Het lanceren van uw eigen WordPress-site is tegenwoordig vrij eenvoudig. Helaas duurt het niet lang voordat hackers zich op uw site gaan richten.
De beste manier om een WordPress-site te beveiligen, is door elk kwetsbaar punt te begrijpen dat voortkomt uit het runnen van een WordPress-site. Installeer vervolgens de juiste beveiliging om hackers op elk van die punten te blokkeren.
In dit artikel leer je hoe je je domein, je WordPress-login en de tools en plug-ins die beschikbaar zijn om je WordPress-site te beveiligen, beter kunt beveiligen.
Maak een privédomein aan
Het is tegenwoordig maar al te gemakkelijk om een beschikbaar domein te vinden en het tegen een zeer goedkope prijs te kopen. De meeste mensen kopen nooit domein-add-ons voor hun domein. Een add-on die u echter altijd moet overwegen, is Privacybescherming.
Er zijn drie basisniveaus van privacybescherming bij GoDaddy, maar deze komen ook overeen met het aanbod van de meeste domeinproviders.
- Basis : verberg uw naam en contactgegevens in de WHOIS-directory. Dit is alleen beschikbaar als uw overheid u toestaat om contactgegevens van domeinen te verbergen.
- Volledig : vervang uw eigen informatie door een alternatief e-mailadres en contactgegevens om uw werkelijke identiteit te verhullen.
- Ultiem : extra beveiliging die kwaadwillende domeinscans blokkeert, inclusief websitebeveiligingsbewaking voor uw daadwerkelijke site.
Gewoonlijk hoeft u voor het upgraden van uw domein naar een van deze beveiligingsniveaus alleen maar te kiezen voor een upgrade in een vervolgkeuzemenu op uw domeinvermeldingspagina.
Basisdomeinbescherming is redelijk goedkoop (meestal rond de $ 9,99/jr), en hogere beveiligingsniveaus zijn niet veel duurder.
Dit is een uitstekende manier om te voorkomen dat spammers uw contactgegevens uit de WHOIS-database schrapen, of anderen met kwade bedoelingen die toegang tot uw contactgegevens willen krijgen.
Verberg wp-config.php en .htaccess-bestanden
Wanneer u WordPress voor het eerst installeert , moet u de beheerders-ID en het wachtwoord voor uw WordPress SQL-database opnemen in het bestand wp-config.php.
Die gegevens worden na installatie versleuteld, maar u wilt ook voorkomen dat hackers dit bestand kunnen bewerken en uw website kunnen kraken. Om dit te doen, zoekt en bewerkt u het .htaccess-bestand in de hoofdmap van uw site en voegt u de volgende code toe onderaan het bestand.
# bescherm wpconfig.php
bestelling toestaan, weigeren
ontkennen van iedereen
Om wijzigingen aan .htaccess zelf te voorkomen, voegt u ook het volgende onderaan het bestand toe.
# Bescherm .htaccess-bestand
bestelling toestaan, weigeren
ontkennen van iedereen
Sla het bestand op en sluit de bestandseditor af.
U kunt ook overwegen om met de rechtermuisknop op elk bestand te klikken en de machtigingen te wijzigen om de schrijftoegang voor iedereen volledig te verwijderen.
Hoewel dit op het bestand wp-config.php geen problemen zou moeten veroorzaken, zou dit op .htaccess problemen kunnen veroorzaken. Vooral als u WordPress-beveiligingsplug-ins gebruikt die mogelijk het .htaccess-bestand voor u moeten bewerken.
Als u toch fouten van WordPress ontvangt, kunt u altijd de machtigingen bijwerken om schrijftoegang tot het .htaccess-bestand weer toe te staan.
Wijzig uw WordPress-inlog-URL
Aangezien de standaard inlogpagina voor elke WordPress-site yourdomain/wp-admin.php is, zullen hackers deze URL gebruiken om te proberen je site te hacken.
Ze zullen dit doen door middel van wat bekend staat als "brute force"-aanvallen, waarbij ze variaties sturen van typische gebruikersnamen en wachtwoorden die veel mensen vaak gebruiken. Hackers hopen dat ze geluk hebben en de juiste combinatie binnenhalen.
U kunt deze aanvallen volledig stoppen door uw WordPress-inlog-URL te wijzigen in iets dat niet standaard is.
Er zijn veel WordPress-plug-ins om u hierbij te helpen. Een van de meest voorkomende is WPS Hide Login .
Deze plug-in voegt een sectie toe aan het tabblad Algemeen onder Instellingen in WordPress.
Daar kunt u elke gewenste inlog-URL typen en Wijzigingen opslaan selecteren om deze te activeren. Gebruik deze nieuwe URL de volgende keer dat u zich wilt aanmelden bij uw WordPress-site.
Als iemand toegang probeert te krijgen tot uw oude wp-admin-URL, worden ze omgeleid naar de 404-pagina van uw site.
Opmerking : als u een cache-plug-in gebruikt, zorg er dan voor dat u uw nieuwe aanmeldings-URL toevoegt aan de lijst met sites die niet in de cache moeten worden opgeslagen. Zorg er vervolgens voor dat u de cache leegt voordat u zich opnieuw aanmeldt bij uw WordPress-site.
Installeer een WordPress-beveiligingsplug-in
Er zijn veel WordPress-beveiligingsplug-ins om uit te kiezen. Van allemaal is Wordfence de meest gedownloade, en niet zonder reden.
De gratis versie van Wordfence bevat een krachtige scan-engine die op zoek gaat naar achterdeurbedreigingen, kwaadaardige code in uw plug-ins of op uw site, MySQL-injectiebedreigingen en meer. Het bevat ook een firewall om actieve bedreigingen zoals DDOS-aanvallen te blokkeren.
Hiermee kunt u ook brute force-aanvallen stoppen door inlogpogingen te beperken en gebruikers uit te sluiten die te veel onjuiste inlogpogingen doen.
Er zijn nogal wat instellingen beschikbaar in de gratis versie. Meer dan genoeg om kleine tot middelgrote websites tegen de meeste aanvallen te beschermen.
Er is ook een handige dashboardpagina die u kunt bekijken om recente bedreigingen en aanvallen die zijn geblokkeerd te volgen.
Gebruik de WordPress-wachtwoordgenerator en 2FA
Het laatste dat u wilt, is dat hackers uw wachtwoord gemakkelijk kunnen raden. Helaas gebruiken te veel mensen zeer eenvoudige wachtwoorden die gemakkelijk te raden zijn. Enkele voorbeelden zijn het gebruik van de websitenaam of de eigen naam van de gebruiker als onderdeel van het wachtwoord, of het niet gebruiken van speciale tekens.
Als je een upgrade naar de nieuwste versie van WordPress hebt uitgevoerd, heb je toegang tot krachtige wachtwoordbeveiligingstools om je WordPress-site te beveiligen.
De eerste stap om uw wachtwoordbeveiliging te verbeteren, is door naar elke gebruiker van uw site te gaan, naar beneden te scrollen naar het gedeelte Accountbeheer en de knop Wachtwoord genereren te selecteren.
Dit genereert een lang, zeer veilig wachtwoord dat letters, cijfers en speciale tekens bevat. Bewaar dit wachtwoord op een veilige plek, bij voorkeur in een document op een externe schijf die u kunt loskoppelen van uw computer terwijl u online bent.
Selecteer Log Out Everywhere Else om ervoor te zorgen dat alle actieve sessies worden gesloten.
Ten slotte, als u de Wordfence-beveiligingsplug-in hebt geïnstalleerd, ziet u een knop 2FA activeren . Selecteer dit om tweefactorauthenticatie in te schakelen voor uw gebruikersaanmeldingen.
Als u Wordfence niet gebruikt, moet u een van deze populaire 2FA-plug-ins installeren.
Andere belangrijke beveiligingsoverwegingen
Er zijn nog een paar dingen die u kunt doen om uw WordPress-site volledig te beveiligen.
Zowel de WordPress-plug-ins als de versie van WordPress zelf moeten te allen tijde worden bijgewerkt. Hackers proberen vaak misbruik te maken van kwetsbaarheden in oudere versies van code op uw site. Als u beide niet bijwerkt, loopt u gevaar voor uw site.
1. Selecteer regelmatig plug-ins en geïnstalleerde plug-ins in uw WordPress-beheerderspaneel. Controleer alle plug-ins op een status die aangeeft dat er een nieuwe versie beschikbaar is.
Als je er een ziet die verouderd is, selecteer je nu bijwerken . U kunt ook overwegen Automatische updates voor uw plug-ins inschakelen te selecteren.
Sommige mensen zijn echter huiverig om dit te doen, omdat updates van plug-ins soms uw site of thema kunnen beschadigen. Het is dus altijd een goed idee om plugin-updates op een lokale WordPress-testsite te testen voordat je ze op je live site inschakelt.
2. Wanneer u zich aanmeldt bij uw WordPress-dashboard, ziet u een melding dat WordPress verouderd is als u een oudere versie gebruikt.
Nogmaals, maak een back-up van de site en laad deze naar een lokale testsite op uw eigen pc om te testen of de WordPress-update uw site niet kapot maakt voordat u deze bijwerkt op uw live website.
3. Profiteer van de gratis beveiligingsfuncties van uw webhost. De meeste webhosts bieden verschillende gratis beveiligingsservices voor de sites die u daar host. Ze doen dit omdat het niet alleen uw site beschermt, maar ook de hele server veilig houdt. Dit is vooral belangrijk wanneer u een shared hosting-account gebruikt waar andere klanten websites op dezelfde server hebben.
Deze omvatten vaak gratis SSL- beveiligingsinstallaties voor uw site, gratis back-ups , de mogelijkheid om kwaadwillende IP-adressen te blokkeren en zelfs een gratis sitescanner die uw site regelmatig scant op schadelijke code of kwetsbaarheden.
Het runnen van een website is nooit zo eenvoudig als het installeren van WordPress en het plaatsen van inhoud. Het is belangrijk om je WordPress-website zo veilig mogelijk te maken. Alle bovenstaande tips kunnen u helpen dit zonder al te veel moeite te doen.