Veel van onze klanten gebruiken WordPress als basis voor hun website, weblog, webwinkel of app. Omdat WordPress zo populair is, is deze ook vaak doelwit van hackers en andere kwaadwillende. Hier vertellen wij u over de maatregelen welke wij op dit moment al nemen om dit zoveel mogelijk te voorkomen maar vertellen wij u ook hoe u zelf uw WordPress website beter kan beveiligen.

Wijzelf nemen al diverse maatregelen om misbruik bij door ons gehoste WordPress websites zoveel mogelijk te voorkomen. Zo scannen wij dagelijks op softwarelekken en malware en lossen wij dit soort problemen automatisch op, checken we voor virussen en worden deze automatisch in quarantaine geplaatst en worden websites in een eigen container geplaatst zodat deze geen last van elkaar hebben.

Naast dit alles zijn er ook een aantal dingen die u zelf kunt doen om uw website zo goed mogelijk te beveiligen. WordPress is een razend populair Content Management System en daardoor zijn er vele tienduizenden plug-ins voor beschikbaar. Enkele van deze plug-ins zijn zeer goed te gebruiken voor het gratis beveiligen van uw website. We zetten hieronder een aantal van deze plug-ins voor u op een rij:

Plug-in: iThemes Security

Misschien wel één van de beste manieren om uw WordPress website te beveiligen. Nadat u deze plug-in heeft geïnstalleerd krijgt u een soort stappenplan te zien met daarin actiepunten welke u kunt gebruiken om de beveiliging van uw website te verbeteren. We adviseren u zoveel mogelijk van deze punten uit te voeren zodat de beveiliging van uw website aanzienlijk toe zal nemen. Pas wel op, sommige van deze punten kunnen invloed hebben op de werking van uw website. Dit staat er ook bij als dit het geval is.

Plug-in: Wordfence Security

Met de plug-in WordFence kunt u periodiek of handmatig uw gehele website checken op verdachte bestanden, mochten er bestanden worden gevonden welke niet deel uitmaken van uw WordPress installatie dan kunnen deze verwijderd worden of in quarantaine worden geplaatst. Ideaal als uw website mogelijk al besmet is met een virus, phising software of malware.

Check uw rechten, plug-ins en versie

Geen plug-in maar daardoor niet minder belangrijk. Zorg ervoor dat elke map, elk bestand de juiste rechten bezit. Op https://codex.wordpress.org/Changing_File_Permissions vindt u een overzicht van de rechten. Plug-ins worden regelmatig bijgewerkt, en met goede reden… het gebeurt regelmatig dat plug-ins zorgen voor een kritiek lek in een WordPress website. Zorg er daarom voor dat uw plug-ins up2date zijn en dat u regelmatig controleert of er nieuwe updates voor uw plug-ins beschikbaar zijn.

Zorg er ook voor dat uw WordPress website up2date is, via DirectAdmin kunt u uw WordPress website aan Installatron koppelen zodat kleinere updates en patches automatisch kunnen worden geïnstalleerd. Grotere updates kunt u het beste zelf installeren om zo te voorkomen dat uw website het niet meer doet na een wijziging bij WordPress of één van de door u gebruikte plug-ins.

Verander uw gebruikersnaam

Kies voor een andere gebruikersnaam dan ‘admin’. Kies bij de installatie van uw WordPress website voor een andere gebruikersnaam en combineer deze met een sterk wachtwoord - 15 karakters, hoofd- en kleine letters, cijfers en symbolen. Bij de installatie van een WordPress website wordt ook om een zogeheten database prefix gevraagd, standaard is dit wp_. We adviseren u gebruik te maken van een eigen prefix.

Het kiezen voor een andere gebruikersnaam is bij bestaande WordPress installaties eenvoudig te regelen doormiddel van het administrator gedeelte. De keuze voor een andere database prefix is te regelen doormiddel van de plug-in iThemes Security. Let wel dat wij u adviseren een back-up van uw database te maken voordat u de prefix van uw bestaande database door iThemes Security laat wijzigen.

Meest misbruikte onderdelen

Bij WordPress installaties worden veelal 2 zaken misbruikt:

Het xmlrpc.php bestand

Dit bestand wordt vaak misbruikt door er een groot aantal verzoeken naar toe te zenden. Veelal overbelast de website hierdoor waardoor deze ontoegankelijk wordt. Het xmlrpc bestand wordt bijvoorbeeld gebruikt om via de WordPress iOS app berichten te kunnen plaatsen. Met de plug-in iThemes Security kunt u de werking van dit bestand (deels) uitschakelen zodat er geen misbruik van kan worden gemaakt.

/wp-admin of wp-login.php

Omdat WordPress de administrator interface plaatst op /wp-admin en /wp-login.php zijn deze adressen vaak het doelwit van bruteforce aanvallen. Zo’n aanval is bedoeld om achter uw inloggegevens te komen en zo misbruik te maken van uw WordPress installatie. Met de plug-in iThemes Security kunt u de locatie van de administrator interface eenvoudig naar een ander zelfgekozen adres verplaatsen.

Dit zijn zomaar een aantal tips waarmee u uw WordPress beter kan beveiligen en kan voorkomen dat deze wordt misbruikt. Zo zijn er natuurlijk talloze welke wij helaas niet allemaal in dit blog kunnen bespreken.

Mocht u nou de wens hebben uw website beter te beveiligen maar hiervoor niet de nodige kennis hebben of u durft het niet aan? Maak dan gebruik van onze website service. Wij zorgen er dan voor dat uw WordPress website niet alleen grondig wordt opgeschoond maar ook goed wordt beveiligd.