Momenteel is ruim 30% van alle websites op internet een WordPress website. Het is het daarmee niet alleen verreweg het meest populaire Content Management Systeem (CMS), maar ook een steeds interessanter doelwit voor hackers en andere kwaadwillenden. Hoewel WordPress van zichzelf al relatief veilig is, kan je zelf ook extra maatregelen nemen om je website nóg beter te beveiligen. Hieronder vind je het eerste deel met 5 tips die je zelf toe kan passen.
1. Houd je WordPress website up to date
Dit is misschien een voor de hand liggende eerste tip, maar wel een onmisbare. WordPress, plugins en thema’s worden regelmatig bijgewerkt door hun ontwikkelaars om hun software beter en veiliger te maken. Door alles regelmatig te updaten houd je je website veilig en beperk je de kans voor hackers en kwaadwillende om via software-lekken in te kunnen breken op je website.
Wanneer je WordPress website updates heeft herken je dit aan een icoontje in je ‘admin-bar’ (de zwarte balk bovenaan je website, en het kopje Updates in het menu.
Let bij het uitvoeren van updates wel op de versienummers van WordPress, je plugins en thema. Het kan namelijk zo zijn dat een een of meerdere plugins of thema’s nog niet compatible zijn met je huidige WordPress-versie.
Dit controleer je door in je updates scherm te klikken op Details van [versienummer] bekijken.
In de popup die dan verschijnt vind je de juiste informatie aan de rechterkant.
2. Gebruik een sterk wachtwoord
Eén van de meest gemaakte fouten in het beveiligen van accounts is het gebruik van ‘zwakke’ wachtwoorden zoals 1234567890, test123, abc123 etc. Dit soort wachtwoorden zijn makkelijk te onthouden, maar ook makkelijk te raden. Advies is dus om deze zo snel mogelijk nog aan te passen!
Een sterk wachtwoord bestaat doorgaans uit een willekeurige combinatie van hoofdletters, kleine letters, cijfers en speciale tekens (zoals: #, &, ! en @).
Hoe weet je nou of je een zwak wachtwoord hebt? Je kan bijvoorbeeld op de website howsecureismypassword.net zien hoe snel jouw wachtwoord gekraakt zou kunnen worden door een computer.
Zo pas je je wachtwoord aan
- Log in op de WordPress admin van je website.
- Ga naar Gebruikers > Je profiel.
- Klik bij het kopje Gebruikersbeheer op de knop Wachtwoord genereren. WordPress stelt dan automatisch een sterk wachtwoord voor. Je kan natuurlijk ook zelf een sterk wachtwoord bedenken. De sterkte-indicator geeft aan hoe sterk je nieuwe wachtwoord daadwerkelijk is.
- Sla de wijzigingen op.
Bonustip: Gebruik je voor andere websites waar je moet inloggen (zoals Facebook, Twitter etc.) steeds dezelfde wachtwoorden, of een variant hierop? Zorg er dan voor dat je ook hiervoor zo snel mogelijk verschillende wachtwoorden instelt.
Moeilijk te onthouden? Dat klopt. Maar gelukkig zijn er ‘password managers’. Dit zijn programma’s als 1Password of LastPass die al je sterke wachtwoorden onthouden en automatisch voor je invullen als je ergens inlogt.
3. Installeer een SSL-certificaat
Een SSL-certificaat zorgt voor een beveiligde verbinding tussen de website en de bezoeker. Wanneer een website een SSL-certificaat gebruikt, herken je dit aan een (groen) slotje in de adresbalk in je browser, links van je URL. De URL zelf begint met https://.
Een SSL-certificaat was oorspronkelijk bedoeld voor het beveiligen van specifieke gegevensuitwisseling, bijvoorbeeld digitale betalingen in webshops. Naast het feit dat het gebruik van een SSL-certificaat veiliger is, kom je met een SSL-certificaat vaak sneller hoger in de zoekresultaten van Google terecht.
Een SSL-certificaat is tegenwoordig verplicht voor websites die (persoons)gegevens uitwisselen met bezoekers. Denk hierbij bijvoorbeeld aan een contactformulier, adres- en betaalgegevens. Heb je geen SSL-certificaat op je website geïnstalleerd, dan kunnen die gegevens die een bezoeker via jouw website verstuurt onderschept worden door hackers en kwaadwillenden. De gegevens die je bezoeker verstuurt worden dan namelijk verstuurd als platte tekst. Met een SSL-certificaat worden deze gegevens eerst gecodeerd en vervolgens pas verstuurd, waardoor het een stuk lastiger wordt om die gegevens te kunnen lezen.
Alle hostingproviders bieden SSL-certificaten aan, en velen zelfs een gratis Lets Encrypt certificaat, welke je vaak met een paar klikken kan installeren. Informeer hiervoor bij de hostingprovider van je website.
4. Verander je wp-login URL
De standaard URL van je WordPress login pagina is jewebsite.nl/wp-admin. Deze URL is algemeen bekend, en kan dus een makkelijk doelwit zijn voor “brute force attacks”. Dit is kort gezegd een manier voor een hacker om op je website in te loggen door gebruik te maken van software die verschillende combinaties inlognamen- en wachtwoorden probeert, totdat deze uiteindelijk de juiste combinatie heeft gevonden en kan inloggen.
Met Themes Security Pro (of de gratis versie) kan je eenvoudig de inlog URL van je website aanpassen. Heb je de plugin geïnstalleerd en geactiveerd, ga dan naar Security > Settings (1) en klik dan rechtsboven op het tabblad Advanced (2). Daar vind je de optie Hide Backend (3).
Vervolgens krijg je een scherm te zien met de instellingen om de URL van de wp-admin aan te passen. Vink Enable the hide backend feature aan en verander de ‘slug’ van je login pagina in het veld er onder. Sla vervolgens de wijzigingen op. Vanaf nu moet je inloggen op je WordPress website via de door jou aangepaste URL.
5. Maak regelmatig backups
Backups maken van je website vormt een belangrijk onderdeel van de veiligheid van je website. Wanneer er iets mis gaat, bijvoorbeeld bij het updaten van je site, of wanneer een hacker onverhoopt inbreekt, ben je blij als je een actuele backup van je WordPress website hebt die je met een paar klikken meteen weer terug kan zetten.
WordPress zelf beschikt niet over de functionaliteit om backups van je website te maken. Gelukkig zijn er veel plugins beschikbaar waarmee je eenvoudig backups kan maken van je website.
Ben je opzoek naar een goede plugin om je WordPress website te backuppen, dan is UpdraftPlus (gratis) met ruim 2 miljoen actieve installaties een van de populairste en meest gewaardeerde opties. Met UpdraftPlus kan je zowel handmatige backups als automatische (ingeplande) backups maken die direct worden geüpload naar bijvoorbeeld Dropbox, Google Drive of een andere clouddienst. Ook het terugzetten van een backup is met een paar klikken gedaan.
In de post Een backup van je WordPress website maken met UpdraftPlus laat ik je zien hoe je met behulp van UpdraftPlus backups maakt van je website. Hoe je je website kan herstellen met een gemaakte backup lees je in de post Een UpdraftPlus backup van je WordPress website terugzetten.
