Tips
Je Wordpress-omgeving beveiligen: hier moet je op letten
Niemand wil wakker worden met het bericht dat je website plots een foutmelding over de database geeft. Of nog erger: dat heel je website is overgenomen door een aanval van buitenaf. Toch is het nog altijd aan de orde van de dag, vaak door achterstallig onderhoud en ondermaatse beveiliging. Gelukkig is het niet heel moeilijk om je Wordpress-omgeving veilig te houden. Ik geef je wat tips, zodat situaties als deze voorkomen kunnen worden.
Het veilig houden van je Wordpress-website is essentieel, want ongeacht de grootte van je website: iedere website kan een doelwit worden. Ook als je dagelijks maar tientallen bezoekers krijgt, kan jouw installatie misbruikt worden voor kwaadaardige doeleinden. Denk bijvoorbeeld aan het versturen van spam-mails via jouw domein, of het omleiden naar malafide websites. Daar zit natuurlijk niemand op te wachten en levert alleen maar extra zorgen op. Daarom is het goed om je beveiliging op orde te houden met wat simpele stappen.
Kies voor een goede hostingpartner
De eerste stap om je Wordpress-website veilig te houden heeft niet eens iets met Wordpress zelf te maken. Dat is namelijk je hosting – de plek waar jouw website digitaal wordt gestald. Een goede hosting partner vangt namelijk al veel van de klappen richting je website op. Zo kan deze zorgen dat je belangrijkste plugins up-to-date blijven, je website op de laatste versie van PHP draait en je domein voorzien is van een SSL-certificaat zodat interacties en transacties beveiligd zijn.
Bij Brendly werk ik exclusief samen met het Nederlandse WP Provider, een hostingprovider met een focus op WordPress-websites. Bij het team van WP Provider staat veiligheid hoog in het vaandel en worden zaken als core-updates, server beveiliging en dubbele back-ups dagelijks bijgewerkt om te zorgen dat je vanaf dag 1 je website op een veilige basis kan bouwen.
Benieuwd naar welke veiligheidsmaatregelen WP Provider treft? In hun blogartikel lees je daar alles over.
Beperk plugins en schakel onnodige uit
Het mooie aan Wordpress is dat bijna alles op te lossen valt met een plugin, maar daar schuilt ook direct het gevaar. Plugins die veel functies aan je website toevoegen kunnen deze namelijk niet alleen traag maken, maar ook een beveiligingsgevaar vormen. Plugins met slecht onderhouden code zijn een vaste prooi voor hackers en andere malafide figuren, dus deze wil je zo min mogelijk in je website hebben.
Het kan dan ook geen kwaad om met enige regelmaat eens naar je plugin lijst te kijken en na te gaan of plug-ins nog up-to-date en nodig zijn. Mocht een plugin bijgewerkt kunnen worden, doe dat dan één voor één om te kijken of de update geen nadelige gevolgen heeft voor je website. Zie je plugins die helemaal uit kunnen? Doe dat dan meteen en vergeet ze niet te verwijderen – ondanks dat een plugin gedeactiveerd is, staat deze nog wel op je server en blijft het dus een mogelijk doelwit.
Mocht je nieuwe plugins nodig hebben om je website aan te vullen met nieuwe functies, dan is het goed om eerst te kijken of je niet al een plugin hebt die deze functie bevat. Als dat niet het geval is, adviseren we altijd om alleen plugins te downloaden uit vertrouwde bronnen. Denk aan de plugin-database van Wordpress zelf of grote ontwikkelaars zoals WPEngine en OnTheGo Systems.
Let bij de plugin-database van Wordpress ook altijd even op de recensies van een plugin, hoe vaak deze is geïnstalleerd en wanneer deze voor het laatst is bijgewerkt. Mocht je twijfels hebben, kijk dan eerst of je de plugin op een losse omgeving kan installeren om deze veilig door te testen. Mocht je hierbij hulp nodig hebben? Neem dan contact met mij op en ik help je graag verder.
Wees een admin in functie, niet in naam
Veel aanvallen van hackers zijn geautomatiseerd en proberen op basis van eerdere patronen binnen te komen bij je website. Een simpel voorbeeld is het proberen van de combinatie ‘admin’ & ‘password’ voor je gebruikersnaam en wachtwoord. Het klinkt dan ook vanzelfsprekend, maar zorg dat je geen gebruikers in je Wordpress-systeem hebt met de gebruikersnaam ‘admin’ of ‘webmaster’, maar unieke gebruikersnamen die duidelijk van elkaar verschillen.
Datzelfde gaat natuurlijk ook op voor de wachtwoorden. Maak unieke wachtwoorden aan voor ieder account en zorg dat je niet voor tal van websites dezelfde gegevens gebruikt. Idealiter laat je jouw wachtwoorden door een password manager maken en beheren. Zo weet je dat jouw wachtwoorden veilig zijn en niet makkelijk gekraakt worden.
Om de loginbeveiliging van je website compleet te maken, adviseer ik ook om twee-factor authenticatie in te schakelen (ook wel bekend als 2FA). Middels een plugin als WordFence of All-In-One Security voor Wordpress doorloop je gemakkelijk de stappen om je account extra te beveiligen. Deze plugins geven je dan ook meteen advies over hoe je jouw Wordpress-installatie verder kan beveiligen.
Geef het uit handen
Gaat je hoofd al draaien van termen als twee-factor authenticatie, core-updates of phishing aanvallen? Dan is er ook nog altijd de optie om je website actief te laten beheren door een website partner zoals Brendly. Ik loop dan met regelmaat je website na, hou je plugins zo veel mogelijk up to date en controleer op andere beveiligingsrisico’s. Zo kan jij met een gerust hart focussen op je onderneming terwijl je website in de lucht blijft.
Heb je vragen of wil je in gesprek over wat ik voor je website kan betekenen? Neem dan contact met mij op- ik sta je graag te woord.
Klaar voor je beste website ooit? Michiel helpt je graag verder
Reviews: