Janneke Avatar

Hoe beschermt u uw WordPress-website tegen hackers?

WordPress is veruit het populairste contentmanagement-systeem (CMS) van dit moment. Bij website-eigenaren, maar ook bij hackers! Houdt u van techniek en vindt u het niet erg om maandelijks een paar uurtjes te besteden aan uw eigen WordPress-site, lees dan verder. In dit artikel geven wij u tips over het beveiligen van uw site. Denk daarbij aan het maken van de juiste keuzes in hostingprovider, het updaten van WordPress en plugins, firewalls en veiligheidsmaatregelen.

WordPress populair bij hackers

Een kwart van de top 10 miljoen websites gebruikt WordPress als beheersysteem. Deze grote populariteit zorgt ervoor dat WordPress een interessant doelwit is voor hack-aanvallen. In een recente poll bleek 39 procent van de respondenten in het laatste jaar last te hebben gehad van een gehackte WordPress-site.

Cybercriminelen scannen automatisch het web op hackbare sites. U hoeft dus niet per se een populaire website te hebben. Gehackte sites worden vooral gebruikt om spam te versturen, virussen en malware te verspreiden en gegevens te stelen. Daarom is het van groot belang dat elke WordPress-website goed beschermd is. Gelukkig kunt u veel zelf doen. Wilt u meer zekerheid, heeft u weinig tijd, of heeft u te maken met privacygevoelige of financiële gegevens? Laat dan uw website door een professional beveiligen.

Hoe selecteert u een geschikte hostingprovider?

WordPress draait altijd op een server. Je hebt hostingpakketten in elke denkbare vorm en prijs. Selecteert u de leverancier op prijs? Of beoordeelt u juist op zijn kwaliteiten? Best fijn als u weet waar u op moet letten bij het selecteren van een geschikte partij. Hieronder vindt u een aantal tips waarmee u de leverancier kunt beoordelen.

  • Back-ups van de website en database: Bij problemen is het fijn als u uw site kunt terugzetten naar een back-up. Maakt de provider automatisch back-ups van de website én database? En hoe lang worden deze bewaard? Omdat u een veiligheidsprobleem misschien niet meteen opmerkt, is het fijn als u een oude versie van uw site kan herstellen, bijvoorbeeld van twee of vier weken terug.
  • Up-to-date serversoftware: Zijn de servers van de provider up-to-date? De serversoftware (zoals Linux, PHP, en Apache) moeten regelmatig geüpdatet worden naar nieuwe versies. Vraag dus hoe vaak deze bijgewerkt worden.
  • Interne afscherming van websites: Als meerdere bedrijven gebruik maken van één server kunt u te maken krijgen met veiligheidsproblemen van de ‘buren’. Simpelweg omdat zij hun website niet goed updaten. Daarom is het belangrijk om na te gaan of websites intern worden afgeschermd. Dit kan bijvoorbeeld door middel van een virtuele privéserver (VPS) of beveiligingstechnologie als AppArmor.
  • Web-firewall: Een web-firewall of web-applicatie-firewall (WAF) inspecteert het webverkeer vóórdat het uw WordPress-site bereikt. De firewall kan bijvoorbeeld pogingen blokkeren om wachtwoorden te achterhalen, het wp-config.php-bestand in te lezen of fouten in plugins te misbruiken.
  • Nederlandse hostingprovider: Een Nederlandse webhost zorgt ervoor dat u gemakkelijk kunt bellen of mailen als er een probleem met uw site is.
  • WordPress-ervaring: Last but not least, heeft de hostingprovider ervaring met WordPress? Een provider gespecialiseerd in WordPress heeft een pre.

Heeft u een geschikte hostingleverancier gevonden? Goed geregeld! De volgende stap is het realiseren van extra veiligheidsinstellingen in de WordPress-omgeving zelf.

Extra veiligheidsinstellingen met iThemes Security

WordPress heeft een enorm aantal instellingen die de veiligheid kunnen beïnvloeden. Het gaat te ver om deze allemaal te noemen. Gelukkig zijn er een aantal WordPress-plugins die u helpen om uw WordPress-website veilig in te stellen. De meest uitgebreide plugin van dit moment is iThemes Security (voorheen Better WP Security).

Als u nog nooit met iThemes Security heeft gewerkt, raden we aan om de plugin eerst uit te proberen op een testsite. Het kan soms gebeuren dat bepaalde opties conflicteren met andere plugins, of met uw geïnstalleerde theme. Na het installeren van de iThemes Security-plugin ziet u links in uw WordPress-dashboard de optie ‘Security’.

De Security-pagina toont diverse actiepunten die u kunt ondernemen om uw WordPress-site veiliger te maken. Klik op ‘Edit’ bij een van de actiepunten of ga naar het tabblad ‘Settings’ om de instellingen aan te passen. De plugin bevat ook een video-tutorial.

ithemes-dashboard-wordpress
Klik op – Edit – bij een van de actiepunten of ga naar het tabblad – Settings – om de instellingen aan te passen.

Belangrijke opties van iThemes Security

Een paar belangrijke opties van iThemes Security om zeker te controleren:

Completely Disable XML-RPC

Deze optie schakelt het ouderwetse XML-RPC-protocol uit, dat regelmatig misbruikt wordt door hackers en steeds minder nut heeft. Sommige plugins en mobiele apps gebruiken dit, dus test de site wel even na het uitschakelen.

Hide Login Area

Geautomatiseerde hack-pogingen krijgen minder kans van slagen als het webadres van uw dashboard anders is dan gebruikelijk. Via ‘Hide Login Area’ kunt u het webadres van uw dashboard van /wp-admin wijzigen naar iets wat je zelf kiest, zoals /admin of /login.

File Change Detection

Met deze functie krijg je periodiek een e-mail als er bestanden op je website zijn gewijzigd. Als iemand in je WordPress-site heeft gerommeld, kom je er zo snel achter.

Change Content Directory

U vindt deze functie onder het ‘Advanced’-tabblad. Content staat normaal gesproken in de bekende wp-content-map. Omdat veel malware geautomatiseerd zoekt naar verouderde plugins en themes in deze map, is het veranderen van de content-map een echte aanrader. Via ‘Change Content Directory’ kunt u de content-map van WordPress (wp-content) verplaatsen naar een zelf te kiezen adres, zoals bijvoorbeeld /content of /stuff. Een nadeel is dat u hiermee het web-adres van bestaande uploads ook verandert. Doet u dit op een bestaande website? Dan moet u dus mogelijk in uw posts en pagina’s de links naar afbeeldingen aanpassen.

Change Database Prefix

Maak het moeilijker om van buitenaf in databasetabellen te kijken en voeg via ‘Change Database Prefix’ automatisch een random letterreeks toe aan uw database-tabellen. U vindt deze functie onder het ‘Advanced’-tabblad.

404 Detection

404 detection checkt hoe vaak een gebruiker een groot aantal niet-bestaande pagina’s probeert te benaderen en dus een groot aantal 404 errors krijgt. Dit is vaak een teken dat een hack-tool gebruikt wordt. Met behulp van deze instelling worden deze bezoekers tijdelijk geblokkeerd.

Filter Non-English Characters

Speciale tekens worden soms gebruikt in een hack-poging. Deze functie blokkeert al het verkeer met ‘speciale tekens’. Pas op: gebruik deze instelling alleen als u een Engels- of Nederlandstalige website hebt. Internationale gebruikers kunnen een foutmelding op uw site krijgen als ze in een zoekveld een teken als é of ß intypen.

De kracht en de kwetsbaarheden van plugins en themes

De grote kracht van WordPress is het enorme aanbod aan plugins en themes die bijna elke denkbare functie kunnen realiseren. Maar wat beveiliging betreft zijn plugins en themes ook WordPress’ grootste zwakke plek. De WordPress-core zelf zit tegenwoordig vrij stevig in elkaar, al worden ook daarin soms nog kwetsbaarheden gevonden. Veel themes en plugins zijn helaas minder professioneel ontwikkeld dan WordPress zelf. Hieronder vindt u een aantal tips om deze veilig te houden:

Update uw WordPress, plugins en themes regelmatig

Dit is één van de belangrijkste dingen die u kunt doen. Er worden vaak nieuwe kwetsbaarheden in plugins en themes gevonden. Ruim regelmatig tijd in uw agenda in om deze te updaten, bijvoorbeeld elke twee weken.

wordpress-updating
Update al je plugins en themes regelmatig.

Gooi onnodige plugins en themes weg

Een hacker heeft maar één foutje in een regel code nodig om binnen te komen. Hoe minder code, hoe beter. Bekijk de plugin- en themes-pagina’s in uw dashboard en check of u alles écht nodig heeft. Heeft u meerdere plugins uitgeprobeerd tot u de juiste heeft gevonden? Gooi dan de onnodige plugins meteen weg. Als u niet zeker weet of u een plugin nodig hebt, deactiveer de plugin dan een tijdje, en check of uw site nog goed werkt. Elke plugin die u weggooit, maakt uw site veiliger.

Pas de code van een theme niet aan

Codewijzigingen in themes maken het moeilijker om het theme te updaten. Bij een update gaan de aanpassingen namelijk verloren. Dit leidt ertoe dat veel mensen met verouderde themes werken. Wilt u de CSS van een theme aanpassen? Gebruik een ‘Custom CSS’- plugin waar u uw eigen CSS-code in kunt plakken. Wilt u de HTML- of PHP-code van het theme aanpassen? Dan is het beter om een Child Theme aan te (laten) maken waarin u puur jouw aanpassingen doorvoert. Vervolgens kunt u het originele theme bijwerken.

Download plugins en themes alleen van officiële WordPress- en theme-sites

Met name premium themes worden vaak illegaal gekopieerd. Illegale versies van premium themes bevatten regelmatig malware en kunnen reclame en black-hat SEO-spam aan uw website voegen. Om dit te voorkomen raden wij aan om alleen themes en plugins te downloaden vanaf officiële WordPress- en theme-sites.

Meer tips!

Kunt u er geen genoeg van krijgen? Dan hebben wij hieronder nog een aantal handige tips waarmee u uw WordPress-site nog beter kunt beschermen.

  • Kies altijd een moeilijk WordPress-wachtwoord. Nieuwe WordPress-versies hebben een invoerhulp die controleert hoe moeilijk uw wachtwoord is.
  • Gebruik nooit hetzelfde wachtwoord op meerdere sites. Mocht een wachtwoord in verkeerde handen komen, zorg dan in ieder geval dat uw andere accounts veilig blijven.
  • Overweeg om automatische achtergrond-updates voor de WordPress-core en -plugins aan te zetten. Hiermee werkt WordPress automatisch bij als WordPress of een plugin een beveiligings-update heeft. Het fijne is dat u hiermee bepaalde urgente problemen kunt ondervangen. Aan de andere kant bestaat er een kans dat een automatische update iets kapot maakt. Als u WordPress automatisch naar ‘minor releases’ laat updaten, is de kans op dit soort problemen klein.
  • Zorg er altijd voor dat automatische updates aan staan op uw eigen computer en mobiele devices. Gebruik het liefst een veilige browser zoals Chrome. We zien regelmatig dat klanten een virus op hun computer krijgen, waarna het virus de wachtwoorden uit de browser onderschept en de websites infecteert met malware.
  • Wanneer u meerdere gebruikers heeft, geef dan zo weinig mogelijk mensen de Administrator- of Beheerder-rol. We zien vaak dat uit gemak beheerdersaccounts worden gebruikt. Voor veel gebruikers is de Editor- of Schrijver-rol voldoende om hun taken uit te voeren. Dit verkleint de gevolgen als een wachtwoord gestolen wordt, en voorkomt ook dat zij per ongeluk een site-instelling veranderen.
  • Verwijder onnodige WordPress-gebruikersaccounts. In uw WordPress-dashboard kunt u dit vinden onder ‘Gebruikers’ of ‘Users’.
  • Om te voorkomen dat WordPress-gebruikers plugin- en theme-code aanpassen, kunt u de volgende regel toevoegen aan uw wp-config.php-bestand: define(‘DISALLOW_FILE_EDIT’, true); Dit verkleint de gevolgen van een gestolen wachtwoord.
  • Houd sites en mailinglists met beveiligingsnieuws goed in de gaten. Een goede site waar problemen in WordPress-plugins worden gemeld is WpVulnDB. Deze site heeft een RSS-feed waarop de meeste WordPress-beveiligingsproblemen worden gemeld.

Dit artikel is geschreven in samenwerking met Walter Hop, technisch directeur van Internetbureau Slik.

Janneke Avatar

De online wereld beter maken. Dat is de passie van Janneke. Enthousiast, creatief en doordacht. Als webconsultant werkt ze graag mee aan het ontwikkelen van websites en webapplicaties die er supermooi uitzien, vooral lekker werken en ons leven nét iets makkelijker maken.