WordPress websites beveiligen

WordPress is het meeste gebruikte content-management-systeem (CMS) ter wereld. WordPress is ‘open source’, wat zoiets betekent als: ‘de code is voor iedereen inzichtelijk’, helaas ook voor kwaadwillenden.

WordPress website beveiligen

Deze combinatie van gegevens is interessant voor hackers en malware. Veel WordPress websites zijn vaak niet up-to-date of bevatten beveiligingslekken. Kwaadwillenden kunnen gemakkelijk de oorspronkelijke code analyseren en dus je WordPress website hacken. En dat is wat niemand wil.

WordPress website beveiligen, hoe moet dat?

Een standaard WordPress website beveiligen is niet volledig veilig en voor hackers redelijk makkelijk te kraken. Hackers vinden het ‘leuk’ om urenlang op zoek te gaan naar zwakke WordPress websites, zodat ze het gemakkelijk kunnen kraken en ermee doen wat ze willen. Gelukkig is er een aantal stappen die je zelf kan ondernemen om je WordPress website te beveiligen.

Een volledig veilige WordPress website bestaat overigens niet. Het gaat er natuurlijk om het hackers zo lastig mogelijk te maken; voorkomen is beter dan genezen. Maar helemaal veilig ben je nooit.

WordPress website beveiligen; installatie

1. Database beveiligen

Als je zelf een WordPress website hebt geïnstalleerd via FTP (File Transfer Protocol: het uploaden van bestanden naar je website) en daarna in je browser, dan vraagt WordPress om een aantal gegevens in te vullen. Bij de Table Prefix gebruikt WordPress standaard ‘wp_’ voor elke database tabel. Veel mensen veranderen de table prefix niet en dat weten hackers. Ze gaan hier dus specifiek op zoeken, zodat ze de database kunnen kraken. Om het ze moeilijker te maken, kan je het voorvoegsel wp veranderen in een lastig voorvoegsel, bijvoorbeeld ‘@#$547*ZUpo*9_.’ Zorg er wel voor dat je altijd eindigt met de underscore. Sla dit op en ga naar de volgende stap.

2. Gebruiker admin voorkomen

WordPress gebruikt standaard als gebruikersnaam: ‘admin’. Logisch dat hackers dit weten en alleen nog maar je wachtwoord hoeven te kraken. Kies een lastige gebruikersnaam, later in WordPress kun je een tweede gebruikersnaam kiezen die als schermnaam op je website te zien is. Kies altijd een gebruikersnaam die bestaat uit minimaal 10 tekens. Maak gebruik van grote, kleine hoofdletters, cijfers en tekens. Zo maak je het hackers alweer een stuk lastiger om te kraken. Doe dit ook voor je wachtwoord en sla je wachtwoord veilig op.

WordPress website beveiligen; na installatie

De eerste stappen zijn gemakkelijk zelf uit te voeren bij nieuwe WordPress websites, maar moeilijker bij bestaande WordPress websites. De volgende stappen kunnen gedaan worden na de installatie van WordPress.

1. Bestandsrechten toekennen aan mappen en documenten

Een WordPress installatie bestaat uit mappen en documenten. Deze bestanden en mappen hebben rechten. Gebruikers, eigenaren en bezoekers hebben tot deze mappen en documenten ‘schrijf-toegang’, ‘uitvoer-toegang’ of ‘lees-toegang’. Deze toegang is per map en document te configureren. De rechten worden met 3-cijfers aangegeven. Geef alle mappen, bijvoorbeeld de map wp-admin de cijfers 755. Geef alle documenten, bijvoorbeeld wp-config.php de cijfers 644. Deze code geeft exact de rechten aan voor elke groep.

2. Secret key in wp-config.php wijzigen

In de hoofdmap van je WordPress installatie in de FTP programma vind je een bestand ‘wp-config.php’. Dit kan je openen met bijvoorbeeld een texteditor. In het wp-config.php bestand staan 4 Secret Keys opgeslagen; ‘AUTH_KEY’, ‘SECURE_AUTH_KEY’, ‘LOGGED_IN_KEY’ en ‘NONCE_KEY’. Zoek in het bestand naar deze waardes. Via deze link http://api.wordpress.org/secret-key/1.1/ kun je direct nieuwe en unieke secret keys verkrijgen. Kopieer deze nieuwe keys over de oude keys heen in het bestand ‘wp-config.php’. Sla dit bestand op en upload het opnieuw via FTP naar de hoofdmap.

WordPress website beveiligen; overige bestanden verwijderen

Sommige bestanden kan je verwijderen NA de installatie van WordPress. Deze bestanden heb je niet meer nodig voor gebruik van je WordPress website.

1. Verwijder de volgende bestanden

• wp-config-sample.php
• readme.html
• licence.txt
• install.php

Al deze bestanden zijn overbodig na installatie van WordPress. Hackers kunnen nu niets meer doen om deze standaard bestanden aan te vallen.

Extra tip!

Verwijder ook onnodige plug-ins die je niet meer gebruikt. Ook niet gebruikte plug-ins kunnen nog lekken bevatten waar hackers naar op zoek gaan en kunnen misbruiken. Hetzelfde geldt voor ongebruikte thema’s, ook die kunnen veiligheidslekken bevatten.

Conclusie

Zoals al eerder is gezegd, wordt WordPress wereldwijd veel gebruikt, zowel door particulieren voor een leuke blog als door grote bedrijven met een mooie bedrijfswebsite. Doordat het zo veelvuldig wordt gebruikt, blijft het een interessant CMS voor hackers. Met bovenstaande stappen ben je al aardig in de richting om je WordPress website te beveiligen, maar helemaal 100% veilig ben je nooit. Je kan het hackers echter wel moeilijker maken en hun hackpogingen vertragen.

Met een veiligheidsplug-in zoals WordFence of iTheme security ben je ook al een heel eind op weg. Maar nogmaals: het biedt geen 100% garantie dat je website nooit meer gehackt wordt. Als hackers echt willen inbreken in jouw website, dan lukt het ze uiteindelijk wel, maar je kan het ze wel moeilijker maken door bovenstaande stappen te ondernemen.

Vind je het lastig om dit allemaal zelf te doen, dan staan wij uiteraard voor je klaar. Neem contact met ons op, zodat wij je website met bovenstaande stappen kunnen beveiligen.

© Elita Vijverberg