Je hoeft helemaal niet technisch te zijn om toch de basis van je WordPress website zo goed op orde te hebben dat je je geen zorgen hoeft te maken over de veiligheid van je website. 8 tips.
1. Pas je gebruikersnaam aan als dit ‘admin’ is
Gebruik je nog steeds de gebruikersnaam ‘admin’? Dit is absoluut niet veilig. De standaard gebruikersnaam voor het beheerdersaccount van WordPress is namelijk ‘admin’ en hackers weten dat. Je geeft daarmee een aanvaller al de helft van de inloggegevens voor jouw site in handen. Ze hoeven nu alleen nog maar het wachtwoord te raden.
Het veiligst is trouwens een gebruikersnaam die aan dezelfde eisen voldoet als een veilig wachtwoord: grofweg minimaal 8 tekens, en bestaande uit een combinatie van hoofd- en kleine letters, cijfers en speciale tekens.
Het aanpassen van je gebruikersnaam is in WordPress is vrij simpel als je de stappen volgt in mijn artikel Gebruikersnaam wijzigen in WordPress en Joomla.
2. Gebruik een veilig wachtwoord
Een wachtwoord dat niet gemakkelijk door anderen te raden is noem je een veilig of sterk wachtwoord. Zo’n wachtwoord voldoet in elk geval aan onderstaande eisen:
- bestaat uit minimaal 10 tekens
- bevat minimaal 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 leesteken (bijv. ?, ! of %)
- heeft niet een bepaalde ‘logica’ (bijv. opeenvolgende cijfers of letters, bestaande woorden)
Veilige wachtwoorden kunnen lastig te onthouden zijn vooral als je, zoals wordt aangeraden, voor elke site een ander wachtwoord gebruikt. Toch kun je met een simpel trucje veilige wachtwoorden maken die je wél kunt onthouden. Lees in mijn artikel Hoe veilig is jouw wachtwoord? hoe je meerdere veilige wachtwoorden verzint die je goed kunt onthouden.
3. Houd WordPress up-to-date
Een van de meest voorkomende redenen van gehackte WordPress website is het gebruik van een verouderde versie. Het is belangrijk om je installatie up-to-date te houden. WordPress laat op je Dashboard weten wanneer er een nieuwe versie uit is. Volg de aanwijzingen om de nieuwe versie te installeren. In veel WordPress installaties worden veiligheidsupdates automatisch geïnstalleerd en heb je er geen omkijken naar.
4. Vermijd slechte thema’s
Download gratis thema’s alleen via een vertrouwde bron, zoals wordpress.org. Als je een thema wilt kopen, schaf het dan aan via een betrouwbare site als ThemeForest. Download nooit thema’s via sites die niet-gratis thema’s gratis aanbieden (warez-sites). Deze thema’s bevatten vaak aanpassingen waardoor je site door een hacker gemakkelijk voorzien kan worden van kwaadaardige code.
5. Gebruik betrouwbare plugins
Sommige plug-ins zijn niet goed geprogrammeerd en kunnen daarmee de deur open zetten voor hackers. Haal je plug-ins altijd binnen via WordPress en lees de reviews goed door. Download geen plugins via warez-sites.
6. Houd plugins up-to-date
Ook plugins moeten up-to-date gehouden worden. Deze zijn namelijk vaak erg kwetsbaar voor veiligheidslekken. In het Dashboard wordt gemeld als er een nieuwe versie beschikbaar is. Volg de aanwijzingen om de update te installeren.
WordPress en plugin updates met controle
In al onze hostingpakketten worden WordPress en de plugins van je website automatisch up-to-date gehouden als je WordPress via je hostingpakket hebt geïnstalleerd. Heb je een Managed WordPress Hosting Extra of Compleet hostingpakket, dan controleren we na elke update je website uitgebreid op goede werking. Als blijkt dat je website problemen heeft met een update, lossen we dat op.
7. Verwijder ongebruikte plugins en themes
Plugins en themes die je niet gebruikt kun je beter verwijderen. Je hoeft dan niet meer in de gaten te houden of er updates voor uitkomen en loopt niet het risico dat een eventueel veiligheidslek in de plugin of het theme misbruikt kan worden om op jouw website in te breken.
Als er nooit updates voor een plugin uitkomen, dan kan het zijn dat de ontwikkelaar is gestopt met het verder ontwikkelen van de plugin. Daardoor kan de plugin inmiddels onveilig zijn. Op de site van WordPress kun je controleren wanneer de laatste update is uitgekomen en of er een waarschuwing voor geldt. Gebruik je een plugin die niet verder ontwikkeld wordt, dan is het beter om de plugin te deactiveren en te verwijderen en een alternatief te zoeken en te installeren.
8. Beperk het aantal toegestane inlogpogingen
Door het maximaal aantal toegestane inlogpogingen per IP-adres te beperken, beveilig je je website tegen inlogpogingen met willekeurige gebruikersnamen en wachtwoorden. Hackers gebruiken kleine, automatische programmaatjes (scripts) die geautomatiseerd vele combinaties per minuut kunnen uitproberen. Als je de plugin Limit Login Attempts Reloaded niet ziet staan bij je plugins, installeer deze dan. Dit kan ook via je hosting control panel.
- Log in op DirectAdmin.
- Klik op het icoon van je WordPress website (onder het kopje My Applications).
- Selecteer Yes, limit failed login attempts for increased security. (Recommended).
- Scrol naar beneden klik op Save All. De plugin Limit Login Attempts Reloaded is nu geïnstalleerd en ook meteen geactiveerd in je WordPress website.
