Het populaire WordPress contentmanagementsysteem is nu zeer wijdverbreid. In dit artikel geven we u enkele tips om uw WordPress-installatie te beveiligen.
Door de hoge verspreiding van wordpress is het helaas ook een populair doelwit voor hackers en er zijn helaas ook geautomatiseerde aanvallen op WordPress-installaties waarbij wordt gecontroleerd of er bekende beveiligingsgaten in zitten.
Het is daarom erg belangrijk dat u uw WordPress altijd up-to-date houdt. Voor het professionele gebruik is het ook redelijk om een bureau in te huren om de WordPress up-to-date te houden en een webhoster te kiezen die ook een firewall gebruikt om het systeem te beschermen tegen bekende aanvallen.
We hebben de belangrijkste punten op een rijtje gezet hoe u uw WordPress-installatie kunt beschermen.
[tie_list type="checklist"]- WordPress altijd up-to-date houden
WordPress is niet alleen een software voor blogs, maar kan ook worden uitgerust met verschillende functies via zogenaamde plug-ins, d.w.z. extensies. Veel gebruikers gebruiken speciale plugins en ontwerpen (thema's) voor individuele websites. Het grootste probleem van de aanvallen is het gebrek aan actualisering van de installaties.
Tip: Kies voor de WordPress-installatie een webhost met een administratie-interface die u helpt bij het updaten van WordPress en plugins. Onze aanbeveling is het gebruik van Plesk als management software.
Activeer de automatische update van WordPress.
De software wordt dan altijd up-to-date gehouden. Dit is ook mogelijk voor veel Plusins.
Het is raadzaam om regelmatig in te loggen op de administratie-interface van wordpress en de huidige status van de software te controleren. WordPress laat direct zien of er updates beschikbaar zijn.
Problematischer zijn de thema's, d.w.z. afgewerkte ontwerpen die meestal betaalde plus-ins bevatten. Deze thema's worden meestal niet automatisch geïnstalleerd, maar moeten handmatig worden bijgewerkt. Om dit te doen, moet u de huidige versie van het thema downloaden van de fabrikant en kopiëren naar de themamap. Na de update hoeven er meestal maar een paar instellingen in de Thema-administratie te worden gemaakt.
[tie_list type="checklist"]- Gebruik gecodeerde verbindingen.
De WordPress-logingegevens zijn zeer gewild en kunnen gemakkelijk worden uitgespioneerd in een onveilig netwerk, bijvoorbeeld als u inlogt op een open WLan in een restaurant of hotel.
Gebruik daarom altijd een certificaat voor een homepage. Het is het beste om een webhost te kiezen die een certificaat voor u kan opstellen. Dit kost slechts enkele euro's per jaar voor een professionele bescherming van uw installatie.
Zorg er altijd voor dat u gecodeerde toegang heeft tot uw WordPress-installatie via https://, evenals het veilig ophalen van e-mail en, indien nodig, een beveiligde FTP-login. Als u eenmaal een onversleutelde verbinding hebt gebruikt, raden wij u aan alle wachtwoorden onmiddellijk te wijzigen.
[tie_list type="checklist"]- Sla het wp-login.php bestand op
Er is ook een mogelijkheid om de wp-admin directory te hernoemen, maar dit kan leiden tot problemen met de WordPress functionaliteit. De gemakkelijke manier om te beschermen tegen de meeste brute aanvallen waarbij wachtwoorden eenvoudigweg worden geraden, is het opnemen van een code in het .htaccess-bestand. Dit kan goed gecombineerd worden met wachtwoordbeveiliging.
[tie_list type="checklist"]- Beveilig uw administratiemap met een wachtwoord.
Bovendien moet u deze map beveiligen met een wachtwoord. Uw provider biedt de mogelijkheid om voor bepaalde mappen een mapbeveiliging in te stellen. Bescherm uw administratiemap met een gecompliceerde gebruikersnaam en wachtwoord die ten minste 12 tekens lang zijn en speciale tekens bevatten. Kies nooit wachtwoorden die slechts 8 tekens lang zijn. Deze worden nu over het algemeen als onveilig beschouwd en kunnen meestal snel worden gekraakt, omdat ze afhankelijk van het type versleuteling zijn voorgecalculeerd.
Na de wachtwoordbeveiliging opent u het .htaccess-bestand en voert u de volgende code hierboven in
Foutdocument 401 "Vergrendeld".
Foutdocument 403 "Vergrendeld".
# Maakt het mogelijk dat plugins toegang hebben tot admin-ajax.php ondanks de wachtwoordbeveiliging.
Orde toestaan,ontkennen
Laat van alle
Voldoen aan een
Dit zorgt ervoor dat de WordPress-plugins de bestanden nog steeds kunnen oproepen.
[tie_list type="checklist"]- Gebruik plugins en thema's die zo veel mogelijk worden gebruikt
Plugins zijn meestal verantwoordelijk voor de beveiligingslekken in uw WordPress. De plugins en thema's zijn kleine softwarepakketten die door derden worden geleverd. In principe is het idee goed, maar er zijn nu veel dubieuze aanbieders en ook aanbieders die simpelweg geen kennis hebben en dus software maken die veiligheidslekken bevat. Daartegen is praktisch geen bescherming voor de leek. We raden daarom aan om alleen plugins te gebruiken die zeer vaak zijn geïnstalleerd en een goede beoordeling hebben.
Gebruik geen gratis thema's die u kunt downloaden van een website. Koop een thema bijvoorbeeld bij Themeforest of Templatemonster van een zogenaamde elite-aanbieder, d.w.z. professionele programmeerteams die een hoge omzet hebben gegenereerd.
Let ook op de datum van de laatste installatie. Aanbieders die hun plugins en thema's niet updaten of de ontwikkeling al hebben stopgezet, worden niet aanbevolen.
[tie_list type="checklist"]- Verwijder ongebruikte thema's en plugins
Als uw website klaar is en u wilt beginnen, raden wij u altijd aan om alle ongebruikte plugins en thema's te verwijderen. Dit geldt ook voor de eigen thema's van WordPress die niet gemakkelijk te verwijderen zijn. Mogelijke aanvallers verbergen graag hun bestanden in deze standaardmappen, dus het is raadzaam om ongebruikte bestanden volledig te verwijderen. U kunt dit doen via de administratie-interface en indien nodig ook via FTP. Verwijder gewoon de mappen uit de themamap die u niet gebruikt.
[tie_list type="checklist"]Gebruik een applicatie-firewall
[/tie_list]Indien mogelijk moet u een applicatie-firewall gebruiken. Dit is een software die elke verbinding controleert en vele mogelijkheden biedt om potentiële aanvallen te voorkomen.
Bij veel providers zijn er gratis opties zoals fail2ban (aanbevolen), mod_veiligheid WAF om bekende aanvallen of dubieuze bekende IP-adressen te blokkeren. Bij shared hosting omgevingen, d.w.z. kleine hosting accounts, is dit meestal niet mogelijk omdat er te veel speciale kenmerken zijn die niet globaal kunnen worden ingesteld. Voor professioneel gebruik raden wij in ieder geval aan om een managed V-server te gebruiken, dus een aparte omgeving alleen voor uw website.
Bij sommige premium aanbieders kunt u ook gebruik maken van een externe firewall oplossing voor uw website. In dit geval zijn systemen van bijvoorbeeld Barracuda, Sonicwall of Imperva geschikt. Deze systemen filteren het verkeer voordat het de webserver bereikt en blokkeren zo de meeste aanvallen. Een dergelijke oplossing is relatief duur met 50-250 Euro per maand en is alleen geschikt voor professioneel gebruik.
Conclusie: zelf een website maken is heel eenvoudig met WordPress. Ook de automatische update die veel webhosters aanbieden is nuttig in vergelijking met andere contentmanagementsystemen. Als u er altijd voor zorgt dat de extensies up-to-date zijn (minstens één keer per week), dan kan er niet veel met u gebeuren.
Wat niets kost, deugt ook niet. Helaas geldt dit voor veel plugins en thema's. Merk op dat veel oplichters thema's infecteren met kwaadaardige code en ze dan gratis verspreiden als hun eigen thema. Zodra u zoiets geïnstalleerd heeft, zal uw website in een mum van tijd gebruikt worden om Spam of misbruik maakt van aanvallen op anderen.
