgende 7 stappen:
1. Ga naar je dashboard en klik op Gebruikers ⇒ Nieuwe toevoegen
2. Vul het formulier in met de nieuwe gebruikersnaam . Nogmaals, kies een sterke – niet te achterhalen – gebruikersnaam, vul de resterende verplichte vakjes in en vervolgens een sterk wachtwoord
3. Ga onderaan het formulier naar de optie ‘rol’ en kies voor ‘beheerder’
4. Als je alles hebt ingevuld, klik dan op ‘nieuwe gebruiker toevoegen’
5. Log uit met je huidige account en log dan opnieuw in met je nieuwe account
6 Ga terug naar ‘Gebruikers’. Je ziet hier nu twee accounts: je oude en je nieuwe. Verwijder met een klik je oude account
7. Nadat je je oude account verwijderd hebt komt er een vraag over de inhoud van de oude gebruiker. Kies voor de optie ‘alle content koppelen aan’ en de gebruikersnaam van je nieuwe account. Vink je ‘alle content verwijderen’ aan dan gaan alle oude pagina’s en blogs verloren. Dus wees hier zeer alert op!
Nu nog een klik op ‘verwijdering bevestigen’ en klaar ben je.
5. URL veranderen
Ook een punt van aandacht, de URL. Hiermee kom je op het inlogscherm terecht om je gebruikersnaam en wachtwoord in te vullen. Elke hacker weet dat standaard voor bv. jewebsite.nl/wp-login of jewebsite.nl/wp-admin wordt gekozen en zal proberen hier in te loggen. Jij weet inmiddels dat je ook dit beter kunt aanpassen naar een veilige keuze. Hiervoor bestaat een gemakkelijke plug-in, iThemes, die je sowieso nodig hebt en die ik standaard installeer bij elke website.
In deze 5 stappen wijzig je je URL:
1. Ga naar je dashboard en klik op ‘beveiliging’ of ‘iThemes’
2. Klik op ‘geavanceerd’
3. Klik op ‘Verberg Backend’ op ‘configureer instellingen’
4. Wijzig je URL bij ‘Login Slug’ (bedenk iets creatiefs met veel letters)
5. Schrijf je nieuwe URL ergens op en klik op ‘Instellingen opslaan’. (normaalgesproken ontvang je nog een bevestiging per mail)
6. Aantal inlogpogingen beperken
De voorgaande tips geven al veel extra beveiliging, maar voor een hacker nog niet voldoende om bij jou binnen te komen. Eigenlijk is het de computer zelf die eindeloos doorgaat met automatische hacks. Hoe voorkom je dit?
Ook hiervoor bestaan diverse plug-ins, waaronder Wordfence en iThemes. Deze laatste biedt zelfs de mogelijkheid tot uitsluiting van ip-adressen waarmee men probeert in te loggen. Beperk dus het aantal inlogpogingen tot 3, waardoor een computer niet automatisch eindeloos probeert in te loggen. Vergeet daarbij niet je eigen inloggegevens te onthouden, want anders loop je het risico zelf uitgesloten te worden en ben je nog verder van huis. Oplossing hiervoor in iThemes: stel je eigen ip-adres in als veilig.
7. Regelmatige update
De kans bestaat dat je na een tijdje iets lakser wordt, zeker als alles goed verloopt. Een nieuwe valkuil voor onveiligheid is dat je niet frequent genoeg zorgt voor updates. Heel gemakkelijk te doen zodra je inlogt. Bovenaan links op je scherm zie je dan een bolletje met een nummer, waardoor je weet ‘er wacht een update’. Altijd doen, gewoon op het bolletje klikken, alles aanvinken en updaten. Laat je dit na of stel je het te lang uit dan loop je risico bij bv. een beveiligingslek. Een update zorgt voor dichting van zo’n lek en houdt daarmee hackers buiten. Kies bv. voor een vast tijdstip elke week om updates te checken, waarmee je uitstel en onnodig risico vermijdt.
Een andere mogelijkheid is de keuze voor automatische updates, bv. via Installatron. Ik adviseer om bij grote updates, waaronder de nieuwste versie van WordPress, handmatig te updaten en vooraf een back-up van je website te maken.
Aandachtspunt: na een update van je WordPress thema loop je het risico dat aanpassingen aan je website verloren gaan. Dit kun je ondervangen door de installatie van child theme.
8. Je website scannen
Met de plug-in van Wordfence vindt er een dagelijkse scan van je website plaats. Bij ontdekking van iets vreemds word je door deze plug-in meteen op de hoogte gebracht en blijf je helemaal up-to-date over de bewegingen op je website.
9. Regelmatige back-ups
Voor een regelmatige back-up is het goed om ook daarvoor een plug-in te installeren of te regelen bij je host. Met bv. Vimexx krijg je de garantie van een dagelijkse automatische back-up en er is een plug-in voor een handmatige versie. Bij BackupWordpress kun je de gewenste frequentie van een back-up instellen.
10. Beveiligingsplug-ins installeren
Het is al eerder gezegd, maar bij deze nogmaals het advies om plug-ins als Wordfence en iThemes te installeren ter beveiliging van je website. Maak een lijst van verboden ip-adressen die regelmatig proberen in te loggen. Spamreacties en ongewenste e-mails zijn uit den boze, dus blokkeer deze sowieso.
Ook eerder genoemd: om te voorkomen dat iemand je wachtwoord ontdekt en zo in je website kan stel ik daarnaast voor een tweestapsverificatie in te stellen. Hiervoor zijn diverse plug-ins beschikbaar, waaronder iThemes Pro (betaalde plugin). Heb je de hosting bij Vimexx dan krijg je de Pro versie gratis.
11. Betrouwbare WordPress plug-ins en thema’s
Door de hoeveelheid – gratis – WordPress thema’s is het lastig om door de bomen het bos te blijven zien. Welke thema’s zijn veilig en welke niet? Hetzelfde geldt voor de talloze plug-ins. De verleiding is groot om er veel te plaatsen, maar dit komt de veiligheid en snelheid van je website niet ten goede. Gebruik sowieso alleen de noodzakelijke plug-ins en check vooraf de beoordeling en de hoeveelheid downloads. Uiteraard zorg je voor het up-to-date houden van je plug-ins en thema’s. Houd regelmatig een schoonmaak en verwijder de overbodige plug-ins, ter behoud van veiligheid en snelheid van je website.
Heb je nog vragen of denk je na het lezen van dit blog ‘ik besteed het maken van een website liever uit’? Neem gerust contact met mij op. Ik help je graag met jouw online reis.
