Tips voor een veilig WordPress gebruik

Wekelijks krijgen wij de vraag: “Hoe kan ik mijn WordPress website veilig houden?”.

De stappen die nodig zijn om uw WordPress website zo veilig mogelijk te houden kunnen per website verschillen. Maar met een aantal basishandelingen is het mogelijk om uw website in ieder geval een stuk weerbaarder te maken tegen ongewenste zaken.

Dit artikel is specifiek gericht op WordPress, maar de meeste zaken gelden ook voor andere software zoals Joomla en Drupal.

Het volgen van de onderstaande tips is op eigen risico.

Updaten

De belangrijkste maatregel die u kunt nemen is updaten! Net zoals u thuis uw software regelmatig update, dient u ook uw “online” software regelmatig te updaten. Voor WordPress en de bijbehorende plugins verschijnen regelmatig updates.

Vanaf WordPress 3.7 worden kleine updates, bijvoorbeeld van v4.2.0 naar v4.2.1, automatisch geinstalleerd. Grote updates, bijvoorbeeld van v4.2.x naar v4.3.x, dient u zelf uit te voeren vanuit het WordPress beheergedeelte. U kunt ook de WP Updates Notifier plugin installeren. U kunt hiermee automatisch een e-mailbericht ontvangen wanneer er updates zijn voor WordPress, plugins en thema’s.

Meer informatie kunt u vinden op WordPress Updaten .

Verantwoord gebruik van plugins

Wees bewust van de plugins en thema’s die u installeert. Verwijder plugins en thema’s die u niet meer gebruikt; wat u niet geinstalleerd heeft kan ook niet worden misbruikt.

Authenticatie

Gebruik moeilijke wachtwoorden om te voorkomen dat vreemden kunnen inloggen op uw website. Ook het toevoegen van captcha’s en ‘2-factor’ authenticatie plugins zullen automatische inlogpogingen tegenhouden.

Toegang tot het beheergedeelte beperken

Een simpele truuk om te voorkomen dat vreemde mensen kunnen inloggen op het beheergedeelte is om deze alleen toegankelijk te maken voor uzelf.

U dient een bestand (deze noemt u .htaccess) op uw computer te maken met de volgende tekst er in:

order deny,allow
deny from all
allow from 1.2.3.4

Bij 1.2.3.4 moet u uw eigen IP-adres invullen. Deze kunt u opvragen door naar Wat is mijn ip? te gaan. Vervolgens upload u dit bestand in uw /wp-admin map. Alle bezoekers die nu /wp-admin proberen te bezoeken zullen een 403 foutmelding krijgen en hebben geen toegang tot het beheer gedeelte.

Let op: uw IP-adres kan regelmatig veranderen. In dit geval dient u bovenstaande stappen te herhalen.

Schakel comments uit

Indien mogelijk adviseren wij u om comments uit te schakelen.

Verhullen

Om het allemaal wat moelijker te maken is het ook mogelijk om te verhullen dat u gebruik maakt van WordPress. Een paar voorbeelden:

  • Hide My WP – Verbergt dat je WordPress gebruikt (niet gratis!)
  • Swif Security Pro – Verbergt dat je WordPress gebruikt en meer (niet gratis!)

Pas op met commerciele content

Download commerciele plugins en thema’s alleen vanaf de site van de ontwikkelaar. Er zijn marktplaatsen op internet waar je “gratis” of voor een klein bedrag dezelfde commerciele content kan downloaden. Echter loop je hierbij het risico dat de content voorzien is van kwaadaardige code of een achterdeur voor hackers openzet binnen uw website. Op tweakers.net staat meer informatie.

Eigen tips?

Heeft u nog goede WordPress tips voor een veilig WordPress gebruik? Laat het ons weten!