WordPress is het meest gebruikte CMS ter wereld. Momenteel draait ongeveer 40% van alle websites op WordPress. Helaas is het door zijn populariteit ook erg populair bij hackers. Daarom raden wij je aan om extra beveiliging aan een WordPress website toe te voegen om het risico op hacking te minimaliseren.
Hieronder hebben we een lijst samengesteld met aanbevelingen die je kunt implementeren om een veiligere WordPress site te garanderen:
- Altijd alles bijwerken
- Verwijder plugins en thema's die je niet gebruikt
- Houd de status van de website in de gaten
- Bescherm de wp-admin map met een wachtwoord
- Maak een aangepaste admin-gebruikersnaam aan
- Schakel PHP-uitvoering uit in de map uploads
Altijd alles bijwerken
Een deel van de WordPress updates, verhelpen beveiligingsproblemen die hackers zouden kunnen misbruiken. Het is dus essentieel om zo snel mogelijk te updaten. Je kunt de WordPress-versie, plugins en thema's eenvoudig updaten vanuit de WP Admin. Als je geen toegang hebt tot de WP Admin, kun je de kerninstallatie ook handmatig bijwerken.
Naast de kerninstallatie van WordPress, is het ook essentieel om regelmatig te controleren of er updates beschikbaar zijn voor de geïnstalleerde plugins en thema's.
Tip: Als je niet zelf steeds handmatig wilt updaten, lees dan meer over one.com's Managed WordPress en de geïntegreerde Update Manager.
Verwijder plugins en thema's die je niet gebruikt
Elke plugin en elk thema die je geïnstalleerd hebt, kan een potentieel beveiligingsrisico vormen. Dus hoe minder je hebt, hoe beter.
We raden aan om alle thema's die je niet gebruikt te verwijderen, behalve de standaard WordPress-thema's (Twenty Nineteen, Twenty Twenty, enz.). Hetzelfde geldt voor plugins die je niet langer nodig hebt. Je kunt ze direct verwijderen via de WP Admin of van de webruimte.
Dit geldt ook voor oude WordPress installaties die misschien nog op de webruimte staan, wellicht voor testdoeleinden of als back-up. Deze zijn ook kwetsbaar voor hacks.
Tip: Installeer alleen plugins en thema's van vertrouwde bronnen. Als je een gratis versie van een thema vindt waarvoor je normaal gesproken moet betalen, is er een grote kans dat deze ook "gratis" malware bevat.
Houd de status van de website in de gaten
Zorg ervoor dat je de gratis algemene one.com plugin hebt geïnstalleerd om te profiteren van de handige website-analyse functies zoals Health Monitor.
Health Monitor voert basiscontroles van de website uit, bijvoorbeeld of je de nieuwste WordPress-versie gebruikt. Met deze tool kun je belangrijke beveiligings- en prestatiecontrolepunten in de gaten houden en word je geïnformeerd over problemen die moeten worden aangepakt. Afhankelijk van of alles in orde is, krijg je ofwel "Alles in orde" of een lijst met aanbevelingen met wat er gedaan moet worden.
Tip: Met Health Monitor Pro, opgenomen in de Managed WordPress add-on, kun je dergelijke problemen met slechts één muisklik oplossen.
Bescherm de wp-admin map met een wachtwoord
Blokkeer hackers en bescherm de wp-admin map met een wachtwoord, waarmee je een extra beveiligingslaag toevoegt aan de WordPress administratie.
Je kunt onze handleiding volgen om de website te beschermen met .htaccess. Zorg ervoor dat je alleen de wp-admin map beschermt en niet de hele site. Anders zal de website niet bereikbaar zijn. Plaats de bestanden in de wp-admin map.
Let op: Als er al een .htaccess bestand in de wp-admin map is, voeg dan de gegenereerde code toe aan het bestaande bestand. Vervang deze niet.
Een andere manier om te voorkomen dat hackers misbruik maken van de WordPress-site, is door de WordPress-inlogpagina om te leiden via het one.com configuratiescherm met Advanced Login Protection.
Maak een aangepaste admin-gebruikersnaam aan
Hackers proberen vaak toegang te krijgen tot de WP Admin met een "Brute Force Attack", waarbij robots proberen in te loggen door miljoenen verschillende combinaties te proberen van gebruikersnaam en wachtwoord. We raden je aan om een unieke gebruikersnaam aan te maken om het moeilijker te maken om je inloggegevens te kunnen raden.
Je kunt de gebruikersnaam wijzigen in phpMyAdmin, in de wp_users tabel. Bekijk onze handleiding over hoe je toegang krijgt tot de database.
Zodra je bent ingelogd:
- Zoek de tabel met de naam wp_users (deze kan ook 0_users heten).
- Zoek de admin-gebruikersnaam en klik op Wijzigen.
- Voer achter user_login een nieuwe gebruikersnaam in, in het veld Waarde.
- Klik op Starten, rechtsonder, om op te slaan.
Schakel PHP-uitvoering uit in de map uploads
Als je een handmatige installatie van WordPress hebt gedaan, raden wij je aan de uitvoering van PHP in de uploads-map uit te schakelen. Wanneer je het 1-click installatieprogramma hebt gebruikt, kun je dit gedeelte overslaan. Voor 1-click WordPress-installaties, is PHP-uitvoering standaard uitgeschakeld.
Het is gebruikelijk dat een "PHP-backdoor" zich in de map uploads bevindt. Van daaruit wordt malware verspreid naar andere locaties op de site. Je kunt niet voorkomen dat de backdoor wordt geüpload, maar door PHP-uitvoering uit te schakelen, kun je voorkomen dat de malware zich verspreidt.
Je kunt PHP-uitvoering uitschakelen door deze regels code toe te voegen aan het .htaccess-bestand in de uploads-map (wp-content/uploads).
# Block executables <FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$"> deny from all </FilesMatch>
Bekijk onze handleiding over het maken van een .htaccess-bestand en schakel de bestandsuitvoering uit voor alle noodzakelijke stappen.
Let op: Als je al een bestaand .htaccess-bestand in de uploads-map hebt, hoef je geen nieuw bestand aan te maken. In plaats daarvan kun je de code toevoegen aan het bestaande bestand.
Gerelateerde artikelen: