Je WordPress beveiligen met deze 10 basisregels
Wat zijn de vuistregels om je WordPress te beveiligen? Dit CMS, dat op bijna 25% van de websites op het web draait, is op zich veilig. Maar hoe meer plug-ins, thema's en extra code je toevoegt, hoe groter de kans op een hack.
Je WordPress beveiligen is dus enorm belangrijk, gebruik deze 10 tips:
1. Houd WordPress up-to-date
- Log je in op je dashboard en zie je dat er een update beschikbaar is, voer die zo snel mogelijk
- Laat je niet weerhouden door angst dat je site gebroken wordt doordat een van de plug-ins of thema's niet compatibel is met deze nieuwe versie.
- Maak altijd een back-up voor de installatie, zodat je terug kan naar de vorige versie.
2. Speel op veilig met plug-ins en thema's
- Houd ook plug-ins en thema's up-to-date. Zij zijn een achterdeur naar het admin-gedeelte van je site! Denk eraan: de informatie van de Panama Papers werd volgens de meeste bronnen buit gemaakt via een verouderde en niet-gepatchte plug-in!
- Verwijder plug-ins en thema's die je niet gebruikt. Het is niet voldoende om ze te deactiveren.
- Download enkel plug-ins en thema's van betrouwbare bronnen zoals de Theme Directory en de Plugin Directory bij WordPress zelf, van dev-sites zoals wpmudev.org of van sites met een goede reputatie zoals Themeforest.
3. Hanteer een gezonde wachtwoord-hygiëne
- Gebruik nooit 'admin' als gebruikersnaam. Hackers gaan bij hun aanvallen op zoek naar sites met 'admin' als beheerdersnaam. Toch gedaan? Volg de instructies in dit filmpje om de admin-usernaam te wijzigen.
- Zorg voor een sterk wachtwoord, bestaande uit cijfers, kleine letters en hoofdletters. Sinds versie 3.7 bevat WordPress een tool die aangeeft hoe sterk het wachtwoord is.
- Verander regelmatig je wachtwoord; gebruik een wachtwoord-manager zoals 1Password of Lastpass die voor jou je wachtwoorden onthoudt.
- Zorg dat ook jouw gebruikers sterke gebruikersnamen en wachtwoorden gebruiken.
- Gebruik NOOIT hetzelfde wachtwoord voor meerdere sites.
4. Beperk het inloggen
Hackers maken vaak gebruik van 'brute force' aanvallen, waarbij zij keer op keer trachten in te loggen op de site tot ze het wachtwoord geraden hebben. Neem deze maatregelen:
- Installeer een plug-in die het aantal keren beperkt dat een gebruiker binnen een bepaalde tijd van een bepaald IP-adres kan trachten in te loggen, bijvoorbeeld Login LockDown. Een dergelijke tool vind je meestal ook in beveiligingspakketten die nog meer andere beveiligingsfuncties bevatten, zoals iThemes Security of Securi Scanner.
- Wil je helemaal veilig zijn, werk dan met twee-factoren authenticatie, waarbij zowel een wachtwoord vereist is als een token (een code die als sms naar je telefoon gestuurd wordt). De plug-ins Clef of Duo bijvoorbeeld zorgen voor 2factor authentication.
5. Beperk het aantal gebruikers met rechten
Werk je met een team aan een website, geef elk teamlid, bij het aanmaken van zijn account op je site, de passende rol:
- Administrator (Beheerder): beheert de website in zijn geheel, zorgt voor het updaten van plug-ins en thema's, maakt user accounts aan en beheert ze, kan de code bewerken van de website. Beperk gebruikers met deze rol tot het stricte minimum.
- Editor (Redacteur): creëert, bewerkt, publiceert berichten van zichzelf en anderen.
- Author (Auteur): creëert bewerkt en publiceert berichten.
- Contributor (Schrijver): creëert berichten maar kan deze niet publiceren - dat moet de admin of editor doen.
- Subscriber (Abonnee): een gast die een account aangemaakt heeft, om niet telkens zijn gegevens te moeten invullen wanneer hij op een artikel wil reageren.
Een gulden regel: log zelf niet als beheerder in wanneer je geen onderhoudstaken moet uitvoeren.
6. Voer security scans uit
Net zoals je op jouw computer een antivirus hebt staan, die je machine controleert op virussen en malware, zou je eigenlijk ook een scanner moeten gebruiken bij WordPress. Die zoekt naar schadelijke code in je plug-ins, je core bestanden, je thema's om na te gaan of daarmee niet geknoeid werd. Enkele vaak gebruikte scanners: Theme Authenticity Checker, Antivirus, Sucuri Security.
7. Monitor de activiteit in je admin-paneel
Installeer een tool die in het oog houdt wat er gebeurt in je beheersmodule. WordPress logt deze informatie wel automatisch, maar de data zijn niet gemakkelijk te lezen. Gebruik WP Security Audit Log, Aryo Activity Log of Simple History. Wanneer er iets fout gaat op je site, kan je de stappen terug volgen tot aan het cruciale moment: de installatie van een bepaalde plug-in, een wijziging in je code, het uploaden van een bestand…
8. Altijd HTTPS!
Telkens je je aanmeldt op jouw admin-paneel, zendt jouw browser een authenticatie cookie samen met het request naar de server. Bij een niet-versleutelde communicatie kan een andere persoon dit cookie onderscheppen en het gebruiken om in te loggen op de server en commando's uit te voeren.
Door gebruik te maken van het https-protocol wordt de communicatie, en dus ook het cookie versleuteld. Je hebt hiervoor wel een SSL-certificaat nodig. Lees ons artikel "Wat is SSL en waarom is zo'n beveiligde verbinding belangrijk?".
9. Kies voor een goede hosting
Heb je geen goede hosting provider, dan zijn al jouw inspanningen voor niets. Volgens beveiligingsexpert WP White Security zou 41% van de hacks op een WordPress site geschied zijn als gevolg van een beveiligingsfout op de host zelf. Kies daarom je hosting provider met zorg!
Een Managed hosting provider die zich gespecialiseerd heeft in Content Management Systemen, zoals Combell's Managed WordPress aanbod, biedt meestal naast hosting ook een Firewall aan, voert op geregelde tijdstippen een malware scan uit, zorgt ervoor dat PHP en MySQL up-to-date zijn, en heeft een helpdesk-team dat WordPress door en door kent.
10. Gezond wantrouwen kan geen kwaad
Wees altijd voorzichtig en let vooral op het volgende:
- Log niet op je admin-account in vanuit een publieke Wifi zoals bij Starbucks of een hotel.
- Gebruik enkel een vertrouwde internetverbinding zoals bij jouw thuis of je kantoor.
- Gebruik bij voorkeur een VPN (Virtual Private Network).
- Denk als een hacker: wat zijn de zwakste punten van mijn installatie? Hoe zou iemand gemakkelijk binnen kunnen raken bij mij?
- Als ontwikkelaar mag je nooit de content van je users zomaar vertrouwen.
- Ga van de veronderstelling uit dat er altijd ergens iemand is die zal trachten om jouw site te kraken.
De bovenstaande tips vergen geen speciale technische kennis. Je moet enkel gezond verstand hebben en vertrouwd zijn met het installeren van plug-ins. In een volgend artikel gaan we een stap verder en geven we concrete voorbeelden van codes die je kan toevoegen en instellingen die je kan wijzigen om je WordPress nog veiliger te maken.
LEES OOK: Panama Papers: lek in WordPress plugin met grote gevolgen