Beveilig mijn WordPress website – Deel 1
Daar is hij dan. Het eerste deel van “Beveilig mijn WordPress website”. Wie gebruikt er tegenwoordig geen WordPress? 25% van alle websites is gebouwd met WordPress, dus de kans is groot dat uw website ook voorzien is van het prachtige WordPress CMS systeem.
Omdat een goede beveiliging tegenwoordig geen overbodige luxe is schrijf ik dit artikel. Met de tips uit dit artikel kunt u uw WordPress Website tot wel 75% veiliger maken.
Bovenstaande beveiliging noemen we bij Q5 Internetbureau “standaard beveiliging” en is perfect voor “normale websites”. Hiermee vangt u de meeste gevaren af zoals automated bots, unpermitted changes, unauthorized logins etc. Q5 klanten hebben deze beveiliging al automatisch en gratis in hun website zitten.
Maar als u een bedrijf heeft dat afhankelijk is van internet en zijn grootste omzet behaald uit online activiteiten dan mag er gerust gestreefd worden naar een website die 99% beveiligd is (100% is helaas een illusie, want net als met een woonhuis, winkel of bank is niets 100% te beveiligen).
Lets go…
WordPress is gevaarlijk onveilig:
Dat is een gewaagde uitspraak. Maar standaard out-of-the box is WordPress niet heel goed beveiligd. Dat telt overigens ook voor de meeste overige CMS systemen dus daar is WordPress geen uitzondering in.
Het gevaar is dat de meeste website hackers weten hoe WordPress werkt en opgebouwd is. Dit gegeven maakt het gemakkelijker om WordPress te misbruiken. WordPress biedt ook geen veiligheidsopties binnen het standaard CMS systeem. Wel kunt u tijdens installatie kiezen voor een andere database prefix maar dat is een van de weinige veiligheidsmaatregelen die de standaard WordPress biedt.
Het grootste gevaar schuilt misschien nog wel in de optionele WordPress plug-ins en templates. Plug-ins worden gebruikt om de functionaliteit van WordPress uit te breiden en de templates worden gebruikt om het uiterlijk van de WordPress site aan te passen. WordPress zelf heeft als voordeel dat vele programmeurs over de hele wereld werken aan de software. Plug-ins en templates (en met name de gratis / free varianten) worden vaak gemaakt door een handjevol personen waardoor updates vaak minder periodiek zijn en de gebruikte code soms onder de maat is.
Eerste tip: kijk ook eens naar premium plug-ins en templates. Deze kosten vaak een paar tientjes maar zijn kwalitatief vaak een stuk beter en bieden betere support.
Beveilig je WordPress website – Algemeen:
1. Update je CMS en je plug-ins:
Ik kan het niet vaak genoeg herhalen maar alleen al door periodiek uw WordPress CMS en plug-ins te updaten kunnen veel problemen voorkomen worden. Updates zorgen ervoor dat bekende veiligheidsproblemen verholpen worden en geven je vaak ook nieuwe features. Hoewel het zo moet zijn dat je deze modulaire updates uit moet kunnen voeren zonder dat uw website of een functie op uw website niet meer werkt is het raadzaam om wel even een backup te maken. WordPress updates zijn te vinden onder “Dashboard” – “Updates”. Als je WordPress en je plug-ins kunt updaten is het raadzaam om eerst de plug-ins te updaten, vervolgens om WordPress te updaten en om daarna weer de plug-ins te updaten (als er dan nog plug-ins zijn met updates).
2. Gebruik geen standaard login informatie:
Deze klinkt vaak ook heel logisch maar het gebeurt toch nog te vaak dat mensen standaard / makkelijk te raden informatie gebruiken. De WordPress standaard administrator user heet “admin”. Schakel dit account uit en maak een andere administrator user aan (een administrator user is een gebruiker met maximale rechten binnen het CMS systeem. Gebruik daarnaast een moeilijk wachtwoord van meer dan 10 karakters.
3. Gebruik veilige en dedicated hosting:
Uw website draait ergens op een server. De resources die nodig zijn worden door de server beheerd. Kies dus een goede en gerenommeerde hosting provider uit om uw website te hosten. Maak nooit geen gebruik van gratis hosting en kies bij voorkeur voor een eigen dedicated server zodat u zelf de veiligheidsinstellingen op serverniveau kunt regelen. Een hosting provider moet zijn veiligheidsinstellingen vaak wat versoepelen door de vele wensen van verschillende gebruikers. Als u uw eigen server beheerd kunt u alleen dat open zetten wat u werkelijk nodig heeft. De rest kan gewoon dicht.
4. Gebruik HTTPS bij privacy gevoelige verbindingen met uw bezoeker:
Een HTTPS verbinding zorgt voor een veilig (niet af te luisteren) communicatiekanaal tussen u en uw bezoeker. Gebruik dus ook HTTPS wanneer u privacy gevoelige informatie vraagt van uw bezoekers. Uw bezoekers zullen dit erg fijn vinden en u loopt geen risico op gegevens diefstal. Lees voor meer informatie onze post: SSL en SSL Certificaten.
5. Maak periodieke backups:
Een goede back-up is onmisbaar als er toch iets mis is gegaan. Alle uurtjes programmeren en ontwikkelen zijn verloren als u geen back-up heeft. Zorg dat u een goede back-up maakt van uw bestanden en database zodat u altijd uw complete website kunt herstellen als dit nodig mocht zijn (uiteraard beschermt een goede back-up ook tegen problemen die optreden als u zelf per ongeluk iets fout doet).
6. Beveilig je website met .htaccess:
Met het .htaccess bestand (alleen beschikbaar als u uw website op een Apache server draait) kunt u uw website goed beveiligen. In deel 2 van dit WordPress Beveiliging artikelen komen we daar nog wat beter op terug met een paar specifieke WordPress voorbeelden. Lees voor algemene tips alvast onze .htaccess post.
7. Maak een Google webmaster account aan:
Met een Google Webmaster account wordt u d.m.v. een automatische Google e-mail op de hoogte gehouden van problemen op uw website. Aanmelden is simpel en het is fijn om op de hoogte te worden gehouden als er iets mis is gegaan zodat u snel kunt handelen.
Ok, Thats it! Tot zover het eerste gedeelte van “Beveilig mijn WordPress Website”. Ondanks dat bovenstaande tips nog redelijk algemene tips zijn zullen ze door het goed opvolgen veel ellende voorkomen. Ook voor WordPress gebruikers!
In deel 2 gaan we dieper in op WordPress specifieke beveiliging. Mis hem niet!
