Hoe populairder een bepaalde ICT-oplossing is, des te groter wordt de kans dat criminelen menen daar een slaatje uit te moeten slaan. En door de enorme populariteit van WordPress heeft het systeem recent dan ook een aantal aanvallen te verduren gekregen. Vele WordPress sites zijn door hackers gekraakt!
Maar hoe voorkom je dat dat je gebeurt? Natuurlijk heb je geen garanties. Maar net als bij een normale woning geldt ook voor een website: wil iemand per sé schade bij je aanrichten dan zal dat waarschijnlijk lukken. Een inbreker komt vrijwel altijd binnen als het echt moet. Maar je kunt er wel veel aan doen om het zo moeilijk mogelijk te maken en daarmee in ieder geval ‘gelegenheidsinbrekers’ af te schrikken. Het belangrijkste dat je moet beseffen is dat je de beveiliging van je website niet op kunt lossen door het installeren van een plugin. Natuurlijk, plugins zijn er om je te helpen en dat geldt als het gaat om de beveiliging van WordPress. Maar bewustwording is veel belangrijker. Besteed jij nooit aandacht aan de beveiliging van je WordPress website? Dat kan heel lang goed gaan, maar… vul zelf maar in.
Tijd om eens even te kijken welke stappen je eenvoudig zelf kunt nemen.
Stap 1: Gebruik geen admin account
In de oude versies van WordPress werd het systeem standaard altijd geïnstalleerd met een account genaamd ‘admin’. Die is voor inbrekers aantrekkelijk, want dan hoeven ze de gebruikersnaam alvast niet meer te raden. Wellicht heb jij steeds upgrades uitgevoerd van WordPress en bestaat je admin account nog steeds? Tijd om hem te verwijderen! Doe het volgende:
- Maak een nieuwe gebruiker aan met administrator (beheerder) rechten. Heb je die ooit al eens extra aangemaakt dan kun je deze stap natuurlijk overslaan.
- Login als de nieuwe gebruiker. Verwijderd vervolgens de gebruiker ‘admin’ en koppel eventuele bestaande artikelen aan de gebruiker die je hiervoor hebt aangemaakt.
Heb je een nieuwere installatie van WordPress dan heb je hoogstwaarschijnlijk geen admin-gebruiker, omdat je tijdens de installatie zelf de gebruikersnaam mocht kiezen. Ook dan kan het nog zinvol zijn om deze gebruiker te verwijderen en een nieuwe aan te maken. De eerste gebruiker wordt in de database namelijk altijd vast gelegd met Id=1. Ook dat weten hackers en dat biedt ze dus een extra mogelijkheid tot het achterhalen van je inloggegevens.
Stap 2: Beveilig de wp-admin folder
In de wp-admin folder van je WordPress installatie bevinden zich alle bestanden waarmee je je website beheert. Liever houd je kwaadwillenden buiten de deur. Door een .htaccess bestand te plaatsen in je wp-admin map zorg je ervoor dat je alleen nog toegang krijgt tot het WordPress admin deel vanaf Ip-adressen die je vooraf zelf hebt gedefinieerd. Maak met een teksteditor een bestand aan. Noem deze bijvoorbeeld htaccess.txt, want zeker op Windows-machines lukt het je niet om direct een .htaccess aan te maken.
order deny,allow deny from all # IP adres 1 allow from xx.xx.xx.xxx # IP adres 2 allow from xx.xx.xx.xxx
Op de plek waar je de xx.xx.xx.xxx ziet staan vul je je eigen ip-adres in. Dat herhaal je voor elke locatie van waaruit je toegang wilt krijgen tot het WordPress Dashboard. Geen idee wat je eigen ip-nummer is? Ga dan even naar Whatismyip.com. De htaccess.txt stuur je met je ftp tool (bijv. Filezilla) naar je webserver in de wp-admin map. Hernoem het bestand daarna naar .htaccess.
Stap 3: Doe je updates
Wanneer je je concentreert op de inhoud van je website is het eenvoudig om beveiliging uit het oog te verliezen. Een essentieel onderdeel van is het verzorgen van je updates. Zeker die van WordPress zelf, maar ook die van je theme en de plugins die je gebruikt. Juist oudere themes vormen een gevaar!
Vergeet niet om plugins die je niet (meer) gebruikt te verwijderen en hetzelfde geldt voor themes. Denk er wel aan om te zorgen voor recente backups voordat je updates uitvoert.
Stap 4: Toch een plugin
In mijn boek Kickstart WordPress ga ik in op het gebruik van één van de populairdere plugins op het gebied van beveiliging: Wp Security Scan, tegenwoordig WSD Security genoemd als je de plugin eenmaal hebt geinstalleerd. De plugin is handig, omdat het je wijst op mogelijke beveiligingsproblemen in je website.
Is hiermee alles opgelost en ben je helemaal veilig? Nee, dat niet helaas. Maar het is een begin en het opvolgen van deze eenvoudige beveiligingstips zorgt in ieder geval voor een slot op de deur.
LEER ALLES OVER GUTENBERG
Nieuw e-book over WordPress 5 nu gratis downloaden. Bomvol de beste Gutenberg Tips & Trucs
Na je inschrijving ontvang je direct het gratis e-book. Daarna zenden we je 1x per maand de gratis WordPress nieuwsbrief. Je mailadres is veilig bij ons, géén spam!
Weer bruikbare tips van Robbert! Als aanvulling kun je ook nog zorgen dat je database prefix niet standaard op wp_ staat, maar verzin een beter prefix. Verder kun je wp-config.php een mapje hoger zetten, wordpress zal deze dan automatisch vinden (werkt echter niet altijd, maar is het proberen waard).
Dank voor je aanvulling René! De database prefix is inderdaad helemaal waar, maar die behandel ik al in mijn boek als onderdeel van de installatieprocedure. Vandaar dat ik hem hier niet heb genoemd. De truc vd wp-config kende ik ook, maar ik merk dat het inderdaad lang niet altijd werkt en ik wilde even voorkomen dat ik berichten zou gaan ontvangen van lezers in de trant van “help, ik heb je tips gevolgd en nu doet mijn hele website het niet meer!”. Hoewel, dat kan je ook gebeuren als je de htaccess tip verkeerd toepast.
Bruikbare tips?
Ik weet het niet. Misschien voor angstige mensen.
Alle beveiligingen zijn te kraken. En wat veel tijd ben je daarmee niet kwijt. Tijd die je beter besteden voor leuke dingen.
Ik heb niet eens een virusscan…..
Ik ben liever naief dan angstig.
Of er in je systeem wordt ingebroken wordt niet bepaald door de kans daarop. Daar verlaat ik me maar op Robbert
Ik mag hopen dat Rob hierboven geen IT-er is!!! Want die komt de waarheid nog eens hard tegen ben ik bang.
Als je bijvoorbeeld een telefoontje van de bank krijgt, dat er van zijn computer/rekening uit 5k wordt overgeschreven naar een poolse bank… die dingen gebeuren!
Hij zal ook wel de nodige ervaring hebben met SOA’s lijkt me…