Wil je er zeker van zijn dat je WordPress website veilig is? Dan is een WordPress beveiligingsaudit een manier om een volledige checklist te doorlopen. In dit artikel laten we zien hoe je eenvoudig een WordPress beveiligingsaudit kunt uitvoeren terwijl de website gewoon online blijft.
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.
Inhoud
Het risico op malware op je WordPress website wil je natuurlijk zo laag mogelijk houden. Hoe veiliger een website is, hoe creatiever hackers moeten zijn om de website te besmetten. Is je website toch besmet geraakt met malware? Volg dan ons artikel malware verwijderen van je WordPress website of neem contact op met WPLounge.
Wat is een WordPress beveiligingsaudit?
Een WordPress beveiligingsaudit is de website controleren op potentiële veiligheidsproblemen. Je kunt een controle uitvoeren en zo verdachte activiteiten, kwaadaardige code of ongebruikelijke vertraging van de website detecteren. De basistools van WordPress bevatten eenvoudige stappen die je handmatig kunt uitvoeren. Voor een diepgaande audit zijn er WordPress beveiligingstools beschikbaar om de controles automatisch te laten uitvoeren.
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!
Bekijk de themes »»
Lees meer over Divi.
Een WordPress beveiligingsaudit regelmatig uitvoeren
Het advies is om regelmatig een beveiligingsaudit uit te voeren. Door preventief één keer per kwartaal de website te controleren stelt je in staat om een beveiligingslek op te lossen voordat het problemen kan veroorzaken. Als je echter iets verdachts ziet, voer je de audit natuurlijk onmiddellijk uit. Welke signalen zijn dat?
- Je WordPress website is ineens erg traag
- Er staan verdachte links op je website
- Er zijn nieuwe verdachte accounts, veel inlogpogingen of verzoeken om nieuwe wachtwoorden
- Een drastische afname van het websiteverkeer
WordPress beveiligingsaudit: de checklist
We hebben een aantal stappen op een rij gezet om standaard WordPress checks uit te voeren op je website.
WordPress updates
WordPress updates bevatten vaak patches voor beveiligingsproblemen en verbeteren de prestaties van je WordPress website. Zorg er dus voor dat WordPress, alle plugins en het thema up-to-date zijn. Je kunt dat eenvoudig doen door in het dashboard naar de pagina Dashboard » Updates te gaan.
WordPress laat op deze pagina alle beschikbare updates zien en je kan meteen de updates uitvoeren.
Controleer gebruikersaccounts en wachtwoorden
Vervolgens ga je opzoek naar verdachte gebruikersaccounts. Alle gebruikersaccounts zijn te bekijken via Gebruikers » Alle gebruikers. Ga opzoek naar accounts die er niet horen en verwijder deze. Wanneer je een WooCommerce webwinkel of WordPress ledenwebsite hebt, zijn er uiteraard meerdere accounts aanwezig van klanten om in te loggen.
Wanneer je wilt voorkomen dat gebruikers kunnen registreren via je website, kan je deze optie uitschakelen bij: Instellingen » Algemeen en schakel het selectievakje uit bij ‘Iedereen kan zich registreren‘.
Wat betreft wachtwoorden, wijzig meteen het beheerderswachtwoord en gebruik een sterk wachtwoord van minimaal 10 karakters.
Een online beveiligingsscan uitvoeren
De volgende check is het uitvoeren van een online beveiligingsscan om de WordPress website te controleren op beveiligingsproblemen. Gelukkig zijn er verschillende online scanners beschikbaar. Wij raden aan om de scanner van Sucuri.net te gebruiken
Deze online tools zijn goed maar kunnen alleen de openbare pagina’s van je website scannen. Voor het scannen van overige website bestanden zijn andere tools beschikbare die we later in het artikel bespreken.
Controleer het aantal websitebezoekers
Bezoekersaantallen is een belangrijke analyse en een goede indicatie van de gezondheid van je website. Wanneer je website niet meer goed zichtbaar is doordat het op de zwarte lijst staat van zoekmachines, zie je een plotselinge daling in het websiteverkeer. En ook wanneer de website ineens erg traag is neemt het aantal paginaweergaven af. We raden aan om de gratis tool Google Analytics te gebruiken voor het bijhouden van het aantal bezoekers.
Instellen van WordPress backups
Als je dit nog niet hebt gedaan, zorg dat je automatisch backups maakt van je WordPress website. Veel websitebeheerders vergeten de backups te controleren, sommige backup oplossingen stoppen met werken nadat je deze hebt ingesteld. Het is dus een goed idee om ervoor te zorgen dat je backup plugin nog steeds functioneert en de backups opslaat. Volg ook onze uitgebreide handleiding om WordPress backups te maken.
Een WordPress beveiligingsaudit automatiseren
Met de bovenstaande punten doorloop je de belangrijkste aspecten van een WordPress security audit. Echter zijn deze handmatige acties foutgevoelig en is het geen diepgaande audit. Daardoor kan de website nog steeds kwetsbaar zijn, het is natuurlijk lastig om bepaalde zaken handmatig te controleren. Denk hierbij aan gebruikersactiviteiten, bestandsverschillen, verdachte codes en meer.
Gelukkig kun je dit proces handmatig automatiseren met behulp van een WordPress monitor- en beveiligingsplugin.
Monitor je website met behulp van een plugin
Er zijn een aantal gratis WordPress plugins beschikbaar voor het monitoren van alle activiteiten op je WordPress website. Eén van de betere plugins hiervoor is Simple History. De plugin is eenvoudig te gebruiken en toont de volledige status van alle activiteiten. Het houdt alle gebruikersactiviteiten bij waaronder bewerkingen van berichten en pagina’s, het uploaden van afbeeldingen, opmerkingen, gebruikersprofielen enz.
Alle loggebeurtenissen worden 60 dagen bewaard, je kan per event alle details bekijken door op een event te klikken. Zo zie je de gebruikers-ID, aangebrachte wijzigingen, datum en tijd, IP-adres en meer.
WordPress plugin WP Activity log
Met de WP Activity Log plugin kun je alle gebruikersactiviteiten van je WordPress website bijhouden.
De mogelijkheden om de verschillende events te configureren zijn eindeloos. Bekijk maar eens de enorme lijst van alle events en IDs die ondersteunt worden door de WP Activity Log plugin. De gebeurtenissen die je niet wilt volgen kun je gelukkig eenvoudig uitschakelen.
De plugin toont ook alle gebruikers die op je website zijn ingelogd. Als je een verdacht account ziet, kan je de verdachte sessie meteen beëindigen en buitensluiten.
Tot slot
We hopen dat dit artikel je geholpen heeft hoe je een WordPress beveiligingsaudit op je website kunt uitvoeren. Misschien wil je ook onze WordPress beveiligingschecklist volgen om de website beter te beschermen tegen malware.
Reageer