10 krachtige sleutels om uw WordPress-website in 2023 te beveiligen

Maar al te vaak vinden eigenaren van WordPress-websites dat hun sites zijn gecompromitteerd. Gezien zijn populariteit als CMS, is WordPress het meest gerichte platform door hackers en als gevolg daarvan krijgt het een slechte naam als onveilig.

Maar dit is niet echt het geval.

Het open source-karakter van WordPress betekent dat iedereen het kan gebruiken, en de grote meerderheid van degenen die het gebruiken, is niet goed thuis in de basispraktijken op het gebied van cyberbeveiliging. Dit is wat de illusie wekt dat WordPress op de een of andere manier minder veilig is dan andere opties voor het bouwen van websites.

Die personen die degelijke beveiligingspraktijken gebruiken, hebben zelden problemen met het hacken van sites. Dus wat maakt een WordPress-website veilig?

 

Uw WordPress-website beveiligen

Hier zijn 10 dingen om in gedachten te houden als het gaat om het beveiligen van uw WordPress-website.

 

Gebruik een veilige host

Als je met niets anders uit dit bericht komt, let dan in ieder geval op deze. Uw WordPress-website is slechts zo veilig als de server waarop deze staat.

De meeste WordPress-websites zijn gebouwd op shared hosting, wat betekent dat uw site op dezelfde server staat als de websites van andere klanten. Kies een hostingbedrijf dat accountmachtigingen op hun servers op de juiste manier kooit.

Check this out: Beste WordPress-hostingservices vergeleken

Het is niet ongebruikelijk dat een gecompromitteerde website andere op dezelfde server infecteert. Als u een host kiest waar de machtigingen voor elk account op de juiste manier zijn gescheiden, wordt het risico van cross-site besmetting geminimaliseerd.

In tegenstelling tot wat vaak wordt gedacht, VPS hosting is ook gevoelig voor verspreiding van malware. VMescape-aanvallen, waarbij malware gebruikmaakt van kwetsbaarheden in virtualisatieplatforms, kunnen ervoor zorgen dat de malware aan de ene VPS ontsnapt en naar een andere VPS gaat die op dezelfde fysieke hardware draait.

Beveiligde hosts zullen ook andere maatregelen nemen. Deze omvatten het gebruik van mod-beveiliging in hun webserverconfiguratie, anti-malwarepakketten zoals Imunify360 en DDoS-bescherming om te voorkomen dat sites worden overspoeld door bots.

 

Houd uw kern, thema's en plug-ins bijgewerkt

De meeste WordPress-sites worden gehackt omdat de code verouderd is. Dat is geen mening, dat is een gedocumenteerd feit.

Beveiligingsonderzoekers die forensische analyses uitvoeren op duizenden gehackte WordPress-websites hebben zonder twijfel vastgesteld dat meer dan 80% van deze plug-ins en thema's verouderd zijn.

Stel je voor, door simpelweg je thema's en plug-ins up-to-date te houden, zou je 80% van de kans kunnen elimineren dat je site in gevaar komt. Dat is een sleutel tot het beveiligen van WordPress die het vermelden waard is.

 

Schakel authenticatie in twee stappen in

Hoewel verouderde thema's en plug-ins verantwoordelijk zijn voor de overgrote meerderheid van gehackte WordPress-websites, zijn brute force-aanvallen op gebruikersnamen en wachtwoorden de meest voorkomende methoden om ongeautoriseerde toegang tot websites te krijgen.

Hoewel het slagingspercentage meestal laag is, werd toch in ongeveer 8% van de gehackte websites ingebroken door simpelweg het wachtwoord van een gebruiker te raden.

Een manier om uw website te beschermen, is door 2-Factor Authentication (2FA) in te schakelen. Naast uw gebruikersnaam en wachtwoord, vereist 2FA dat u ook een eenmalige toegangscode invoert vanaf uw mobiele apparaat of via een e-mailbericht.

Als een hacker uw gebruikersnaam en wachtwoord voor uw website heeft, maar uw telefoon of toegang tot uw e-mail niet heeft, kunnen ze niet inloggen.

Er zijn verschillende plug-ins die 2-Factor Authentication aan uw website toevoegen, en veel uitgebreide beveiligingsplug-ins waar we het in de volgende sectie over zullen hebben, voegen deze ook toe als onderdeel van de vele functies die ze bevatten.

 

Installeer een beveiligingsplug-in

Er zijn mensen die zeggen dat alle beveiliging door uw host moet worden gedaan, maar in de wereld van cyberbeveiliging geloven we dat beveiliging in lagen plaatsvindt. Een beveiligingsplug-in op uw WordPress hebben website is nog maar een van die lagen.

Als het gaat om beveiligingsplug-ins, zijn er verschillende om uit te kiezen. Hier zijn enkele van de meest populaire beveiligingsplug-ins. U moet ze uitproberen en zien welke het beste bij uw behoeften past.

 

Wordfence

Hoewel dit bericht niet gaat over welke beveiligingsplug-in de beste is, is de populairste wel Wordfence – en daar zijn goede redenen voor.

Ten eerste is Wordfence een bedrijf dat zich toelegt op beveiliging, in die zin dat beveiliging alles is wat ze doen. Ze zijn niet een of andere ontwikkelaar van WordPress-plug-ins die toevallig een beveiligingsplug-in in hun portfolio hebben, ze leven en ademen veiligheid.

De Wordfence-plug-in wordt geleverd met een gratis firewall voor webapplicaties die elk verzoek vergelijkt met een lijst met bekende exploits en deze blokkeert als er een overeenkomst wordt gevonden. Ze hebben ook een malwarescanner die op zoek is naar veelbetekenende tekenen van kwaadaardige activiteiten en bestanden. Een andere geweldige functie is de mogelijkheid voor de scanner om al je thema- en plug-inbestanden te vergelijken met die in de WordPress.org-repository om er zeker van te zijn dat ze overeenkomen.

Wordfence registreert standaard alle beveiligingsgerelateerde activiteiten, zodat u deze kunt bekijken en ervoor kunt zorgen dat uw site veilig is.

Een andere leuke functie in Wordfence is dat ze een 2-Factor Authentication-module hebben, zodat je aanbeveling #3 in dit bericht kunt uitschakelen. In dezelfde lijn van bescherming hebben ze ook brute force-bescherming om IP-adressen te blokkeren die meerdere keren proberen in te loggen, waardoor bots effectief worden gestopt.

 

Sucuri

Sucuri is een andere geweldige beveiligingsplug-in die kan helpen uw WordPress-website te beschermen. Het heeft veel van dezelfde geweldige functies die Wordfence biedt, met één opmerkelijke uitzondering: er is geen gratis firewall - het is alleen beschikbaar op een premium betaald abonnement.

Een belangrijke opmerking over Sucuri is dat de plug-in onlangs is gekocht door GoDaddy, dus hun vermogen om het goed te ondersteunen moet nog worden bewezen. In webhostingkringen wordt GoDaddy niet gunstig beoordeeld, dus alleen de tijd zal uitwijzen of die reputatie zich zal uitstrekken tot Sucuri of dat ze de uitdaging aankunnen.

Sucuri heeft ook een controlelogboek, zodat u beveiligingsgerelateerde activiteiten op uw website kunt bekijken, zoals mislukte aanmeldingen.

 

Alles in één WP-beveiliging en firewall

Alles in één WP-beveiliging en firewall is de enige plug-in die zelfs in de buurt komt van Wordfence in populariteit. Het biedt veel van dezelfde voordelen, waaronder een gratis firewall op basis van .htaccess-regels, brute force-bescherming en een beveiligingsscanner.

Een ding dat het niet bevat, is een 2-Factor-authenticatiemodule, dus je moet een zelfstandige plug-in toevoegen voor die functionaliteit.

Men zou kunnen stellen dat All in One WP Security & Firewall eigenlijk de meest robuuste firewall van alle beveiligingsplug-ins biedt. Omdat de firewall op .htaccess is gebaseerd, wordt deze verwerkt voordat er scripts worden uitgevoerd, wat hem zeer betrouwbaar maakt.

All in One WP Security & Firewall bevat ook een leuke functie om te helpen beschermen tegen geautomatiseerde reactiespam. Als alternatief kunt u het standaard commentaarsysteem van WordPress vervangen door: Deeper Opmerkingen voor extra functies en bescherming.

 

Gebruik Cloudflare

Cloudflare is populair geworden bij WordPress-gebruikers vanwege hun uitstekende (en gratis) CDN-service die helpt bij het versnellen van uw website. Maar Cloudflare biedt ook een groot aantal gratis tools die u helpen uw site te beschermen tegen aanvallen.

Ten eerste, wanneer u uw naamservers naar Cloudflare verwijst, krijgt u het voordeel van een van de snelste en veiligste DNS-services die beschikbaar zijn en gratis SSL-certificaten.

De servers van Cloudflare controleren al het verkeer voordat het uw server bereikt op DDoS-aanvallen en hun firewall is zeer configureerbaar, zelfs in de gratis versie (met een beperkt aantal regels) waarmee u verkeer kunt filteren op land, ASN of zelfs de URL of querytekenreeks.

Als je bijvoorbeeld alleen maar inlogt op je website vanaf een enkel IP-adres of een klein aantal vaste IP-adressen, zou je een regel in Cloudflare kunnen bouwen die alle andere IP's blokkeert om zelfs maar toegang te krijgen tot wp-admin of wp-login.php . Dat zou alle bots blokkeren die die brute force-aanvallen proberen uit te voeren waar we het in sectie 3 over hadden. U kunt ook: beperk de toegang tot wp-admin met uw .htaccess-bestand in plaats van Cloudflare. U kunt beide implementeren als u meerdere beschermingslagen wilt (sterk aanbevolen).

 

Gebruik geen nulled-thema's of plug-ins

Wil je dat premium thema maar wil je er niet voor betalen? Nou, als je het krijgt van een van die schetsmatige sites die nulled-thema's en plug-ins biedt, kun je het gratis krijgen. Maar er is nog een prijs...

Wanneer u een nulled-thema of plug-in gebruikt, verliest u de garantie dat het product hetzelfde is als wat wordt aangeboden door de officiële leverancier. Dit betekent dat u de integriteit van de code verliest.

Nulled-thema's en plug-ins zijn een belangrijke bron van malware omdat soms degene die de plug-in heeft gemaakt, zijn eigen malware eraan heeft toegevoegd om uw site over te nemen of andere kwaadaardige acties uit te voeren, zoals het stelen van uw bronnen voor cryptomining.

Nulled-thema's en plug-ins zijn de malware die u vrijwillig op uw eigen website installeert zonder het zelf te beseffen. Gewoon om wat geld te besparen? Het is het niet waard. Als je een premium-functie nodig hebt, betaal er dan een gerenommeerde ontwikkelaar voor.

 

Bestandsbewerking uitschakelen

Het WordPress-beheerdersdashboard heeft een zeer handige ingebouwde editor waarmee u de inhoud van uw thema- en plug-inbestanden kunt wijzigen. Helaas maakt deze editor het ook gemakkelijk voor hackers om de code van uw website aan te passen als ze toevallig in uw account inbreken.

De realiteit is dat je bijna bent nooit deze functionaliteit gaat gebruiken. Als u ooit een kernbestand bewerkt, gaat u dit waarschijnlijk rechtstreeks doen via de bestandsbeheerder van uw host of met behulp van een FTP-client.

U kunt de mogelijkheid om bestanden te bewerken vanuit het beheerdersdashboard uitschakelen door deze regel toe te voegen aan uw wp-config.php-bestand:

definiëren('DISALLOW_FILE_EDIT', true);

Nadat u deze regel hebt toegevoegd, zijn de bewerkingsmenu's niet langer beschikbaar voor plug-in- en themabestanden in het WordPress-beheerdersdashboard.

 

Verplaats en hernoem uw wp-config.php-bestand

Terwijl we het hebben over het wp-config.php-bestand, weten veel mensen al dat je het wp-config.php-bestand één map omhoog kunt verplaatsen vanuit je WordPress-installatie en dat je site prima zal werken. Maar laten we een stap verder gaan.

Wist je dat je het wp-config.php-bestand kunt hernoemen naar wat je maar wilt en het volledig uit je WordPress-installatie kunt verplaatsen naar een niet-openbare map? Het kost wat meer werk om te doen, maar het is de moeite waard.

Hoewel het bestand zelf over het algemeen een lege pagina retourneert wanneer het wordt aangeroepen in een webbrowser, kan in zeldzame gevallen wanneer de PHP-handler faalt, de volledige inhoud van het bestand zichtbaar zijn als platte tekst in een webbrowser.

Het bestand wp-config.php bevat gevoelige informatie over uw website, inclusief de gebruikersnaam en het wachtwoord van de database. Deze informatie in verkeerde handen kan catastrofaal zijn. Het hernoemen van het bestand naar iets willekeurigs helpt om het te verbergen voor bots en hackers.

By wp-config.php verplaatsen naar een niet-openbare map, elimineert u de mogelijkheid voor iemand om de informatie via een browser te krijgen tijdens een PHP-handerfout.

 

Auditactiviteit op uw site

Als u niet bijhoudt wat er op uw website gebeurt, loopt u mogelijk belangrijke informatie mis die u zou kunnen waarschuwen voor pogingen tot kwaadaardige activiteit, of zelfs schadelijke activiteiten ontdekt als uw site al is gehackt.

Afgezien van de beveiligingsvoordelen, als u een site met meerdere gebruikers heeft, kan het hebben van een goede audit-plug-in er ook voor zorgen dat u legitieme activiteiten kunt volgen. Als bureau is het een geweldig hulpmiddel om te weten of uw klant iets heeft verknoeid, zelfs als ze zeggen dat ze het niet hebben gedaan!

Er zijn verschillende goede plug-ins voor het controleren van site-activiteit. Sommige van de eerder genoemde beveiligingsplug-ins hebben een zekere mate van audit-logging, maar de onderstaande brengen het naar een hoger niveau door alle gebruikersactiviteiten te controleren in plaats van alleen beveiligingsgerelateerde gebeurtenissen. Hier zijn de top 3.

 

Eenvoudige geschiedenis – Gebruikersactiviteitenlogboek, audittool

Eenvoudige geschiedenis is de meest populaire plug-in voor auditing en het is een geweldige plug-in om mee te beginnen met testen. Het registreert alle dingen die u zou verwachten, zoals inhoudsupdates, installatie en activering van plug-ins en zowat elk ander type gebruikersactiviteit.

De plug-in heeft een beoordeling van 5 sterren en het ontwikkelaarsteam is behoorlijk actief op de ondersteuningsforums en beantwoordt daar regelmatig ondersteuningsvragen binnen een redelijk tijdsbestek.

 

WP-activiteitenlogboek

De WP-activiteitenlogboek plug-in is een andere geweldige optie om voor uw site te gebruiken. Het heeft wat meer configureerbare opties dan de vorige plug-in, zoals de mogelijkheid om de controle van bepaalde gebeurtenissen in en uit te schakelen en een configureerbare bewaarperiode voor logboekregistratie. Het heeft ook een heleboel add-ons om monitoring uit te breiden naar speciale plug-ins zoals WooCommerce en WPForms.

De plug-in heeft een beoordeling van 4.5 sterren en de hoofdontwikkelaar reageert persoonlijk op zowat elke vraag op het ondersteuningsforum.

Als u een bureau runt, kan WP Activity Log goed worden geïntegreerd met de populaire beheertool MainWP, zodat u de auditlogboeken van al uw klantensites in één enkele interface kunt bekijken. Van de bureaus is WP Activity Log de beste keuze voor het loggen van audits.

 

Activiteitenlogboek

Een andere populaire optie met een beoordeling van 4.5 sterren. Activiteitenlogboek legt alles vast wat je zou verwachten en heeft een groot aantal actieve installaties.

Helaas reageert de ontwikkelaar niet vaak op ondersteuningsverzoeken in de forums, waarbij de meeste ondersteuningsvragen voor onbepaalde tijd onbeantwoord blijven.

 

Gebruik het principe van de minste privileges

In de wereld van cyberbeveiliging is het principe van de minste privilege een concept waarbij een gebruiker alleen de machtigingen heeft die hij nodig heeft om zijn werk te doen.

In de wereld van WordPress is het niet ongebruikelijk om een ​​bedrijf te zien met 10 gebruikers die allemaal zijn ingesteld op Beheerder. Er kunnen legitieme redenen zijn voor dit toegangsniveau, maar het komt zelden voor dat u meer dan 1 of 2 accounts met zo'n hoog machtigingsniveau nodig heeft.

Een ding dat u niet kunt controleren, is wat uw gebruikers doen als ze niet actief aan uw WordPress-website werken. Dit betekent dat als ze er niet in slagen om hun eigen gegevens beschermen tegen hackers, is de kans groot dat slordigheid uw website binnendringt.

Door hun toegang te beperken, kunt u eventuele schade beperken die een gebruiker onbedoeld kan aanrichten, zoals het klikken op een schadelijke link terwijl hij nog steeds is ingelogd op uw website. Zelfs als u de sitebeheerder bent, moet u een apart editoraccount met beperkte rechten gebruiken wanneer u geen administratieve taken op hoog niveau uitvoert.

Is het vervelend om dit te doen? Zeker. Maar het is veel minder vervelend dan het opschonen van een geïnfecteerde website.

 

Bonus: maak regelmatig back-ups

In het ergste geval waarin uw site is gecompromitteerd, is soms de enige optie om deze te herstellen vanaf een schone back-up; een die vóór de infectie is ingenomen. De meeste fatsoenlijke webhostingbedrijven maken eenmaal per dag een back-up van uw site, maar ze bewaren deze back-ups meestal slechts een paar weken.

Dit is problematisch als u een infectie heeft die een tijdje onopgemerkt bleef. Veel infecties verbergen zichzelf effectief voor ingelogde beheerders om detectie zo lang mogelijk te voorkomen.

Omdat u nu weet dat beveiliging het beste is in lagen, kunt u hetzelfde concept toepassen op uw back-ups door naast uw webhost ook uw eigen back-ups te maken.

Er zijn een aantal geweldige gratis back-up plug-ins beschikbaar, waaronder: UpdraftPlus, BackWPup en All-in-One WP-migratie. Elk heeft zijn eigen sterke en zwakke punten, maar ze zijn allemaal erg betrouwbaar en stellen je in staat om regelmatiger een back-up van je site te maken. In sommige gevallen kunt u zelfs automatisch een back-up maken naar externe cloudopslag zoals Dropbox of OneDrive.

 

Conclusie

WordPress-beveiliging is een belangrijk onderdeel van het bezitten van een website. Het kan ook een tijdrovend en arbeidsintensief proces zijn als het onjuist of verwaarloosd wordt uitgevoerd. Door de sleutels in dit bericht te implementeren, kunt u de meeste van uw beveiligingsbehoeften automatisch instellen, zodat u zich kunt concentreren op wat belangrijk is: uw bedrijf.