+31 35 711 0876 Support Center   Remote Help

WordPress beveiligen

WordPress wordt dagelijks bijna een miljoen keer gedownload en heeft een marktaandeel van ruim 61% van alle beheersystemen op het internet. Een kleine 25% van alle websites op het internet gebruikt WordPress. Dit maakt het systeem dus zeer lucratief voor hackers.
Als je WordPress website eenmaal gehacked is kan dit zeer nadelig voor je uitpakken. De kans is zeer groot dat de gehele website opnieuw ontwikkeld moet worden of er moet een schone installatie plaats vinden.

Kat en muisspel

Het blijft een kat en muisspel. Je probeert je website zo goed mogelijk te beveiligen tegen aanvallen van buitenaf, en hackers verzinnen steeds weer iets nieuws om je website over te nemen.
Het is niet alleen de website die de hacker over wilt nemen maar bijna in alle gevallen ook je computer, terwijl je het niet eens in de gaten hebt.

Zorg er dan ook voor dat niet alleen je website goed beveiligt is tegen hack pogingen maar ook dat je PC/ Laptop beschikt over een goede Firewall en Antivirus Software. Een tip hiervoor is Bitdefender.

Waarom zou iemand mijn website willen Hacken?

Om gevoelige informatie te stelen door bestanden te plaatsen op de server op je PC/ Laptop. Hackers kunnen malware installeren om zo je persoonlijke gegevens te stelen zoals creditcardgegevens of wachtwoorden;

Om controle over je website te krijgen en links te plaatsen naar de website van de hacker. Op deze manier krijt de hacker backlinks die de waarde van zijn website intensiveren. Als een website veel backlinks heeft wordt hij sneller, hoger gepositioneerd in Google;

De hacker wilt controle over je website om spam e-mails te versturen op grote schaal. Spam e-mails zijn lucratief voor de hacker aangezien ze vrijwel altijd verwijzen naar websites waarbij de hacker aangesloten is en een vergoeding krijgt voor een sale of click. De e-mails worden vanaf jouw server verstuurd en je website komt uiteindelijk op een Black list;

Om complete controle te krijgen over je website. In veel gevallen zie je je eigen website maar vanuit zoekmachines zoals Google wordt de bezoeker verwezen naar een andere website. Meestal zijn dat websites gebaseerd op gokken of sex/pornografische websites.

12 Tips om je WordPress website optimaal te beveiligen tegen hackers

1. Zorg dat je de laatste versie van WordPress installeerd/ update.
Hackers zoeken naar lekken in Wordpress, Wordpress geeft updates uit om bekende lekken te dichten.
Ben je niet up-to-date, dan loop je gevaar.

2. Houdt je Plugins up to date.
Voor plugins geld hetzelfde als voor Wordpress zelf, hier kunnen ook lekken in zitten. Ben je niet up-to-date, dan loop je gevaar.
Als je een Plugin download zorg dan dat je een Plugin kiest die getest is met de laatste versie van WordPress. Update z.s.m. als er een nieuwe versie uit is.
Als je een betaalde versie van een Plugin koopt op bv Themeforest moet je er voor zorgen dat de Plugin gemakkelijk te updaten is. Vaak is een betaalde Plugin lastiger te updaten. Heb je een Api nodig? Sla deze ergens op waar je er gemakkelijk bij kunt.
Zorg dat je reviews leest van Plugins!

3. Zorg dat je Database een prefix heeft.
Als je WordPress installeerd op de meest veilige manier of de gemakkelijke/ minder veilige manier dien je een database aan te maken. De Prefix zijn een aantal karakters vòòr de aangemaakte database en vind je in de wp-config.php.

Beschrijving: db prefix image

4. Beveilig je wp-config.php in .htacces.
Door  het volgende toe te voegen in je .htaccess bestand laat je niemand toe in het belangrijkste bestand van je WordPress installatie. Plaats het volgende in je .htacces file:

" order allow,deny deny from all "

Plaats deze voor of na de standaard WordPress code. Dat kun je zien door het # teken. Alles tussen de # kan WordPress overschrijven.

Beschrijving: beveiligen tegen hackers

5. Zorg je ervoor dat je alleen met je eigen ip-adressen in kunt loggen in de Backend van WordPress(niet altijd mogelijk/praktisch).

Let op: Dit werkt alleen als je gebruik maakt van vaste ip-adressen en deze beveiliging is alleen praktisch als je vanaf een vaste plaats aan je Wordpress werkt.
 
Plaats de volgend code in je .htacces bestand en upload deze naar je server (vervang het 111.111.111 door je eigen ipadressen):

" Order Deny,Allow Deny from all Allow from 111.111.111 "


Weet je je eigen ip-adres niet? Deze vind u in onze footer, hier laten wij jouw ip-adres zien. Plaats deze voor of na de standaard WordPress code. Dat kun je zien door het # teken. Alles tussen de # kan WordPress overschrijven.

Beschrijving: deny wp config

6. Gebruik nooit, maar dan ook nooit Admin als gebruikersnaam.
Ook niet iets wat er op lijkt als administrator of webmaster. Dit zijn de eerste gebruikersnamen waar mee geprobeerd wordt in te loggen door een hacker.

7. Gebruik een sterk wachtwoord zoals de volgende: T&h2Wsl!y%B7A.
Sterke wachtwoorden zijn essentieel tegen aanvallen van hackers. Dit doen ze vaak met Brute Force Attacks. Dit zijn aanvallen waarbij er op enorm grote schaal met heel veel wachtwoorden i.c.m. gebruikersnamen geprobeerd wordt om in te loggen. De kans dat dit succesvol verloopt met een sterk wachtwoord wordt geminimaliseerd.

8. Verberg de WordPress versie die je gebruikt.
De WordPress versie kan gebruikt worden om specifiek te zoeken naar een versie, zijn zwakke plekken en gericht aanvallen te doen. Open header.php en verwijder de volgende regel.

"<meta name="generator" content="WordPress " >"

9. Gebruik een WordPress Thema uit het Dashboard
Een nieuw Thema kun je vinden in Weergave >> Thema’s, nieuwe toevoegen. Je kunt ervan uit gaan dat dit Thema’s zijn die geen malware bevatten. Als je een WordPress Thema download van een website die gratis Premium WordPress Thema’s aanbiedt bestaat er een reële kans dat er malware in is geplaatst.

10. Gebruik WordPress Secret Keys.
Om nog een extra versleuteling te geven aan je inloggegevens maakt WordPress gebruik van Secret Keys. Je hoeft deze niet zelf te verzinnen. In de wp-config.php staat een link naar de Api. Ga naar: https://api.wordpress.org/secret-key/1.1/ en copy & paste de karakters in je wp-config.php. Dit ziet er als volgt uit. Vergeet niet de wp-config.php te uploaden naar de server.

Beschrijving: secret keys wordpress

11. Iets wat altijd vergeten wordt!
Aangezien WordPress officieel als Blogsysteem in de wereld is gekomen en een Blog een auteur heeft wordt er vaak bij je Blogberichten en op de auteurpagina je gebruikersnaam weergegeven. Zorg dat je een voornaam invult in Gebruikers >> Je profiel, en kies voor weergeven als schermnaam.

Beschrijving: beveiligen tegen hackers

12. Zorg dat je regelmatig een Backup maakt van je website.

Conclusie:

Om je website optimaal te beveiligen tegen hackers zijn er nog al wat beveiligingsmaatregelen nodig. Denk eraan dat je je website nog zo goed kan beveiligen maar je PC/ Laptop dient ook goed beveiligt te zijn. Zeker als je werkt met FTP om je website te uploaden naar de server.

Mocht je er zelf niet uitkomen of wil je dat een professional er naar kijk, neem dan contact met ons op.