In dit artikel kijken we naar het beveiligen van je WordPress website. Je leert hoe je in 3 simpele stappen hackers buiten de deur houdt en je site optimaal beveiligt.
Inleiding
WordPress is een ontzettend populair platform om je website mee te bouwen. En met goede redenen, want het is erg flexibel en je kunt er bijna alles mee. Daarom kiezen zowel beginners als professionals vaak voor WordPress.
Maar die populariteit trekt helaas ook minder goed volk aan: hackers of cybercriminelen. Mensen met slechte intenties die maar al te graag een WordPress site binnendringen om er allerlei vervelende dingen mee te doen.
In dit artikel leer je hoe je jouw website goed kunt beschermen tegens zulke hackers, zodat je er hopelijk nooit de dupe van wordt.
Gehackt worden is niet fijn
Meer dan 40% van alle websites gebruikt WordPress. En het worden er steeds meer. Cybercriminelen weten dit en scannen daarom automatisch websites op zwakke punten. Je website hoeft dus niet eens heel populair te zijn om het doelwit te worden van een hacker.
Als een hacker eenmaal de controle overneemt van een website, dan gebruiken ze de site meestal om spam te versturen, malware te verspreiden, of persoonlijke gegevens te stelen.
Het schoonmaken van een gehackte website is flink wat werk. Ik heb het verschillende keren gedaan voor websites en kan je zeggen dat het een hoop tijd en stress kost.
Allemaal vervelende dingen waar je natuurlijk liever niks mee te maken hebt. Dus voorkomen is beter dan genezen. Maar hoe beveilig je jouw WordPress website?
3 Stappen om je WordPress website te beschermen
Met de drie stappen hieronder bescherm je jouw WordPress website tegen hackers. Ik zet ze eerst even kort voor je op een rijtje, en dan ga ik op elke stap wat dieper in.
- Voorkomen dat hackers bij je site kunnen (beveiliging en goede gewoontes)
- Zorgen dat je makkelijk kunt herstellen van een gehackte website (backups)
- Weten wanneer je gehackt bent en actie ondernemen
Deze drie stappen pas ik altijd toe op iedere website die ik maak, en ze zijn ook onderdeel van het zzp-website pakket.
Stap 1: Voorkom dat hackers makkelijk bij je site kunnen
Met een aantal eenvoudige maatregelen kun je jouw website een veel moeilijker doelwit maken voor een hacker. In mijn ervaring zijn deze maatregelen voor de meeste websites voldoende om ervoor te zorgen dat ze nooit gehackt worden.
Verander je WordPress login pagina
WordPress heeft een standaard login pagina waar je jouw gebruikersnaam en wachtwoord invoert om in te loggen op je site, namelijk je website adres met daarachter “/wp-admin/”. Iedere hacker weet dit adres en kan vanaf daar proberen in te loggen op je site door je gebruikersnaam en wachtwoord te raden.
Maar je kunt dit adres veranderen in iets anders, waardoor de login pagina van je website niet meer makkelijk gevonden kan worden. Bijvoorbeeld “/555-login/”. Iets dat jij makkelijk kunt onthouden, maar dat moeilijk te raden is. Je kunt dat eenvoudig doen met een plugin zoals WPS Hide Login.
Verander de standaard WordPress gebruikersnaam
Iedere WordPress website heeft ook een standaard gebruikersnaam, namelijk ‘admin’. Je hebt natuurlijk ook een wachtwoord nodig (zorg ook voor een sterk en uniek wachtwoord), maar als iemand de gebruikersnaam al kent, dan is het een stuk makkelijker om te proberen in te loggen.
Daarom is het slim om ook de gebruikersnaam van je website te veranderen in iets anders. Het beste kies je weer iets dat jij makkelijk kunt onthouden, maar dat moeilijk te raden is door iemand anders.
Een plugin waar je dit eenvoudig mee kunt doen is Easy Username Updater.
Tip: Na gebruik kun je deze plugin overigens weer verwijderen, zodat je niet te veel plugins op je site hebt staan.
Voorkom brute-force aanvallen
In principe kan iemand een oneindig aantal keren proberen in te loggen op je WordPress website. Iemand die je inloggegevens wil stelen kan daar een speciaal programmaatje voor schrijven dat geautomatiseerd alle mogelijke gebruikersnaam/wachtwoord combinaties die er bestaan kan proberen op je login pagina.
Dit heet een ‘brute force’ aanval en kan een tijdje duren, maar met de huidige technologie kan een wachtwoord van 8 tot 10 karakters in een dag tot een aantal weken gekraakt worden. Best snel dus…
Tenzij je het aantal login pogingen die iemand in een bepaalde tijd kan proberen beperkt tot bijvoorbeeld 10. Op die manier zou een brute force aanval honderden jaren duren en dus niet meer werken.
Je kunt dit bijvoorbeeld doen met de plugin Limit Login Attempts Reloaded.
Bescherm je website met Cloudflare
Cloudflare is een gratis die alle verkeer naar je website analyseert en automatisch verdacht verkeer (bijvoorbeeld van hackers) blokkeert. Het werkt een beetje zoals een firewall op je computer. Hierdoor krijgt je website veel minder te maken met eventuele aanvallen en is daardoor veel beter beschermd.
Daarnaast maakt Cloudflare je website ook no eens een stuk sneller.
Je kunt je voor een gratis Cloudflare account aanmelden via deze link: https://www.cloudflare.com/. Daarna kun je jouw website koppelen aan het Cloudflare netwerk door je nameservers om te schakelen. Ze leggen in hun documentatie uit hoe je dat kunt doen, maar als je er zelf niet meteen uitkomt, dan kan een webdesigner dat eenvoudig voor je regelen.
Voor al onze klanten en ook voor onze ZZP Website Pakket klanten die zelf hun website bouwen koppelen wij de website standaard aan Cloudflare en maken we ook de meest optimale instellingen zodat je daar zelf geen omkijken naar hebt.
Houd je website up-to-date
Door regelmatig de software op je website te updaten voorkom je veiligheids-lekken en geef je hackers veel minder kans om in te breken op jouw website.
Stap 2: Zorg dat je makkelijk kunt herstellen van een gehackte website
Als je alles uit de eerste stap gedaan hebt, dan is de kans een stuk kleiner dat je ooit met een gehackte website te maken krijgt. Maar toch kan het gebeuren. Daarom is het goed om regelmatig een backup van je site te maken. En het liefst automatisch, zodat je er geen omkijken naar hebt. Mocht er dan onverhoopt toch ooit iets gebeuren, dan kun je in ieder geval makkelijk een recente backup terug zetten.
Je hosting bedrijf maakt als het goed is regelmatig een backup van je website, maar controleer dat even voor de zekerheid. Vraag dan ook meteen of die backup op een fysiek andere locatie wordt opgeslagen, dus niet op dezelfde server als je website.
Daarnaast raad ik je aan om ook zelf regelmatig backups van je website te maken en die op te slaan op een compleet andere plek, bijvoorbeeld op je eigen computer of in een gratis google drive account die je speciaal daarvoor aanmaakt.
In WordPress kun je dit automatiseren met een plugin genaamd UpdraftPlus. Je koppelt die plugin aan de google drive account, je stelt in hoe vaak je een backup wilt van je site en hoeveel je er wilt bewaren, en de plugin doet de rest.
Als je met een webdesigner aan jouw website gaat werken, vraag hem of haar dan om UpdraftPlus of een vergelijkbare oplossing voor je op te zetten. Heb je al een bestaande website, dan kun je het eventueel ook zelf doen door naar hun documentatie te kijken.
Stap 3: Weten of je gehackt bent
Veel hackers opereren tegenwoordig zoveel mogelijk onder de radar. Ze proberen niet op te vallen en het kan daarom dan ook voorkomen dat je weken of maandenlang niet eens in de gaten hebt dat je website gehackt is. Vaak kom je er pas achter omdat je opeens iets geks ziet, of dat iemand die je site bezoekt je er op attendeert.
Houd daarom je website goed in de gaten. Ik zou je aanraden dit ook te automatiseren, en er zijn verschillende handige gratis hulpmiddelen die je daarbij kunnen helpen. Hieronder vind je er twee die ik persoonlijk graag gebruik.
De eerste is UptimeRobot. Dit is een gratis dienst die elke vijf minuten checkt of je website nog online is. Mocht je site offline gaan, dan ontvang je daarvan meteen een mailtje, zodat je kunt kijken wat er aan de hand is.
En de tweede is visualping. Een vergelijkbare dienst die eens per dag je website bezoekt en kijkt of er veranderingen op zijn gemaakt. Zo ja, dan ontvang je daarover wederom een email.
Beide diensten kijken alleen naar je homepage, dus het is een goed idee om daarnaast ook regelmatig even door je website heen te lopen en na te gaan dat alles er nog goed uitziet.
Samenvatting en conclusie
WordPress is mega-populair en daardoor vaak het doelwit van hackers. Met een aantal simpele stappen kun je jouw website beveiligen en het lastig maken voor cybercriminelen om je site te hacken. Dit doe je bijvoorbeeld door je inlog-pagina te verstoppen en je website te koppelen aan het Cloudflare netwerk.
Daarnaast kun je regelmatig backups maken, waardoor je makkelijk kunt herstellen mocht je site toch ooit gehackt worden. En je kunt je website automatisch in de gaten houden met online monitoring diensten zoals UptimeRobot en visualping. Op die manier krijg je meteen een seintje indien je website offline gaat of wanneer er iets verandert op je site.
Voor alle websites die wij opzetten zorgen we dat de beveiliging helemaal in orde is. Dus ben je van plan zelf je website te bouwen en wil je er zeker van zijn dat dit allemaal geregeld is, overweeg dan ook eens het ZZP-Website pakket.
Meer hulp nodig met je WordPress website?
Gratis e-book
10 Cruciale tips voor een succesvolle WordPress website
Meld je aan voor onze nieuwsbrief en ontvang gratis het e-book:
- 30 Pagina's expert advies
- Nuttig bij zelf bouwen en uitbesteden
DOWNLOAD GRATIS JOUW EXEMPLAAR:
» 30 Pagina's expert advies
» Nuttig bij zelf bouwen en uitbesteden
DOWNLOAD GRATIS JOUW EXEMPLAAR:
GRATIS E-BOOK | 10 cruciale tips voor een succesvolle wordpress website:
We delen jouw gegevens niet met derden en je kunt je altijd weer afmelden.