Alles Wat Je Moet Weten Over WordPress Beveiliging (+20 Verhardingstips)

Als je op zoek bent naar een hoogwaardig, alles-in-één contentmanagementsysteem om je website aan te drijven, zoek dan niet verder dan WordPress.

WordPress is een uitstekend, veilig platform vanuit de basis, maar er is zeker meer dat je kunt (en zou moeten!) doen om je site te beschermen tegen kwaadaardige bedoelingen. Veel van deze beveiligingsverbeteringen zijn eenvoudig te implementeren en kunnen handmatig in slechts enkele minuten worden uitgevoerd. Anderen vereisen simpelweg het installeren van een bepaalde plugin.

In dit artikel zal ik je door 20 verschillende strategieën leiden om de verdediging van je WordPress-fort te versterken. Maar laten we eerst wat dieper ingaan op waarom websitebeveiliging belangrijk voor je zou moeten zijn.

Waarom WordPress Beveiliging Zo Belangrijk Is

Kiezen voor WordPress als jouw platform is een uitstekende manier om te beginnen als je een site probeert te maken. Het is niet alleen een flexibel, krachtig platform voor het bouwen van websites — het is ook opmerkelijk veilig zoals het is.

Maar natuurlijk kan geen enkel platform 100% veilig zijn, en er zijn veel redenen om bezorgd te zijn over de veiligheid van je WordPress-site:

• Populariteit – WordPress stuurt een groot deel van alle websites op het internet aan, waardoor het een primair doelwit is voor cybercriminelen. Het wijdverspreide gebruik maakt het een aantrekkelijk platform om kwetsbaarheden te benutten en ongeautoriseerde toegang tot websites te krijgen.
• Kwetsbaarheden – Net als elke software is WordPress niet immuun voor kwetsbaarheden. Hackers zoeken voortdurend naar kwetsbaarheden in WordPress-thema’s, plugins en kernsoftware. Het uitbuiten van deze kwetsbaarheden kan leiden tot ongeautoriseerde toegang, datalekken, defacement of zelfs volledige controle over een website.
• Datalekken – WordPress-websites slaan vaak gevoelige gebruikersinformatie op, zoals e-mailadressen, wachtwoorden en persoonlijke gegevens. Een beveiligingslek kan deze vertrouwelijke gegevens blootstellen, wat kan leiden tot identiteitsdiefstal, financieel verlies of zelfs juridische gevolgen (ai!).
• SEO-impact – Een gecompromitteerde WordPress-site kan worden gebruikt voor kwaadaardige activiteiten, zoals het hosten van malware, het omleiden van bezoekers naar schadelijke websites of het versturen van spam-e-mails. Zoekmachines kunnen dergelijke websites markeren en bestraffen, wat leidt tot een aanzienlijke daling van de rangschikking en organisch verkeer zodra je weer controle over je site krijgt.
• Reputatie en vertrouwen – Als een WordPress-website gecompromitteerd en gebruikt wordt voor kwaadaardige doeleinden, kan dit de reputatie van de eigenaar van de site ernstig schaden en het vertrouwen van gebruikers eroderen. Denk bijvoorbeeld aan een e-commerce winkel. Als de winkel zich niet kan inzetten voor het veilig bewaren van persoonlijke gegevens van shoppers, zullen mensen daar gewoon niet winkelen (en wie kan hen dat kwalijk nemen?).
• Onderbreking en financieel verlies – Een gehackte site kan te maken krijgen met langdurige onderbrekingen terwijl de eigenaar van de website werkt aan het oplossen van de beveiligingsinbreuk. Deze onderbreking kan leiden tot verloren zakelijke kansen, verminderde inkomsten en extra kosten voor herstel en restauratie.

Gezien deze risico’s is het essentieel om te investeren in beveiligingsmaatregelen voor WordPress om je website en de gegevens van je gebruikers te beschermen. Idealiter zou je net zoveel tijd en moeite moeten besteden aan beveiliging als je hebt besteed aan het ontwerpen van je site in de eerste plaats (zo niet meer). Gelukkig voor jou, beste lezer, zijn er veel eenvoudige, snelle manieren om de beveiliging van je site te verbeteren, evenals enkele meer complexe technieken die je misschien wilt toepassen — en hieronder behandelen we ze allemaal.

Topbeveiligingskwetsbaarheden Van WordPress

Zoals het gezegde luidt, ken je vijand. Voordat we in onze beveiligingstips duiken, laten we meer te weten komen over de beveiligingskwetsbaarheden waar je jouw WordPress-site tegen moet beschermen.

• Verouderde software, thema’s en Plugins – Het gebruik van verouderde versies van WordPress, thema’s of Plugins kan je site kwetsbaar maken voor bekende beveiligingsfouten.
• Zwakke gebruikersnamen en wachtwoorden – Zwakke inloggegevens maken het makkelijker voor hackers om toegang te krijgen tot je site. Vermijd het gebruik van veelvoorkomende gebruikersnamen zoals “admin” en kies sterke, unieke wachtwoorden die een combinatie van letters, cijfers en symbolen bevatten.
• Brute force-aanvallen – Brute force-aanvallen houden herhaalde pogingen in om je inloggegevens te raden. Je kunt ze voorkomen door het aantal inlogpogingen te beperken en tweefactorauthenticatie te gebruiken (meer hierover later in dit artikel).
• Cross-site scripting (XSS) – XSS-kwetsbaarheden ontstaan wanneer kwaadaardige scripts worden geïnjecteerd in webpagina’s, waardoor de browsers of sessiegegevens van gebruikers mogelijk in gevaar komen. Veel beveiligingsplugins hebben functies om XSS te voorkomen.
• Malware-infecties – Malware kan op je site worden geïnjecteerd via kwetsbaarheden, geïnfecteerde thema’s of Plugins, of gecompromitteerde bestanden. Om malware te vermijden, installeer geen Plugins zonder eerst hun reputatie te controleren. En regelmatige malwarescans kunnen infecties opsporen voordat ze de kans krijgen om schade aan te richten op je site.
• Backdoors – Een backdoor is een verborgen toegangspunt op een website die ongeautoriseerde toegang mogelijk maakt, zelfs nadat beveiligingsmaatregelen zijn getroffen. Backdoors kunnen worden gecreëerd door kwaadaardige actoren of per ongeluk geïntroduceerd door gecompromitteerde thema’s, Plugins of zwakke beveiligingspraktijken. Zodra een backdoor is vastgesteld, kan het ongeautoriseerde toegang verlenen aan een aanvaller, die vervolgens de site kan manipuleren, gegevens kan stelen of andere kwaadaardige activiteiten kan uitvoeren zonder medeweten van de eigenaar van de website.

Het implementeren van beveiligingsplugins en andere beste praktijken kan je site beschermen tegen deze kwetsbaarheden. Dus zonder verder oponthoud, laten we overgaan tot waarvoor je hier bent: bruikbare WordPress-beveiligingstips en hoe deze in de praktijk te brengen.

20 WordPress Beveiligingstips

Hopelijk heb ik je overtuigd van het belang van het onderhouden van een beveiligde WordPress-website. Zo niet, dan moet ik me opnieuw inschrijven voor Overtuigend Schrijven 101. Laat me dat alsjeblieft niet doen.

Gedurende de rest van dit artikel zal ik 20 strategieën introduceren (samen met enkele van de beste WordPress-beveiligingsplugins) om jouw site veiliger te maken tegen enkele van de meest voorkomende en gevaarlijke beveiligingskwetsbaarheden. Je hoeft niet elke suggestie op deze lijst te implementeren (hoewel dat zeker kan!), maar hoe meer stappen je neemt om je site te beveiligen, hoe kleiner de kans dat je later een ramp tegenkomt.

1. Gebruik Een Kwaliteitshost

Je kunt je webhost zien als de straat van je website op het internet — het is de plek waar je site “woont”. En net zoals een goede schoolwijk belangrijk is voor de toekomst van je kind (zeggen ze; ik ben prima terechtgekomen), telt de kwaliteit van je thuisbasis van de website op veel belangrijke manieren.

Een solide hostingprovider kan invloed hebben op hoe goed je site presteert, hoe betrouwbaar het is, hoe groot het kan worden en zelfs hoe het scoort in zoekmachines. De beste hosts bieden een verscheidenheid aan nuttige functies, uitstekende ondersteuning en een dienst die is afgestemd op je gekozen platform.

Zoals je waarschijnlijk al geraden hebt, kan je webhost ook een aanzienlijke invloed hebben op de veiligheid van je site. Er zijn verschillende veiligheidsvoordelen aan het kiezen van de beste hostingbedrijven.

Hoe Web Hosting De Beveiliging Van WordPress Kan Verbeteren:

• Een kwalitatieve host zal voortdurend zijn dienst, software en tools updaten om te reageren op de nieuwste bedreigingen en potentiële beveiligingslekken te elimineren.
• Webhosts bieden vaak verschillende gerichte beveiligingsfuncties aan, zoals SSL/TLS-certificaten en DDoS-bescherming. Je zou ook toegang moeten krijgen tot een Web Application Firewall (WAF), die helpt bij het monitoren en blokkeren van ernstige bedreigingen voor je site.
• Je webhost zal hoogstwaarschijnlijk een manier bieden om je site te back-uppen (in sommige gevallen zelfs real-time back-ups voor je uitvoeren), dus als je gehackt wordt, kun je gemakkelijk terugkeren naar een stabiele, eerdere versie.
• Als je host betrouwbare, 24/7 ondersteuning biedt, heb je altijd iemand om je te helpen als je een beveiligingsgerelateerd probleem tegenkomt.

Deze lijst moet je een goed startpunt geven om mee te beginnen wanneer je zoekt naar een host voor je nieuwe site. Je wilt er een vinden die alle functies en mogelijkheden biedt die je nodig hebt, en daarnaast een reputatie heeft voor betrouwbaarheid en uitstekende prestaties.

DreamPress is een beheerde WordPress-hosting service die snel, betrouwbaar, schaalbaar en natuurlijk veilig is. DreamPress bevat een vooraf geïnstalleerd SSL/TLS-certificaat en biedt een speciale WAF ontworpen met regels om WordPress-sites te beschermen en hackpogingen te blokkeren. Met je hostingplan krijg je ook automatische back-ups, 24/7 ondersteuning van WordPress-experts, en Jetpack Premium — een plugin die veel extra beveiligingsfuncties aan je site kan toevoegen — zonder extra kosten.

Met DreamPress kun je gerust zijn, wetende dat je site beschermd is. Onze hostingdienst zorgt zelfs voor veel van de andere beveiligingsverhogende stappen op deze lijst — hoewel we je nog steeds aanmoedigen om verder te lezen en te leren welke extra maatregelen je kunt nemen om je site te beschermen.

2. Registreer Je Domein Privé

Om een domein te registreren, wordt je gevraagd je naam, adres en telefoonnummer op te geven. Deze informatie wordt gebruikt om eigendom van domeinnamen te traceren en kan online worden gevonden met een snelle zoekopdracht in de WHOIS-directory.

Hoewel het bijhouden van deze informatie van vitaal belang is voor de gezondheid van het internet, is het begrijpelijk dat je niet wilt dat je persoonlijke informatie online staat. Dit is waar Privéregistratie in het verhaal komt. Wanneer je een domein registreert bij DreamHost (of een ander veilig hostingplatform, denk ik), heb je de mogelijkheid om je persoonlijke informatie te vervangen door de relevante gegevens van het hostingplatform — dus als je jouw domein op WHOIS opzoekt, worden het adres en de contactinformatie van DreamHost getoond in plaats van die van jou. Je kunt zelfs deze beveiligingsfunctie inschakelen nadat je domein al is geregistreerd!

3. Wijzig Je Beheerdersgebruikersnaam

Wanneer je voor het eerst je website creëert, helemaal nieuw en glanzend, krijg je een gebruikersprofiel. Je kunt op elk moment teruggaan en je bijnaam wijzigen of je volledige naam invullen, maar om je gebruikersnaam te wijzigen is een ander verhaal – je moet een geheel nieuwe gebruiker aanmaken en die account de beheerdersrol geven. Het nadeel? Je moet een ander e-mailadres gebruiken dan dat van je huidige account.

Je kunt vervolgens je gebruikersnaam wijzigen door een nieuwe gebruiker aan te maken, deze de administrator rol te geven, al je inhoud eraan toe te wijzen en je oorspronkelijke account te verwijderen. Wanneer je vorige gebruikersnaam is verwijderd, kun je het e-mailadres van je nieuwe account wijzigen als je dat wilt.

4. Schakel Een Webtoepassing Firewall In

Je bent waarschijnlijk bekend met het concept van een firewall — een programma dat helpt om allerlei ongewenste aanvallen op je site te blokkeren. Waarschijnlijk heb je een soort firewall op je computer. Een Web Application Firewall (WAF) is simpelweg een firewall die specifiek voor websites is ontworpen. Het kan servers, specifieke websites of hele groepen sites beschermen.

Een WAF op je WordPress-site fungeert als een barrière tussen jouw website en de rest van het web. Een firewall controleert inkomende activiteit, detecteert aanvallen, malware en andere ongewenste gebeurtenissen, en blokkeert alles wat het als een risico beschouwt voor toegang tot je webserver. #winning

Je hebt veel opties om een WAF aan je site toe te voegen (WordFence is een populaire keuze). Maar als je voor ons DreamPress-pakket hebt gekozen, kun je ontspannen; je hebt geen extra firewall nodig. DreamPress bevat een ingebouwde WAF die je site zal monitoren op bedreigingen en kwaadaardige gebruikers en programma’s zal blokkeren om toegang te krijgen. Geen actie vereist van jouw kant.

DreamHost biedt ook DreamShield, onze interne Malware scanningsdienst. Wanneer je DreamShield activeert op je hostingaccount, scannen we je site dagelijks op kwaadaardige code. Als we iets verdachts vinden, word je direct via e-mail op de hoogte gesteld.

5. Implementeer Tweefactorauthenticatie

Tweefactorauthenticatie (die ook bekend staat als tweestapsverificatie en een verscheidenheid aan andere, vergelijkbare namen) verwijst naar een tweestapsproces dat je moet volgen bij het inloggen op je site. Dit kost een beetje meer tijd en moeite, maar helpt enorm om hackers buiten te houden.

Tweefactorauthenticatie houdt in dat je een smartphone of ander apparaat gebruikt om je aanmelding te verifiëren. Eerst bezoek je je WordPress-site en voer je zoals gewoonlijk je gebruikersnaam en wachtwoord in. Vervolgens wordt er een unieke code naar je mobiele apparaat gestuurd, die je moet opgeven om het inloggen te voltooien. Dit stelt je in staat om je identiteit te bewijzen door aan te tonen dat je toegang hebt tot iets dat alleen van jou is — zoals een bepaalde telefoon of tablet.

Zoals met veel WordPress functies, is tweefactorauthenticatie makkelijk toe te voegen met een specifieke plugin. De Two Factor Authentication plugin is een solide keuze — het is gecreëerd door betrouwbare ontwikkelaars, compatibel met Google Authenticator, en stelt je in staat om tweefactorfunctionaliteit aan je site toe te voegen zonder gedoe.

Een andere optie is de Two-Factor plugin, die voornamelijk is ontwikkeld door kernontwikkelaars van WordPress en bekend staat om zijn betrouwbaarheid. Net als elke plugin in deze categorie, komt het met een beetje een leercurve, maar het zal het werk doen en is ongelooflijk veilig. Als je bereid bent om wat geld uit te geven, kun je ook Jetpack’s Clef-achtige premium oplossing bekijken.

Welke route je ook kiest, zorg ervoor dat je vooruit plant met je team, want je moet telefoonnummers en andere informatie verzamelen voor alle gebruikersaccounts. Daarmee is je inlogpagina nu beveiligd en klaar voor gebruik.

6. Wees Voorzichtig Bij Het Toevoegen Van Nieuwe Plugins En Thema’s

Een van de beste dingen aan WordPress is de directe beschikbaarheid van plugins en thema’s voor vrijwel elke behoefte. Met deze handige hulpmiddelen kun je je site er precies goed uit laten zien en bijna elke functie of functionaliteit toevoegen die je maar kunt bedenken.

Niet alle plugins en thema’s zijn echter gelijk gemaakt.

Ontwikkelaars die niet voorzichtig zijn of niet het juiste ervaringsniveau hebben, kunnen plugins creëren die onbetrouwbaar of onveilig zijn — of gewoon ronduit slecht. Ze kunnen slechte programmeerpraktijken gebruiken die gaten achterlaten die hackers gemakkelijk kunnen uitbuiten of onbewust interfereren met cruciale functionaliteit.

Dit betekent dat je heel voorzichtig moet zijn met de thema’s en plugins die je aan je site toevoegt. Elk moet worden gecontroleerd om ervoor te zorgen dat het een solide optie is die je site niet schaadt of problemen veroorzaakt. Hier is hoe je kwaliteitstools selecteert:

• Lees recensies – Bekijk gebruikersbeoordelingen en recensies om te leren of anderen een goede ervaring hebben gehad met de plugin of het thema.
• Ondersteuning van de ontwikkelaar – Kijk naar hoe recent de plugin of het thema is bijgewerkt. Als het langer dan zes maanden geleden is, is de kans groot dat het niet zo veilig is als het zou kunnen zijn.
• Rustig aan doen – Installeer nieuwe plugins en thema’s één voor één, zodat als er iets fout gaat, je weet wat de oorzaak was. Vergeet ook niet je site te back-uppen voordat je iets toevoegt.
• Gecontroleerde bronnen – Haal je plugins en thema’s van betrouwbare bronnen, zoals de WordPress.org Theme and Plugin Directories, ThemeForest en CodeCanyon, en betrouwbare ontwikkelaarswebsites.

7. Werk WordPress Regelmatig Bij

Het bijwerken van WordPress is een van de belangrijkste dingen die je kunt doen om je site te beveiligen. Kleinere patches en beveiligingsupdates worden automatisch toegepast, maar je moet mogelijk belangrijke updates zelf goedkeuren (maak je geen zorgen, dit is heel eenvoudig). Het is waarschijnlijk overbodig om te zeggen, maar DreamHost regelt deze updates voor je, dus je hoeft je geen zorgen te maken.

Maar je werk is nog niet klaar alleen omdat WordPress is bijgewerkt.

Je moet ook regelmatig je plugins, thema’s en andere WordPress-installaties updaten om ervoor te zorgen dat ze goed samenwerken en beveiligd zijn tegen de nieuwste bedreigingen. Gelukkig is dit ook vrij eenvoudig — ga gewoon naar je WordPress-dashboard, zoek naar de rode meldingen die je vertellen dat er thema’s of plugins zijn met beschikbare updates, en klik op “Update nu” naast elk van hen.

Je kunt je plugins ook in een batch bijwerken door ze allemaal te selecteren en vervolgens op de update-knop te drukken, hier of in het WordPress panel.

8. Configureer Bestandsrechten

Laten we het even over technische zaken hebben.

Veel van de informatie, gegevens en inhoud op je WordPress-site worden opgeslagen in een reeks mappen en bestanden op de backend. Deze zijn georganiseerd in een hiërarchische structuur, en aan elk wordt een permissieniveau toegekend. De permissies op een WordPress-bestand of -map bepalen wie het kan bekijken en bewerken. Ze kunnen worden ingesteld om toegang te verlenen aan iedereen, alleen aan jou, of bijna alles daartussenin.

Bestandsrechten worden in WordPress weergegeven door een driecijferig nummer, en elk cijfer heeft een betekenis. Het eerste cijfer staat voor een individuele gebruiker (de eigenaar van de site), het tweede cijfer voor de groep (bijvoorbeeld leden van je site), en het derde voor iedereen ter wereld. Het nummer zelf betekent dat de gebruiker, groep, of wereld:

• 0: Heeft geen toegang tot het bestand.
• 1: Kan het bestand alleen uitvoeren.
• 2: Kan het bestand bewerken.
• 3: Kan het bestand bewerken en uitvoeren.
• 4: Kan het bestand lezen.
• 5: Kan het bestand lezen en uitvoeren.
• 6: Kan het bestand lezen en bewerken.
• 7: Kan het bestand lezen, bewerken en uitvoeren.

Dus, bijvoorbeeld, als een bestand een permissieniveau van 640 krijgt, betekent dit dat de primaire gebruiker het bestand kan lezen en bewerken, de groep het bestand kan lezen maar niet bewerken, en de rest van de wereld er helemaal geen toegang toe heeft. Het is belangrijk om te zorgen dat iedereen alleen het toegangsniveau tot de bestanden en mappen van je site heeft dat je wilt dat ze hebben.

WordPress raadt aan om mappen in te stellen op een machtigingsniveau van 755 en bestanden op 644. Je bent vrij veilig als je deze richtlijnen volgt, hoewel je elke combinatie kunt instellen die je wilt. Onthoud gewoon dat het het beste is om niemand meer toegang te geven dan absoluut noodzakelijk is, vooral tot kernbestanden.

Je moet er ook rekening mee houden dat je ideale machtigingsinstellingen enigszins afhankelijk zijn van je hostingdienst, dus je wilt misschien uitzoeken wat jouw host aanbeveelt.

Opmerking: Wees erg voorzichtig bij het aanpassen van je permissieniveaus — het kiezen van verkeerde waarden (zoals de gevreesde 777) kan je site ontoegankelijk maken.

En nu we het hier toch over hebben, het is belangrijk om op te merken dat WordPress een ingebouwde code-editor bevat die gebruikers in staat stelt om thema- en pluginbestanden rechtstreeks vanuit het Admin-gebied te bewerken. Dit is handig wanneer je het nodig hebt, maar een groot beveiligingsrisico als je site in verkeerde handen valt. Daarom zou je het bewerken van bestanden moeten uitschakelen met een plugin zoals Sucuri.

9. Houd Het Aantal WordPress Gebruikers Tot Een Minimum

Als je jouw WordPress-site alleen beheert, hoef je je geen zorgen te maken over deze stap. Geef gewoon niemand anders een account op je site, en je zult de enige persoon zijn die wijzigingen kan aanbrengen.

Er zijn echter veel redenen om een ander gebruikersaccount aan je site toe te voegen: Je wilt misschien dat andere auteurs inhoud bijdragen, of je hebt misschien mensen nodig om inhoud te bewerken en je site te beheren. Je kunt zelfs een heel team van gebruikers hebben die regelmatig toegang hebben tot je WordPress-site en hun eigen wijzigingen aanbrengen.

Dit kan voordelig (of zelfs noodzakelijk) zijn. Het vormt echter ook een potentieel veiligheidsrisico.

Hoe meer mensen je toegang geeft tot je site, hoe groter de kans dat iemand een fout maakt, problemen veroorzaakt, of gewoon lastig is. Daarom moet je het aantal gebruikers van je site zo laag mogelijk houden zonder de groeimogelijkheden te belemmeren. Probeer vooral het aantal beheerders en andere gebruikersrollen met hoge bevoegdheden te beperken.

Hier zijn een paar andere beste praktijken:

• Beperk elke gebruiker tot alleen de toestemmingen die nodig zijn om hun werk te doen.
• Stimuleer gebruikers om sterke wachtwoorden te gebruiken.
• Probeer bij één beheerder en een kleine groep redacteuren te blijven.
• Verwijder gebruikers die de site hebben verlaten of geen toegang meer nodig hebben.
• Log regelmatig inactieve gebruikers uit (de Inactive Logout plugin is hier geweldig voor!).
• Overweeg het downloaden van een plugin zoals Members, die een gebruikersinterface biedt voor het systeem van rollen en capaciteiten van WordPress.

10. Limiteer Inlogpogingen

Iedereen vergeet wel eens zijn wachtwoord. Maar goed nieuws! Standaard staat WordPress een onbeperkt aantal pogingen toe.

Maar is dat echt goed nieuws? Brute-force-aanvallen, of aanvallen waarbij een hacker elk mogelijk aantal wachtwoorden probeert, zijn een van de meest voorkomende manieren waarop hackers toegang krijgen tot privé-accounts. Zonder limiet op inlogpogingen, kan een hacker of bot elk wachtwoord uit het boek proberen zonder gevolgen.

Controleer eerst je Web Access Firewall (WAF) om het aantal inlogpogingen dat een gebruiker kan maken te beperken. Als je firewall al is ingesteld, zal er al een limiet zijn, maar je kunt ook een aparte plugin hiervoor gebruiken! Zowel Login Lockdown als Cerber Limit Login Attempts registreren het IP-adres en de tijdstempel voor elke mislukte inlogpoging, laten je het aantal toegestane mislukte pogingen binnen een bepaalde tijdspanne beperken, en blokkeren IP-adressen die de limiet overschrijden. Beide plugins zijn gratis, maar Login Lockdown is eenvoudiger en gebruiksvriendelijker voor beginners. Als je een robuuster systeem nodig hebt, is Cerber Limit Login Attempts de weg te gaan, waarbij niet alleen IP white/blacklisting mogelijk is, maar ook het melden van admins als een bepaald aantal blokkeringen wordt bereikt.

11. Volg Je Admin-gebied Activiteit

Als je meerdere gebruikers hebt, is het een goed idee om bij te houden wat ze allemaal doen op de site. Activiteit volgen in je WordPress admin gebied helpt je te zien wanneer andere gebruikers dingen doen die ze niet zouden moeten doen — en kan je helpen te herkennen wanneer onbevoegde gebruikers toegang hebben gekregen.

Maar je hebt ook een hulpmiddel nodig om te zien wie er achter verschillende site-activiteiten zit — zoals wanneer iemand een ongeautoriseerde wijziging maakt of een verdachte nieuwe installatie uitvoert. Daarvoor heb je nog een plugin nodig. Simple History doet zijn naam eer aan door een gestroomlijnd, makkelijk te begrijpen logboek van wijzigingen en gebeurtenissen op je site te creëren.

Voor meer uitgebreide trackingfuncties, bekijk WP Security Audit Log, die vrijwel alles wat er op je site gebeurt volgt en biedt premium add-ons aan.

12. Beveilig Je Inlogpagina Met Een Wachtwoord

De inlogpagina is de meest waarschijnlijke manier voor hackers om toegang te krijgen tot je website, dus het beschermen ervan is een geweldige manier om de rest van je site te beschermen. Dit kan wat technisch zijn, maar het is nog steeds de moeite waard om te leren. Gebruik deze tutorial om te leren hoe je een htaccess-bestand kunt maken en een wachtwoordprompt aan je inlogpagina kunt toevoegen. Een login voor je login — wat zullen ze hierna bedenken?

En als je inhoud host die niet iedereen hoeft te zien, kun je andere delen van je site met een wachtwoord beveiligen. Voor blogberichten en andere pagina’s kun je wachtwoordbeveiliging toevoegen door naar pagina’s >> alle berichten te gaan. Klik op “bewerken,” en je ziet de optie om de zichtbaarheid te wijzigen naar “Wachtwoord Beveiligd”. Publiceer gewoon, en badabing-badaboom, die pagina is veilig afgesloten!

13. Verberg Je Loginpagina

Het toevoegen van wachtwoordbeveiliging aan je inlogpagina is prima, maar nog beter is het als hackers deze niet eens kunnen vinden. Het wijzigen van je wp-admin en wp-login pagina’s is eenvoudig en helpt hackers af te schrikken die je inlogpagina gemakkelijk kunnen vinden als je de standaardinstellingen niet wijzigt.

Er zijn verschillende plugins die de standaard inlogpagina kunnen omleiden naar een andere pagina naar jouw keuze. Veel plugins bieden dit aan als onderdeel van een groter pakket (bijvoorbeeld Defender bevat ook een Malware scanner en firewall). Maar als je op zoek bent naar iets eenvoudigs, probeer dan WPS Hide Login, die gewoon je inlog verbergt. Vergeet alleen niet om je nieuwe inlogpagina te bookmarken zodat je deze kunt vinden.

14. PHP Bijwerken

Net zoals Amerika draait op Dunkin’ (citeer ons hier niet), draait WordPress op PHP. Het updaten van WordPress is niet voldoende om je site veilig en beveiligd te houden — je moet er ook voor zorgen dat je de nieuwste versie van PHP gebruikt.

Normaal gesproken wordt elke PHP-versie ten minste twee jaar ondersteund na de releasedatum, wat betekent dat kwetsbaarheden worden aangepakt door de ingenieurs die de code hebben ontworpen. Wanneer de code verouderd raakt (of zijn EOL of “einde van de levensduur” bereikt), is het tijd om te upgraden, of je loopt het risico blootgesteld te worden aan beveiligingsproblemen, prestatieverminderingen en tal van bugs.

Om te zien welke versie van PHP je momenteel gebruikt, log in op je WordPress-site en selecteer Gereedschappen >> Sitegezondheid. Navigeer naar Info en vervolgens naar Server, en bekijk je huidige PHP-versie.

15. Beveilig Je WordPress-Databank

Het gebruiken van standaardinstellingen is een voordeel voor hackers, en standaard gebruikt WordPress wp_ als voorvoegsel voor alle gerelateerde tabellen. Goed nieuws! Als je de One-Click Installer gebruikt, heb je al een voorvoegsel van willekeurige letters en cijfers. Zolang het eindigt met een onderstrepingsteken, is het systeem tevreden. Nog Beter Nieuws! Zelfs als je WordPress al geïnstalleerd is, kan het in aanmerking komen voor de One-Click Installer zolang de site volledig gehost is en aan een paar andere richtlijnen voldoet.

Let op dat het breken van iets net zo makkelijk kan zijn als het missen van een underscore. Gelukkig is er een standaardversie van het wp-config.php bestand beschikbaar op WordPress Core, zodat je snel en gemakkelijk kunt herbouwen — of je nu handmatig de databaseprefix hebt geprobeerd te wijzigen, of met een dienst zoals phpMyAdmin.

16. Voeg Beveiligingsvragen Toe

Veiligheidsvragen worden vaak over het hoofd gezien, maar ze geven extra kracht aan je beveiliging. Afhankelijk van de plugin die je kiest, kun je kiezen uit bestaande veiligheidsvragen of je eigen vragen maken.

17. Verberg Je WordPress Versie

Beveiliging door Obscuriteit — als ze het niet kunnen vinden, kunnen ze het niet hacken!

Verberg welke versie van WordPress je gebruikt (of verberg dat je WordPress überhaupt gebruikt) door de code in de header aan te passen. Als dat te technisch klinkt, gebruik dan een plugin zoals WPCode. Zorg ervoor dat je de code aanpast en niet alleen de weergave-informatie in je thema-instellingen bewerkt — die stukjes code zullen alleen terugkeren bij de volgende thema-update.

18. Voorkom Hotlinking

Hotlinking is het stelen van bandbreedte door bestanden die op één website gehost zijn te gebruiken en te linken naar een andere site. Stel je voor dat iemand een slimme strip tekent, en een andere website wil deze tonen zonder toestemming. Ze zouden de strip kunnen hotlinken in plaats van het op hun eigen servers te hosten, wat de originele website meer bandbreedte kost, en dus meer geld.

Om hotlinking te voorkomen, kun je ervoor kiezen om bepaalde domeinen te weigeren, alleen bepaalde domeinen toe te staan, of de mogelijkheid tot hotlinken volledig te verwijderen, allemaal door een paar wijzigingen aan te brengen in je htaccess-bestand. Je kunt zelfs een fragment in je .htaccess-bestand opnemen dat alle pogingen tot hotlinken doorstuurt naar een pagina of afbeelding naar keuze — misschien een die zegt: “Stop met hotlinken, profiteur!”

19. DDoS Bescherming (Schakel XML RPC Uit)

Een Distributed Denial of Service-aanval (of DDoS) is wanneer een hacker meerdere systemen gebruikt om een enorme hoeveelheid gegevens te verzenden en hun doelwit te overweldigen. Dit kan hun doel vertragen en laten crashen — stel je een enorme verkeersopstopping voor op je website waar geen legitiem verkeer door kan.

We weten dat geduld online moeilijk te vinden is, met de gemiddelde gebruiker die slechts 3 seconden wacht tot een pagina is geladen voordat hij wegklikt, dus hoe sneller je een aanval op je website kunt identificeren en oplossen, hoe beter.

Het voorkomen van een DDoS-aanval kan ontmoedigend lijken, maar een van de eerste stappen die je kunt nemen, is het verwijderen of uitschakelen van oude of ongebruikte plugins. Plugins zijn ontzettend handig, maar door het verhogen van de functionaliteit hebben ze ook toegang tot je website die geëxploiteerd kan worden. Voor de verandering is het downloaden van meer plugins niet de oplossing!

XML-RPC stelt WordPress in staat om toegang te krijgen via de app op je mobiele apparaat. Als je je smartphone niet gebruikt om wijzigingen aan te brengen op je WordPress-website, heb je deze functie waarschijnlijk niet nodig. Het uitschakelen ervan omvat het toevoegen van een snel stukje code aan je htaccess-bestand, en je zult er veiliger door zijn.

20. Malware Scanning

Malware (afkorting voor kwaadaardige software) verbergt zich in wat veilige applicaties lijken te zijn, zodat de gebruiker niet weet dat hun computer of website geïnfecteerd is.

Malwarescannen is een belangrijke verdediging die werkt door gebruik te maken van anti-malware software om verdachte bestanden te identificeren en te isoleren totdat je beslist of ze verwijderd moeten worden. Als een dreiging wordt gedetecteerd, zal een goede malwarescanner alle sporen ervan onmiddellijk van je computer verwijderen. Gelukkig hebben verschillende firewall plugins ingebouwde malwarescanning, dus zorg ervoor dat je je beveiligingsplugins controleert op wat ze bieden.

Als je DreamHost als je hostingplatform hebt, kun je DreamShield activeren om dagelijks de malware-scans voor je te beheren.

WordPress Beveiliging: Het Afsluiten

Als je website gehackt is, zul je uren (misschien zelfs dagen) besteden aan het herstellen van de schade. Je kunt permanent gegevens verliezen of zien dat je persoonlijke informatie in gevaar komt — of erger: de gegevens van je klanten.

Daarom moet je voldoende tijd en energie steken in het beveiligen van je site. Anders loop je gewoon het risico waardevolle zaken en kostbare tijd te verliezen.

Deze WordPress-beveiligingstips moeten helpen. Sommige zijn eenvoudige aanpassingen, terwijl andere je hele site beïnvloeden. Maar als je op zoek bent naar één impactvolle verandering die je vandaag kunt maken om je site veilig te houden, zorg er dan voor dat deze draait op een beveiligde WordPress-host.

DreamPress hosting (met gratis WordPress-migratie) is speciaal ontworpen voor de WordPress-omgeving. Bovendien, als je ooit een beveiligingsprobleem tegenkomt, hebben we je gedekt met automatische dagelijkse back-ups, een dagelijkse malware-scan, en ons ondersteuningsteam van WordPress-experts! Klaar om je site te beschermen tegen bedreigingen en kwetsbaarheden? Leer meer over DreamPress hosting vandaag.