• Jenny Theirlynck
    Geschreven door: Jenny Theirlynck

    Heb jij een website? Grote kans dat je WordPress gebruikt. Zeer gebruiksvriendelijk, eindeloze mogelijkheden en je vindt veel steun op het WordPress platform. Helaas is WordPress ook populair onder hackers. Veel website eigenaren denken dat hun website niet interessant genoeg is voor hackers. Dit klopt niet. Elke website kan interessant zijn voor hackers doeleinden! Hoe beveilig je je WordPress website?

    Waarom worden websites gehackt?

    Elke website kan interessant zijn voor hackers en dit is meestal waarom:

    • Ze willen je website gebruiken om spam mail mee te versturen.
    • Ze willen toegang krijgen tot je gegevens, zoals je maillijst of creditcard gegevens.
    • Ze willen toegang verkrijgen tot je website om malware te downloaden op het apparaat dat je gebruikt of malware installeren voor gebruik op je website.

    Hackers kunnen Malware installeren voor gebruik op je website, maar ook gebruikers van jouw website kunnen opgescheept komen te zitten met geïnstalleerde software op hun apparaten. Een typisch motief voor dit soort aanvallen is het mogelijk maken van aanvallen op grotere schaal. Een goede DoS-aanval (Denial of Service attack) bijvoorbeeld heeft vele apparaten nodig. Jouw gehackte site is slechts een radartje in het geheel. Of de hacker heeft het op een andere eenheid gemunt en gebruikt jouw website als tussenliggend punt omwille van zijn eigen veiligheid.

    Je kan ook de pech hebben dat een verveeld schooljong of werkloze programmeur jouw website zit te hacken.

    Waarom WordPress?

    Dit is eenvoudig: WordPress wordt wereldwijd veel gebruikt, dus hackers proberen liever een populair platform te kraken dan een kleiner platform. Je wilt als hacker immers zoveel mogelijk websites hacken. Het enorme aanbod van thema’s en plugins maakt WordPress websites zowel aantrekkelijk als kwetsbaar. Bevat een thema of plugin kwetsbaarheden, dan kan hiervan misbruik gemaakt worden. Zo is het mogelijk dat een populaire plugin met een beveiligingsfout in één klap impact heeft op duizenden WordPress websites.

    Hoe beveilig je je WordPress website?

    Houd je eigen pc veilig

    Houd allereerst je computer en andere apparaten altijd vrij van malware en virussen. Update regelmatig je OS, software en browsers op je computer. Gebruik een goed anti-virus programma.

    Kies een goede hosting provider

    Wordpress website beveiligenVeel websites worden gehackt doordat de server waarop ze draaien gehackt wordt. Dus buiten al jouw beveiligingstechnieken om kan je alsnog de pineut zijn, vooral wanneer je meerdere websites op dezelfde server hebt staan. Veel websites draaien immers op gedeelde servers. Andersom is het ook zo dat als een website gehackt is, andere websites op dezelfde server risico lopen. Kies daarom altijd een erkende hosting provider voor je website. Het liefst een in Nederland die goed bereikbaar is en goede reviews heeft. Ga niet voor gratis of te goedkope hosting, zoals 1 euro per maand hosting.

    Veilige WordPress installatie

    Dit doe je zelf of je hosting provider of websitebouwer regelt het voor je. Het handigste is als de veiligheidsmaatregelen voor de installatie al in acht genomen zijn. Daarna kan je dit doen met bijvoorbeeld een FTP programma zoals FileZilla, waarmee je bestanden naar een FTP-server kan sturen en ophalen.

    Belangrijk is om de standaard wp_ prefix te hernoemen. De prefix van de tabellen van je WordPress database is standaard wp_ (waarin wp_comments, wp_posts, wp_users, enzovoort). Hackers weten dit en gebruiken bij de meeste WordPress hacks dan ook de standaard wp_ prefix. Noem de table prefix daarom altijd anders dan wp_ prefix, bijvoorbeeld niq_. De Table Prefix vind je in het bestand wp-config.php in de root folder. Geef daarbij ook de database nooit dezelfde naam als je websitenaam.

    Verberg wp-config.php en .htaccess

    Het .htaccess-bestand kan je onder meer gebruiken om een redirect te maken naar een andere pagina of bepaalde mappen te beveiligen. Voor een goede WordPress beveiliging is het belangrijk om de toegang tot zowel het wp-config.php bestand als het .htaccess bestand te voorkomen. Voeg hiervoor de volgende codes toe:

    wp-config.php:

    <Files wp-config.php>
    order allow,deny
    deny from all
    </Files>

    Dezelfde code kan je toevoegen aan het .htacces bestand:

    <Files .htaccess>
    order allow,deny
    deny from all
    </Files>

    Onjuiste bestandsrechten

    Op een server is het niet voor iedereen toegestaan om bestanden en mappen te bewerken. Via toegangsrechten wordt bepaald wie er wat met bestanden mag doen. De rechten op de server kunnen uiteenlopen van ‘iedereen mag alles aanpassen’ tot ‘niemand mag iets aanpassen’. Ook dit kan je met een FTP programma instellen. Wat moet je weten?

    • De rechten voor bestandsmappen staan standaard op 755. Bestanden kunnen worden gelezen en uitgevoerd, maar alleen de eigenaar kan ernaar schrijven.
    • De rechten voor bestanden staan standaard op 644, hiermee kunnen scripts geen schade toebrengen.
    • Zet de bestandsrechten van het wp-config.php bestand op 444 voor extra beveiliging. Bestanden kunnen dan alleen gelezen worden.
    • Bestanden die bewerkbaar moeten zijn met de thema bewerker mogen op 666 staan.
    • Zet rechten nooit op 777. Iedereen kan dan bestanden aanmaken en verwijderen en de inhoud van de map bekijken en uitlezen.

    Meer informatie over WordPress bestandsrechten.

    Plugins en thema’s

    wordpress website beveiligenPlugins en thema’s kunnen kwetsbaarheden bevatten, vooral de gratis varianten. Zo zijn gratis WordPress thema’s soms geïnfecteerd met kwaadaardige codes die mogelijk schade toebrengen aan je website. Kies liever een betaald thema, deze heb je al voor rond de 50 euro en biedt ook veel meer mogelijkheden. Plus je krijgt er voor bepaalde tijd support bij. Enkele goede aanbieders van WordPress thema’s zijn Themeforest en Elegant Themes. Verwijder ook thema’s die je niet meer gebruikt. Werk het actieve thema altijd zo snel mogelijk bij – hoewel dit bij betaalde thema’s doorgaans voor je wordt gedaan.

    Hoe weet je of een plugin veilig is? Check altijd de rating en kijk hoeveel 5 sterren stemmers deze telt. Lang niet geüpdatet hoeft geen slecht teken te zijn, het kan simpelweg niet nodig zijn. Zolang de plugin maar verenigbaar blijft met de laatste WordPress versie. Werk plugins altijd zo snel mogelijk bij en verwijder inactieve plugins die je niet meer gebruikt. Installeer zo min mogelijk plugins.

    Werk ook altijd de laatste WordPress versie zo snel mogelijk bij! Maak altijd eerst een back-up mocht er onverhoopt iets misgaan, dit geldt ook voor het updaten van thema’s en plugins.

    Gebruik nooit admin als gebruikersnaam

    Is admin je gebruikersnaam? Dan staat een hacker al met één been in je website. Deze standaard gebruikersnaam kent iedereen. Het enige wat hij nu nog hoeft te doen is jouw wachtwoord achterhalen. In de regel zitten hackers geen wachtwoorden te raden maar gebeurt dit automatisch, bijvoorbeeld via een brute force attack. Hierbij wordt per seconde een zeer groot aantal wachtwoorden geprobeerd, bestaande uit alle mogelijke combinaties van beschikbare tekens. Admin + Fluffie van je huisdier waar je het zo vaak over hebt op je dierensite is dan snel geraden.

    Al admin? Je gebruikersnaam kan niet veranderd worden, maar je kan wel een nieuwe aanmaken en de content die op admin staat overhevelen. Daarna verwijder je admin. Denk er wel aan dat je je veilige username moet verbergen! Het kan lachwekkend makkelijk zijn voor hackers om je username te achterhalen. Simpelweg door te klikken op de auteursnaam, waarna in de link je username verschijnt. Een ander trucje is ?author=1 (of ?author=2, ?author=3, enzovoort) achter de domeinnaam plaatsen en doorgaans verschijnt in de link dan je username.

    In de database kan je dit wijzigen door de user_nicename te wijzigen in iets anders dan de username (user_login). Je vindt deze in de wp_users tabel. Andersom kan ook: de user_login wijzigen en de user_nicename behouden.

    Meerdere gebruikers?

    Mogen anderen zich ook registreren op jouw website? Moedig dan inloggegevens aan die niet te simpel zijn of wijs deze toe. Beperk hun rechten tot waar ze die nodig hebben. Moet er bijvoorbeeld eenmalig een taak worden uitgevoerd waarvoor meer rechten nodig zijn, wijzig dan de rechten alleen voor de tijd die nodig is. Daarna wijzig je de rechten weer terug. Vroegere gebruikers of ex-werknemers aan wie veel content verbonden is geef je het minimum aan rechten. Beter zorg je ervoor dat ze ook niet meer kunnen inloggen.

    Verberg je inlogomgeving

    Je inlogomgeving verbergen is ook een optie, dus niet www.domeinnaam.nl/wp-login.php maar www.domeinnaam.nl/willekeurigwoord. Dit kan bijvoorbeeld met een beveiligingsprogramma zoals iThemes Security (hierover verderop meer).

    Slim wachtwoord

    Je zou denken dat iedereen dit inmiddels wel weet, maar het moet gezegd worden: je wachtwoord mag niet de naam van je huisdier of kind zijn. Dat is als je pincode op je bankpas zetten. Ook moet je niet voor meerdere websites dezelfde inloggegevens gebruiken. Je wachtwoord bestaat uit voldoende tekens (20 tekens is mooi) en bevat kleine en grote letters, cijfers en vreemde tekens en niks persoonlijks van jou of je website. Regelmatig je wachtwoord veranderen is ook slim. Gebruik niet jaren hetzelfde vertrouwde wachtwoord of een eerder gebruikt wachtwoord.

    Installeer een beveiligingsprogramma

    wordpress website beveiligeniThemes Security is een beveiligingsprogramma met zeer veel mogelijkheden, dit geldt ook voor de gratis versie. Neem brute force attack protection. Een hacker kan niet een oneindig aantal inlogpogingen doen, maar wordt er na een paar keer al uit gekickt. Ook kan je IP-adressen op een zwarte lijst zetten, je inlogomgeving verbergen, database back-ups op vaste tijdstippen naar jezelf laten toesturen en ontvang je file change warnings. De toegang tot je dashboard beperken is ook mogelijk, bijvoorbeeld van 1.00 tot 6.00 uur wanneer je ligt te slapen. Scheelt al enorm veel hackpogingen.

    Jetpack is ook een goede beveiligingsplugin. Deze beschermt je website tegen brute force attacks en onbevoegde inlogpogingen. Jetpack beschermt je website ook tegen uitval en houdt je plugins bijgewerkt.

    Back-up, back-up, back-up

    Een back-up is je beste vriend. Ondanks alle beveiligingstechnieken kan een website alsnog gehackt worden. Of er gaat iets mis tijdens het bijwerken van de laatste WordPress versie, het thema of de plugins. Een back-up van je website is dan een must. Je kan steeds een back-up exporteren vanuit de database, maar handig is om dit automatisch te laten doen, bijvoorbeeld door iThemes Security.

    Uiteraard is deze lijst niet compleet, er bestaan nog meer beveiligingstechnieken en er komen er steeds bij. Dit zijn echter wel enkele voorname maatregelen waarmee je je website al voor een aanzienlijk deel beveiligt. Blijf daarom up-to-date op dit vlak.

Featured blogs

  • Live chat voor bedrijven

    Is de live chatbox iets voor jouw bedrijf?

    Wil je een makkelijke manier vinden om vragen van je klanten snel te kunnen beantwoorden? Dan is een live chatbox misschien iets voor jouw bedrijf. Klanten kunnen door middel van één druk op de knop een vraag stellen en jij kunt direct reageren. Zo blijft de interactie hoog en kun je de klant snel advies geven en tevreden stellen!

  • One Page website door Searchtrends

    Searchtrends introduceert de One Page-website: Vergroot uw vindbaarheid als startende ondernemer

    Searchtrends introduceert de One Page-website: Vergroot uw vindbaarheid als startende ondernemer U bent een eigen bedrijf begonnen, gefeliciteerd! Nu wilt u natuurlijk zo snel mogelijk aan de slag. Daarom is het belangrijk dat klanten u goed kunnen vinden op internet. Searchtrends heeft hiervoor een nieuw product ontwikkeld speciaal voor de startende ondernemer: de One Page-website. […]

  • WordPress: de basics

    WordPress: de basics

    Je hebt in je online leven al tientallen, zo niet honderden websites bezocht die met WordPress zijn gebouwd. WordPress is een zogenaamd contentmanagementsysteem waarmee je niet alleen kunt bloggen, maar ook […]

  • Wordpress website beveiligen

    Wees je WordPress hacker te slim af

    Heb jij een website? Grote kans dat je WordPress gebruikt. Zeer gebruiksvriendelijk, eindeloze mogelijkheden en je vindt veel steun op het WordPress platform. Helaas is WordPress ook populair onder hackers. Veel website eigenaren denken dat hun website niet interessant genoeg is voor hackers. Dit klopt niet. Elke website kan interessant zijn voor hackers doeleinden! Hoe […]

  • webdesignfouten

    Dat kan echt niet meer! 10 webdesigndingen

    Klinkt er een gezellig muziekje op jouw website? Heb je je eigen logo ontworpen met een 3-stappenplan? Een fotograaf uitgespaard met zelf geschoten smartphone foto’s? Dan voldoet jouw website aan drie van onze 10 webdesigndingen die ècht niet meer kunnen diep in 2016. Geen zorgen! Wij openbaren deze 10 webdesigndingen en leggen je uit waarom.

  • Update Google mobiele websites

    Mobiel vriendelijke website nóg belangrijker

    Begin mei komt Google met een nieuwe update. Het hebben van een website die ook geschikt is om te bezoeken op een smartphone of tablet is dan nog belangrijker. Deze update heeft effect op uw ranking als uw website nog niet responsive is. Waarom? Steeds meer internetgebruikers bezoeken websites op een smartphone.

  • Google geeft al aan of je website geschikt is voor mobiel

    Mobiel vriendelijke website vanaf morgen een must

    is uw website al mobiel vriendelijk? Vanaf morgen wordt dit een absolute must. Vanaf 21 april 2015 gaat Google namelijk op basis van meerdere factoren de mobiele vriendelijkheid van website beoordelen. Op basis daarvan wordt u website hoger in de mobiele zoekresultaten dan websites die niet mobiel vriendelijk zijn gebouwd.

  • Er zijn meerdere redenen om te kiezen voor een website. Zo kunt u uw klanten informeren en bent u altijd bereikbaar.

    Waarom een website?

    Bijna ieder bedrijf heeft tegenwoordig een website. Maar waarom is dat eigenlijk een must? Wij geven u tien redenen om te kiezen voor een website.

  • Het Nike-logo

    Waarom een logo

    Het logo is vaak een van de eerste dingen die potentiële klanten van uw bedrijf zien. Daarom is een professioneel logo van belang. Een goed logo wekt een positieve associatie op met uw bedrijf. Het geeft uw bedrijf een gezicht.

  • Een logische website indeling is een van de aspecten die voor een professionele website zorgen.

    5 belangrijke onderdelen op uw website

    U heeft een website maar heeft u ook een goede website? Uw website is namelijk de eerste indruk die potentiële klanten van u en uw bedrijf krijgen. Daarom is het belangrijk dat uw website zowel uw bedrijf treffend weergeeft als ook bezoekers overhaalt om te kiezen voor uw bedrijf. Hiervoor is het belangrijk om tenminste vijf onderdelen goed te regelen op uw website.

  • Het apparaat waarmee u de website bekijkt bepaalt het formaat van de website bij Responsive Webdesign.

    Responsive Webdesign

    U heeft een website waar u trots op bent. Maar heeft u eigenlijk wel bekeken hoe u website er op een mobiele telefoon of een tablet uitziet? Dat is namelijk erg belangrijk omdat het aantal smartphone- en tabletgebruikers nog steeds stijgt. Responsive Webdesign is de oplossing. Bekijken uw bezoekers uw website met een tablet of smartphone dan schaalt uw website automatisch mee naar een leesbaar en gebruiksvriendelijk formaat.

  • Rekening houden met browsers

    Zonder dat u het misschien weet, maakt u gebruik van een bepaalde webbrowser. Dit is het programma waarmee u websites bekijkt. Denkt u aan Internet Explorer, Mozilla Firefox of Google Chrome. Google Chrome is uitgegroeid tot de populairste webbrowser in zowel Nederland als België. Test u website eens op de verschillende browsers: Uw website wordt niet altijd hetzelfde weergegeven.

  • Een andere domeinnaam, subdomein of submap voor een nieuw product

    Subdomeinen of submappen

    Stelt u zich voor: U heeft verschillende vestigingen of u biedt uw website aan in verschillende talen. Kiest u dan voor subdomeinen of submappen? Een subdomein ziet Google als aparte pagina, terwijl een submap onderdeel is van dezelfde website. Kies voor een subdomein als u hele afwijkende producten in uw assortiment heeft. Kies voor submappen als dit niet het geval is. Het verschil wordt verder uitgelegd in het artikel.