WordPress is populair, gratis en zeer gebruiksvriendelijk, je kan het ook oneindig ver uitbreiden. Die populariteit en flexibiliteit heeft ook enkele nadelen. De beveiliging, heel wat hackers mikken hun pijlen op WordPress websites. Aangezien dat ongeveer 1 op 4 websites gebouwd is in WordPress is het voor hackers een grote doelgroep. Als ze in 1 website een fout vinden kunnen ze dat eenvoudig op andere websites ook proberen. Het zoeken naar WordPress websites is voor hackers een kinderspel, de kans dat je op een WordPress website bent is zeer hoog.

Er zijn heel wat verschillende hack mogelijkheden. Op de Made I.T.-website hebben we er per maand ongeveer 20.000 die we tegen houden. In deze blog ga ik je dan ook enkele tips geven die je kan gebruiken om ook jouw website te beveiligen.

#1 Verwijder overbodige thema’s en plugins

Als je WordPress installeert zitten hier al vaak enkele standaard thema’s en plugins bij. Meestal gebruik je deze niet en zoek je zelf een thema of laat je een thema maken naar jouw huisstijl. Het is niet om dat deze thema’s en plugins niet gebruikt worden dat hackers deze niet kunnen misbruiken. Veel mensen vergeten weleens niet gebruikte plugins of thema’s te updaten. Daardoor kan he zijn dat er fouten in zitten die door hackers misbruikt kunnen worden, ook als deze niet actief zijn! Een slecht onderhouden plugin of thema is dan ook een van de meest voorkomende problemen die hackers misbruiken.

Je plugins verwijderen doe je zo:

  • Via FTP: In de map wp-content/plugins
  • Via de backend: Weergave > Plugins > Geïnstalleerde plugins

Je thema’s verwijderen doe je zo:

  • Via FTP: In de map wp-content/themes
  • Via de backend: Weergave > Thema’s > Thema’s beheren

#2 Admin gebruiker verwijderen

Wanneer je WordPress zelf installeert krijg je de mogelijkheid om meteen je account aan te maken. Gebruik je een on-click-install tool, dan wordt er een standaard admin account aangemaakt. Hackers proberen regelmatig met de meest voorkomende gebruikersnamen in te loggen op je website. Door het raden en proberen invullen van je wachtwoord verkrijgen deze hackers vaak toegang tot wordPress websites. Kies dus bij het aanmaken van je WordPress website of het toevoegen van een nieuwe gebruiker een goede (niet standaard) username. Vermijd dus ‘admin’, ‘administrator’ en gelijkaardige snel te raden namen.

Om hackers tegen te houden die vaak proberen met veel voorkomende gebruikersnamen in te loggen kan je ook een beveiligingsplugin gebruiken. Zo een plugin gaat hackers blokkeren als deze enkele keren een verkeerde username en/of wachtwoord hebben gebruikt. Zo krijgen ze niet de kans om 100den keren te proberen om je wachtwoord te raden. Meer hierover vind je in tip #5.

Hackers gebruiken ook heel vaak wachtwoord lijsten. Dit zijn alle wachtwoorden die ooit in een hack van andere websites zijn gevonden. Je kan steeds je eigen wachtwoord of accounts controleren of jouw gegevens ooit in een hack zijn terug gevonden. Dit kan je doen via de website have i been pwned. Sta je op de lijst? Veranderd je wachtwoord op alle websites waar je dat wachtwoord hebt gebruikt!

#3 Schakel de WordPress editor uit

Standaard heb je via je WordPress admin pagina direct toegang tot de editor waar je bestanden van plugins en thema’s kan wijzigen. Deze editor kan heel handig zijn om bijvoorbeeld snel een css wijziging door te voeren maar de nadelen zijn veel groter. Eén type foutje en je hele website ligt er meteen uit, ook werkt je editor niet meer dus hoe ga je die fout herstellen zonder je editor? Gelukkig is dit in WordPress 4.9 verbeterd en zal je jouw website niet meer meteen stuk krijgen. Maar de editor is ook ideaal voor hackers, eens ze binnen zijn op je website kunnen ze heel eenvoudig kwaadaardige code in je website injecteren, zonder je er maar iets van merkt. Gewoon de editor uitschakelen dus!

De editor uitschakelen kan je door in het wp-config.php bestand define(‘DISALLOW_FILE_EDIT’, true); toe te voegen.

#4 WordPress updates installeren!

Eén van de belangrijkste zo niet de belangrijkste tip is het updaten van je Plugins, thema’s en WordPress core. Super eenvoudig maar het wordt toch zo vaak vergeten. Updates zijn er niet voor niets, ze lossen fouten op, beveiligingslekken of voegen nieuwe functionaliteit toe. De meeste hackers kunnen je website hacken door een fout in een plugin, hou je website dus steeds up-to-date.

Updates installeren kan je zelf doen, een simpele druk op de knop, enkele seconden wachten en klaar. Je website is volledig up-to-date. Helaas durft zo een update soms weleens mislopen. Daarom wordt wel eens aangeraden om het onderhoud van je website uit handen te geven, waarom? Dat kan je hier lezen.

#5 Security plugin

Less is more dit geld ook zeker bij plugins, hoe minder plugins hoe sneller je website in veel gevallen zal zijn. Maar een security plugin zoals onze eigen WP Secutiry of WordFence plugin is toch wel een van de must haves en staat als één van de eerste plugins in mijn lijstje die ik zal installeren.WP Security by Made I.T. is net als WordFence (de leider in het monitoren van security issues op websites) een gratis security plugin die automatisch accounts en IP-adressen gaat blokkeren als deze personen fout inloggen of proberen je website te hacken. Deze plugins weten perfect alle gaten zitten en zo is ook jouw website beschermt tegen al die hackers. Het scant ook al je bestanden op kwaadaardige code en zal je waarschuwen als je iets moet ondernemen op je website.

Na deze 5 tips kan je weer verder met je veilige website, natuurlijk zijn er heel wat meer mogelijkheden om je website te beveiligen. Zo kunnen hackers ook via andere wegen dan via je website binnen dringen. Heb je meer vragen of heb wil je je website nog beter laten beveiligen kan je ons steeds contacteren. We hebben heel wat ervaring met kleine en grote websites.