WordPress Website Beveiligen
Aangezien WordPress verreweg het meest gebruikte CMS wereldwijd is mag het géén verrassing zijn dat dit ook het meest gehackte CMS is (ZDnet.com). Daarbij is WordPress ook nog eens enorm populair onder hobbyisten en starters…
Aangezien WordPress verreweg het meest gebruikte CMS wereldwijd is mag het géén verrassing zijn dat dit ook het meest gehackte CMS is (ZDnet.com). Daarbij is WordPress ook nog eens enorm populair onder hobbyisten en starters die niet altijd op de hoogte zijn van beveiligingsproblemen. Toch is dit geen reden om WordPress als CMS te mijden, het is wel een reden om te zorgen voor een goede beveiliging.
Inhoud:
Veelvoorkomende Kwetsbaarheden in WordPress
Voordat we verder duiken in het beveiligen van WordPress bespreken we de veelvoorkomende kwetsbaarheden in het CMS.
Core
Maar liefst 44% van de gevallen waar een WordPress website is gehackt is er sprake van een niet up-to-date CMS (Sucuri). Door de core van WordPress niet te updaten vinden essentiële beveiligingsupdates niet plaats en wordt de website kwetsbaar voor een hack. Hackers weten welke versies bepaalde zwakke plekken hebben en zoeken gericht naar deze versies.
Plugins
In een wat ouder onderzoek uit 2016 kwam naar voren dat bij een WordPress hack de top 5 onderdelen waar het vaakst op werd gericht zijn: plugins, brute force, core, template, hosting. Plugins was hier met meer dan 50% verreweg het zwakste onderdeel.
Het lastige van plugins is dat ze erg functioneel zijn en daarom veelvuldig worden gebruikt. Tegelijkertijd is er vaak weinig zicht op de ontwikkelaar van de plugin. Daarbij zijn er ook tal van gratis plugins beschikbaar die weliswaar nog goed functioneren maar niet meer actief worden onderhouden. Zo ontstaan er snel veel zwakke plekken waardoor de kans op een hack toeneemt.
Template
Wat voor plugins geldt is in mindere mate ook het geval met templates. Ook hier kunnen verouderde niet ge-update templates gebruikt worden om toegang te krijgen tot de website. Wij raden altijd aan om templates te gebruiken van een professionele ontwikkelaar die actief het template onderhoudt. Ja dit kost wat geld maar zelfs een erg populair en goed template als Avada kost maar $60.
Wat kun je zelf doen om WordPress beter te beveiligen (8 stappen)
- Update WordPress
WordPress updates zorgen ervoor dat je website veiliger wordt en ook beter. Vaak worden er fouten gerepareerd in een update en wordt er gezorgd voor prestatieverbeteringen. Zorg dat je altijd de meest recente update installeert.
- Update de plugins
Zodra eigenaren van de plugin ontdekken dat er een zwakke plek in de software zit kunnen ze dit met een update corrigeren. Je moet deze update echter wel zelf uitvoeren.
- Update het template
Ook je WordPress template dien je regelmatig te updaten. We gaan er hierbij vanuit dat je het template wel van een betrouwbare bron hebt gedownload. Ook zit er op gratis templates vaak minder tot géén ondersteuning en zullen deze ontwikkelaar het template niet (vaak) updaten.
- Controleer de webhosting
Ook voor webhosting geldt dat updates van groot belang zijn. Zo komt het bijvoorbeeld vaak voor dat webhosters nog verouderde PHP versies hanteren. Soms is de nieuwe PHP versie wel beschikbaar maar dien je zelf de website om te zetten. Wie meer veiligheid wil kan ook denken aan VPS. Wat je ook kiest, let er vooral goed op hoe je webhosting aanbieder met veiligheid en updates omgaat. Bekijk de website van de webhoster, welke updates en onderhoud worden uitgevoerd etc.
- Gebruikersnaam en Wachtwoord
Bij brute force attacks wordt met brute kracht geprobeerd een website te hacken. Hierbij worden geautomatiseerd tal van gebruikersnamen en wachtwoorden geprobeerd. Websites met veel voorkomende gebruikersnamen zoals ‘admin’ en populaire wachtwoorden zoals ‘1234’ en ‘password01’ zijn hiervoor extra gevoelig. Zorg er daarom voor dat je altijd unieke gebruikersnamen hebt en moeilijke wachtwoorden.
- Twee-staps authenticatie
Met twee-staps authenticatie (ook wel 2-factor authenticatie genoemd) geef je bij het inloggen een extra bevestiging via je mobiele telefoon. Dit wordt ook gebruikt bij het bevestigen van een betaling via internet bankieren. De bevestiging kun je via de Google Authenticator app invoeren. Zo zorg je voor een extra laag, 2e factor, beveiliging voor je WordPress site.
- HTTPS (SSL)
HTTPS is het oude bekende HTTP maar dan met encryptie. Door deze versleuteling is de verbinding veilig en worden de gegevens beveiligd verzonden van en naar de website. Bij veel webhosting pakketten zit een SSL certificaat gratis inbegrepen, soms kost het een paar tientjes per jaar.
- Beveilig je eigen computer
Wellicht denk je er in eerste instantie niet aan maar ook je eigen PC/laptop is een belangrijk onderdeel in de beveiliging van je WordPress website. Met je eigen systeem log je tenslotte in op je website, wanneer je computer is gehackt kunnen hiermee ook de inloggegevens van je website worden achterhaald. Zorg dus ook zelf altijd voor een veilig systeem met goede virusscanner.
3 WordPress Security Plugins
Vind je het zelf allemaal wat lastig maar wil je er toch voor zorgen dat je website goed wordt beveiligd dan is het mogelijk om beveiligingssoftware te installeren. Als het gaat om het CMS WordPress zijn er tientallen bedrijven die zich hier mee bezig houden. We bespreken drie gerenommeerde betaalde opties.
Sucuri
De bekendste security plugin is waarschijnlijk Sucuri. Sucuri is opgericht in 2010 en houdt zich 100% bezig met het beveiligen en opschonen van websites. Hoewel Sucuri ook voor andere websites werkt is hun WordPress plugin al ruim 600 duizend keer geïnstalleerd en wordt deze goed beoordeeld.
Inbegrepen in de Sucuri bescherming zijn onder andere:
- Malware & hack bescherming
- Brute force bescherming
- DDos blokkade
Lees meer over de Sucuri product specificaties
Bestel Sucuri vanaf $199,99 per jaar
Wordfence
De software van Wordfence is meer dan 90 miljoen keer gedownload en wordt momenteel gebruikt op ruim 3 miljoen actieve WordPress websites.
Inbegrepen in de Wordfence bescherming zijn onder andere:
- WordPress firewall
- Security scanner
- 2-factor authenticatie
- Bestanden repareren
Lees meer over de Wordfence product specificaties
Bestel Wordfence vanaf $99 per jaar voor 1 site
iThemes Security Pro
Het bedrijf iThemes is wat minder bekend en de security plugin was dan ook eerst Better WP Security genaamd. Vanaf $80 per jaar kun je gebruik maken van het Blogger abonnement waar alle functionaliteiten zijn inbegrepen, je bent enkel beperkt tot het beschermen van één website.
Inbegrepen in de iThemes Security Pro bescherming zijn onder andere:
- Stopt brute force aanvallen
- Blacklists bots
- Veranderen WordPress login scherm
- 2-factor authenticatie
- Malware scanner
- Versie beheer
Lees meer over de iThemes Security Pro product specificaties
Bestel iThemes Security Pro vanaf $99 per jaar voor 1 site
WordPress website toch gehackt, wat nu?
Ben je al te laat en is je website reeds slachtoffer geworden van een hack of malware dan hebben de drie bovenstaande bedrijven ook schoonmaak functionaliteiten. Wil je zelf actie ondernemen dan is dit de beste gids https://sucuri.net/guides/how-to-clean-hacked-wordpress/
Bronnen:
- https://www.getastra.com/blog/cms/hacking-statistics/#Hacking_Statistics_2019
- https://kinsta.com/blog/wordpress-statistics/#security-statistics
