Roger.Overdevest
Meer dan 30 procent van alle websites gebruikt WordPress. Doordat WordPress zo veel gebruikt wordt zijn er veel hackers die proberen om WordPress-websites te hacken. Een gehackte WordPress-website is voor niemand leuk. De checklist op deze pagina helpt je om te controleren of jouw WordPress-website goed beveiligd is.
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.
Om meer te lezen over de beveiliging van je WordPress-website, raad ik je aan de volgende artikelen te raadplegen:
- WordPress beveiligen: een uitgebreide handleiding »
- WordPress gehackt? Een hack oplossen en voorkomen »
Checklist WordPress beveiligen
Inhoud
- Checklist WordPress beveiligen
- Kies een betrouwbare hostingpartij
- Zorg dat je website alléén via HTTPS bereikbaar is
- Controleer gebruikersaccounts en hun rechten
- Zorg dat alle gebruikers een sterk wachtwoord hebben
- Zorg dat de gebruikersnaam van de beheerder géén “admin” is
- Update plugins, themes en WordPress zelf regelmatig
- Maak regelmatig (automatische) backups van je WordPress-website
- Salts and Keys
- Verwijder het readme.html bestand
- Verwijder inactieve plugins en themes
- Beperk het aantal login-pogingen (Limit Login Attempts)
- Gebruik een sterk wachtwoord voor je MySQL-database
- Zet e-mailnotificaties aan in Google Search Console
- Verander je database table prefix
- Verander regelmatig je WordPress-wachtwoord
- Verander regelmatig het wachtwoord van je FTP-account
Via de onderstaande knop kun je onze checklist gratis downloaden als PDF. Je kunt deze uitprinten, doorsturen en gebruiken zo vaak en hoe je wilt.
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!
Bekijk de themes »»
Lees meer over Divi.
Checklist: WordPress beveiligen
Handige checklist om de beveiliging van je WordPress-website te controleren.
Gratis PDF »
Lees verder voor meer uitleg bij de verschillende onderdelen van onze checklist!
Kies een betrouwbare hostingpartij
Eén van de belangrijkste factoren voor de beveiliging van je WordPress-website is het kiezen van een betrouwbare hostingpartij. Een goede hostingpartij zorgt er namelijk voor dat servers veilig zijn en niet gehackt kunnen worden. Bovendien wordt er door goede hostingpartijen zoals Bizway en Cloud86 pro-actief gemonitord of er lekken of veiligheidsproblemen voorkomen.
Zorg dat je website alléén via HTTPS bereikbaar is
Een SSL-certificaat is tegenwoordig een “must have” voor iedere (WordPress-)website. Al het verkeer op je website wordt versleuteld als je gebruikmaakt van een SSL-certificaat en HTTPS forceert.
Lees ook: WordPress & HTTPS: SSL-certificaat installeren op je WordPress-site?
Controleer gebruikersaccounts en hun rechten
Bij iedere gebruikersrol in WordPress horen verschillende rechten. Zorg ervoor dat je gebruikers niet méér rechten krijgen dan ze ook daadwerkelijk nodig hebben! Lees ook ons artikel Gebruikersrollen en rechten in WordPress. Naast het controleren van de rechten van elke gebruiker is het ook aan te raden om ongebruikte accounts te verwijderen of hun rol te veranderen naar “Abonnee” – een rol waarmee een aanvaller geen schade kan aanrichten.
Zorg dat alle gebruikers een sterk wachtwoord hebben
Je kunt een plugin gebruiken zoals Force Strong Passwords om gebruikers op jouw WordPress-website te dwingen om een sterk wachtwoord te gebruiken. Zo weet je zeker dat er geen mensen zijn met het wachtwoord “qwerty”.
Zorg dat de gebruikersnaam van de beheerder géén “admin” is
Vroeger was de standaard gebruikersnaam van de “Administrator” van iedere WordPress-website “admin”. Inmiddels is dat niet meer zo, maar voor oudere WordPress-websites geldt dat deze vaak nog een gebruiker hebben die “admin” heet. Dit kan echt niet! Verander deze zo snel mogelijk in iets dat minder voor de hand ligt.
Update plugins, themes en WordPress zelf regelmatig
Zorg dat je plugins, themes én WordPress zelf regelmatig geüpdatet worden naar de laatste versie. Themes, plugins en WordPress worden vaak geüpdatet om beveiligingsproblemen op te lossen. Het is dan ook heel belangrijk dat je deze updates installeert.
Maak regelmatig (automatische) backups van je WordPress-website
Als je website tóch een keer gehackt wordt is het wel zo fijn als je een (recente) backup hebt die je kunt terugzetten. Zorg daarom dat er regelmatig automatisch backups worden gemaakt van je website. Veel hostingpartijen doen dit standaard, maar toch is het ook fijn om ergens anders nog een backup te hebben. Bijvoorbeeld in Google Drive.
Salts and Keys
In het wp-config.php-bestand staan onder andere “salts and keys“. Dit zijn een paar regels code die je het best af en toe kunt vervangen door nieuwe salts and keys te gebruiken. Door hier te klikken krijg je automatisch een nieuwe willekeurige reeks tekens die gebruikt kan worden.
Verwijder het readme.html bestand
Standaard bevat WordPress een readme.html-bestand. Hieraan kunnen hackers vaak zien welke versie van WordPress je gebruikt en dus welke kwetsbaarheden jouw website eventueel bevat. Verwijder dit bestand dus zodat het iets minder makkelijk wordt om te zien welke versie van WordPress je gebruikt.
Verwijder inactieve plugins en themes
Zorg dat je themes en plugins die je niet gebruikt volledig verwijdert van je WordPress-website. Deactiveer ze dus niet alleen, maar verwijder ze volledig van je website.
Beperk het aantal login-pogingen (Limit Login Attempts)
Zorg dat iemand niet oneindig vaak kan proberen om in te loggen. Met een plugin als Limit Login Attempts zorg je ervoor dat iemand na drie foutieve login-pogingen voor minimaal 15 minuten wordt geweerd uit de WordPress-admin.
Gebruik een sterk wachtwoord voor je MySQL-database
Om te voorkomen dat iemand je MySQL-database kan hacken is het belangrijk dat je een sterk wachtwoord gebruikt voor de gebruiker van je database. Vaak is het wachtwoord hetzelfde als de gebruikersnaam. Dit is heel voorspelbaar en kun je daarom beter niet doen!
Zet e-mailnotificaties aan in Google Search Console
Koppel je website aan Google Search Console zodat Google je op de hoogte houdt van eventuele security issues op je website. Google is heel pro-actief in het herkennen van malware en zal jou als website-eigenaar een bericht sturen als er problemen zijn gevonden.
Verander je database table prefix
De standaard “prefix” voor tabellen in je WordPress-database is “wp_”. Dit is erg voorspelbaar en kun je beter veranderen in een willekeurige reeks cijfers en letters. Dit kun je instellen tijdens het installeren van WordPress maar je kunt het ook later nog aanpassen.
Lees ook: How to Change the WordPress Database Prefix to Improve Security (EN)
Verander regelmatig je WordPress-wachtwoord
Tegenwoordig gebruikt bijna iedereen een programma als LastPass om wachtwoorden te onthouden. Er is dus geen excuus meer om niet regelmatig je wachtwoorden te veranderen! Doe dit ook met het wachtwoord van je WordPress-account. Gebruik eventueel een plugin als Force Password Change om ook andere gebruikers te “dwingen” regelmatig hun wachtwoord te veranderen.
Verander regelmatig het wachtwoord van je FTP-account
Een andere manier voor hackers om in te breken is via FTP. Het is daarom aan te raden om ook regelmatig het wachtwoord van je FTP-account te wijzigen. Bij sommige hostingpartijen zoals Cloud86 kun je ook instellen dat alléén bepaalde IP-adressen kunnen inloggen via FTP.
Robin
Mark Hagendijk
Reageer