WordPress is het meest gebruikte content management systeem (CMS) ter wereld. Tientallen miljoenen websites draaien op WordPress. Dat komt dat het veelzijdig en gebruiksvriendelijk is, maar het maakt het ook tot een geliefd doelwit van hackers.
Als je denkt dat jouw website niet interessant is voor hackers, dan heb je het mis. In principe is elke website namelijk een potentieel doelwit voor hackers. Het is dus belangrijk om je website hier tegen te beschermen. Hoe makkelijker een website te hacken is, hoe groter de kans is dat dit daadwerkelijk een keer gaat gebeuren. Gelukkig zijn er relatief eenvoudige manieren om ervoor te zorgen dat jouw website meteen een stuk minder aantrekkelijk wordt om te hacken!
In dit artikel geef ik je maar liefst 10 tips voor een veilige website.
1. Gebruik een sterk en uniek wachtwoord
Klinkt logisch, maar toch gaat het hier nog vaak mis. Bijvoorbeeld doordat het wachtwoord dat je voor al je online accounts gebruikt op straat komt te liggen bij een datalek. Zorg ervoor dat je een uniek wachtwoord hebt dat minimaal 12 tekens lang is en bestaat uit een combinatie van letters, cijfers en speciale tekens. Je kunt ook een wachtwoordmanager gebruiken om je wachtwoorden veilig op te slaan.
2. Gebruik een unieke gebruikersnaam voor elke gebruiker
De standaard gebruikersnaam voor de beheerder van een WordPress-website is “admin”. Hackers zullen daarom eerst met deze gebruikersnaam proberen binnen te komen. Het is dus belangrijk om deze direct te wijzigen in iets unieks. En kies dan alsjeblieft iets dat minder voor de hand ligt dan “info@” en dan je domeinnaam.
3. Update WordPress, thema’s en plugins regelmatig
Regelmatig zijn er updates beschikbaar voor zowel WordPress, het thema dat je gebruikt en de plugins die je hebt geïnstalleerd. Het is belangrijk om deze updates zo snel mogelijk te installeren om je website veilig te houden. Verouderde versies van WordPress, het thema en plugins worden minder goed of zelfs helemaal niet meer beveiligd!
4. Kies voor betrouwbare hosting
Veel mensen kiezen een hostingpartij uit op basis van de kosten. Mijn advies: nooit doen! Kies altijd voor een hostingpartij die je kunt vertrouwen op het gebied van snelheid, service én veiligheid.
Twee Nederlandse hostingpartijen die ik aanbeveel zijn Cloud86 en Surver. Laatstgenoemde beidt zelfs managed hostingpakketten met hack vrij garantie.
5. Maak regelmatig back-ups
Als je website dan toch wordt gehackt, dan wil je natuurlijk zo snel mogelijk je website weer in de lucht hebben. Daarom is het belangrijk om een recente back-up beschikbaar te hebben. Je kunt je back-ups handmatig maken via het controlepaneel van je hostingprovider, of een automatische back-upservice gebruiken.
6. Gebruik een SSL-certificaat
Een SSL-certificaat beveiligt de verbinding tussen je website en je bezoekers. Gegevens worden dan veilig verzonden van en naar de website. Tegenwoordig is zo’n SSL-verbinding de standaard, dus je loopt behoorlijk achter als je dit niet hebt op jouw website.
7. Beperk het aantal inlogpogingen
Hackers kunnen meerdere keren proberen in te loggen op je website om het wachtwoord te raden. Sterker nog: met een brute force-aanval zijn ze in staat om duizenden inlogpogingen per seconde (!) te doen, op zoek naar de juiste combinatie van gebruikersnaam en wachtwoord. Door het aantal maximale inlogpogingen te beperken tot bijvoorbeeld drie, sluit je een brute force-aanval uit.
Voor deze functie gebruik ik altijd de plugin Limit Login Attempts Reloaded.
8. Verander de URL waar je moet inloggen
Elke WordPress-website heeft als standaard inlog-URL *domeinnaam*/wp-admin. Dat is dan ook de eerste pagina die hackers intikken bij een hackpoging. Door de URL waar je moet inloggen te wijzigen, ben je ze hier een stap voor. Het kost dan namelijk moeite om de inlog-URL te vinden, waardoor de kans groot is dat hackers het een deurtje verder gaan proberen. Vergeet niet de nieuwe URL ergens te noteren, want anders kun je zelf niet meer inloggen. 😉
Om de standaard inlog-URL te wijzigen gebruik ik altijd de plugin WPS Hide Login.
9. Gebruik tweestapsverificatie
Tweestapsverificatie (2FA) voegt een extra laag beveiliging toe aan je WordPress-website. Met 2FA moet je naast je wachtwoord ook een code invoeren die je ontvangt via een sms, e-mail of in een speciale app.
10. Wees voorzichtig met plugins en thema’s
Een voordeel van WordPress is dat er megaveel plugins beschikbaar zijn. Voor elke uitdaging vind je wel een plugin. Het nadeel daarvan is, is dat je niet altijd kunt inschatten of een plugin betrouwbaar is. Lees daarom voordat je een plugin of thema installeert de beoordelingen. En ook hier geldt: bij twijfel niet doen!
Door je website met zorg te behandelen en deze up-to-date te houden Heb je nog vragen over de beveiliging van je WordPress-website? Ik help je graag verder! Neem gerust even contact met me op.