Je komt er vaak te laat achter. Er gebeurt iets met je website, en je had het kunnen voorkomen door je website beter te beveiligen. In dit stappenplan lees je hoe jij die situatie voor kunt zijn. Vermijd standaard instellingen, zo maak je het hackers moeilijker.
Voorkom dat je WordPress-site gehackt wordt
Voorkomen is beter dan genezen. Volg ons stappenplan om de kans dat je site gehackt wordt aanzienlijk te verkleinen.
1. Prefix in je database
Elke database in WordPress is hetzelfde opgebouwd. Dat maakt het makkelijker voor hackers om in de tabel met ‘users’ te komen en voor zichzelf een nieuw wachtwoord in te stellen.
Tijdens de installatie van je website, kun je bij de inloggegevens van je database een zogeheten ‘prefix’ instellen. Dit zijn twee letters, gevolgd door een laag streepje die aan het begin van elke tabelnaam in de database worden toegevoegd.
Standaard is de prefix wp_, maar je bent helemaal vrij om dit te wijzigen naar iets unieks.
2. Een veilig wachtwoord
Wellicht nogal logisch, maar oh zo vaak het probleem. Mensen kiezen wachtwoorden die ze vooral zelf kunnen onthouden en hebben vaak geen zin om speciale leestekens in te voeren, zoals uit deze reeks:
@#$% ( { } [ ] ( ) / \ ' " ` ~ , ; : . < >
Ook zijn wachtwoorden hoofdlettergevoelig. Maak hier zeker gebruik van. Als je een nieuw wachtwoord instelt, maak dan altijd een combinatie van leestekens, kleine letters, hoofdletters en cijfers. Dan kost het een hacker véél meer tijd om alle combinaties te checken en is het wachtwoord dus een stuk moeilijker te kraken.
Een goede hacker zorgt ervoor dat hij de meest voor de hand liggende wachtwoorden eerst checkt. Dit doet hij niet zelf; daar heeft-ie software voor. De software checkt op alle woorden en namen.
Hulp bij het maken van veilige wachtwoorden? Check deze password generator!
TIP: Hoe onthoud je een moeilijk wachtwoord?
Stel, jouw wachtwoord is ‘oliebol’. Dat is wel erg makkelijk. Laten we dat wat moeilijker maken, maar wel zo dat jij ‘m kan onthouden. Komt-ie.
Omdat we naast letters ook cijfers nodig hebben, vervangen we de ‘o’ door een nul.
0lieb0l
We vervangen de ‘e’ voor een drie.
0li3b0l
We hebben voor optimale beveiliging nog een leesteken nodig. Wat dacht je van een uitroepteken?! Hier vervangen we de ‘i’ door een ‘!’.
0l!3b0l
Je ziet nog steeds wat er hoort te staan, maar een computer kan dit echt niet zomaar raden. Kies een nog langer wachtwoord om het de hacker moeilijker te maken.
Kun jij bijvoorbeeld dit onthouden?
K@@sSc#44F
(kaasschaaf)
Vind je het lastig om de wachtwoorden te onthouden? Sla de wachtwoorden dan automatisch op in je browser. Als je ingelogd bent in je browser, kun je die op elke plek weer tevoorschijn toveren. Om dat nog een stuk veiliger te maken, kun je gebruik maken van software met 2-stappen authenticatie. Hiermee is niet alleen het wachtwoord een vereiste om in te loggen, maar óók een unieke en tijdelijke code.
Zoek je een password generator die veilige wachtwoorden maakt die je kunt onthouden? Dan is XKPasswd misschien wat voor je.
3. CHMOD: Bestanden en mappen op de server beveiligen
De bestanden op je server hebben altijd bepaalde rechten. We kunnen een bestand of map:
- Leesbaar maken – je kunt het bestand openen
- Schrijfbaar maken – je kunt het bestand aanpassen en in het geval van een map kun je dingen toevoegen/verwijderen.
- Uitvoerbaar maken – het bestand mag een nieuw bestand aanmaken of een ander bestand bewerken op de server. Dit is bij sommige bestanden nodig om iets te laten werken op je website.
In veel gevallen wil je dat sitebezoekers bestanden kunnen bekijken, maar ze niet zomaar zelf kunnen bewerken of uploaden. Daarom kun je voor diverse groepen de bovenstaande rechten apart instellen.
A. Eigenaar
B: Gebruikers die tot de groep ‘eigenaren’ behoren
C: Anderen
Door de combinatie van de 3 groepen met de 3 rechten, ontstaan 9 opties die je kunt toewijzen. Dat ziet er zo uit:
Er ontstaat een getal door het aan-en uitklikken van de rechten. Dit getal noemen we de CHMOD-rechten.
Let op verkeerde rechten
Als je de verkeerde rechten aan een bestand toewijst, dan kunnen kwaadwillende hackers virussen op je server uploaden, gevoelige informatie downloaden of je server gebruiken voor criminele activiteiten.
Ben je benieuwd welke CHMOD-rechten je aan je bestanden moet geven?
Lijst bestandsrechten WordPress
- Alle bestanden: 644
- Alle mappen: 775
- wp-config.php: 660
4. De server beschermen tegen hackers
Het is ook belangrijk om te controleren of jouw hosting controleert op hack-aanvallen. Dit kunnen ze doen door IP-adressen te blokkeren, die extreem vaak achter elkaar proberen in te loggen. Vraag bij je hostingpartij na of dit is ingesteld.
5. Beveiligingsplugins in WordPress
Er zijn tal van plugins die je website kunnen beschermen tegen hackers.
Geen /wp-admin meer
De achterkant van je website kun je waarschijnlijk benaderen via www.website.com/wp-admin. Die URL is standaard, dus weer te makkelijk te raden voor hackers en hun software. De plugin iThemes Security (voorheen getiteld Better WP Security WordPress) geeft jou de mogelijkheid een eigen login URL te maken.
6. Hoe minder plugins en thema’s, hoe beter
Als je website helemaal af is, kun je de thema’s en plugins die je niet gebruikt verwijderen. Want, hoe meer plugins of thema’s, hoe meer ingangen er in je site zitten die mogelijk onveilig kunnen zijn.
7. Update zo snel mogelijk
Als er een nieuwe update beschikbaar is voor een plugin of thema, is dat soms omdat er een lek gevonden is. Dat gat is gedicht in de update, dus je doet er verstandig aan om dan direct te updaten. Houd de WordPress-updates goed bij!
8. Maak back-ups
Als jij je site elke dag voorziet van nieuwe content, zul je ook elke dag een back-up moeten maken. Bewaar ze bijvoorbeeld een paar dagen, want als jij pas een paar dagen later door hebt dat je site gehackt is, kun je nog terug naar het moment dat het niet zo was.
TIP: Zorg voor voldoende schijfruimte zodat je makkelijk kunt back-uppen!
Met de eerder genoemde beveiligingsplugin Better WP Security WordPress kun je ook backups maken van je database en bestanden vanuit de wp-admin van je website – al heet die inmiddels anders natuurlijk ;).
Ben je gehackt en kom je er niet uit? Of wil je jouw WordPress uit voorzorg beter laten beveiligen? Onze technische mensen staan voor je klaar. Bel ons op 072-8200251 om zo snel mogelijk geholpen te worden.
Update april 2020:
Nooit meer beveiligingsissues?
Deze blog is van juli 2018 en daarmee is het hoog tijd voor een update! In 2020 zijn WordPress updates een grotere must dan ooit. WordPress is by far het meest populaire platform en daarmee ook het meest kwetsbaar. Door alle plugins en thema’s waarvan je afhankelijk bent is elke plugin of thema die niet wordt geupdatet een risico.
Als internetbureau zijn wij na 10 jaar WordPress overgestapt op een new kid in town. Namelijk: Webflow. Nog niet zo bekend als WordPress maar wat ons betreft de moeite waard om eens naar te kijken. Webflow kent namelijk geen beveiligingsissues.