WPLounge
wordPress audit
Home » WordPress Algemeen » Een WordPress beveiligingsaudit uitvoeren

Een WordPress beveiligingsaudit uitvoeren

Wil je er zeker van zijn dat je WordPress website veilig is? Dan is een WordPress beveiligingsaudit een manier om een volledige checklist te doorlopen. In dit artikel laten we zien hoe je eenvoudig een WordPress beveiligingsaudit kunt uitvoeren terwijl de website gewoon online blijft.

Affiliate disclaimer:
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.

Het risico op malware op je WordPress website wil je natuurlijk zo laag mogelijk houden. Hoe veiliger een website is, hoe creatiever hackers moeten zijn om de website te besmetten. Is je website toch besmet geraakt met malware? Volg dan ons artikel malware verwijderen van je WordPress website of neem contact op met WPLounge.

Wat is een WordPress beveiligingsaudit?

Een WordPress beveiligingsaudit is de website controleren op potentiële veiligheidsproblemen. Je kunt een controle uitvoeren en zo verdachte activiteiten, kwaadaardige code of ongebruikelijke vertraging van de website detecteren. De basistools van WordPress bevatten eenvoudige stappen die je handmatig kunt uitvoeren. Voor een diepgaande audit zijn er WordPress beveiligingstools beschikbaar om de controles automatisch te laten uitvoeren.

TIP VAN WPLOUNGE
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!

Bekijk de themes »»
Lees meer over Divi.

Een WordPress beveiligingsaudit regelmatig uitvoeren

Het advies is om regelmatig een beveiligingsaudit uit te voeren. Door preventief één keer per kwartaal de website te controleren stelt je in staat om een beveiligingslek op te lossen voordat het problemen kan veroorzaken. Als je echter iets verdachts ziet, voer je de audit natuurlijk onmiddellijk uit. Welke signalen zijn dat?

  • Je WordPress website is ineens erg traag
  • Er staan verdachte links op je website
  • Er zijn nieuwe verdachte accounts, veel inlogpogingen of verzoeken om nieuwe wachtwoorden
  • Een drastische afname van het websiteverkeer

WordPress beveiligingsaudit: de checklist

We hebben een aantal stappen op een rij gezet om standaard WordPress checks uit te voeren op je website.

WordPress updates

WordPress updates bevatten vaak patches voor beveiligingsproblemen en verbeteren de prestaties van je WordPress website. Zorg er dus voor dat WordPress, alle plugins en het thema up-to-date zijn. Je kunt dat eenvoudig doen door in het dashboard naar de pagina Dashboard » Updates te gaan.

WordPress updates
Controleer regelmatig op WordPress updates

WordPress laat op deze pagina alle beschikbare updates zien en je kan meteen de updates uitvoeren.

Controleer gebruikersaccounts en wachtwoorden

Vervolgens ga je opzoek naar verdachte gebruikersaccounts. Alle gebruikersaccounts zijn te bekijken via Gebruikers » Alle gebruikers. Ga opzoek naar accounts die er niet horen en verwijder deze. Wanneer je een WooCommerce webwinkel of WordPress ledenwebsite hebt, zijn er uiteraard meerdere accounts aanwezig van klanten om in te loggen.

Wanneer je wilt voorkomen dat gebruikers kunnen registreren via je website, kan je deze optie uitschakelen bij: Instellingen » Algemeen en schakel het selectievakje uit bij ‘Iedereen kan zich registreren‘.

gebruikersregistratie uitschakelen
Gebruikersregistratie uitschakelen

Wat betreft wachtwoorden, wijzig meteen het beheerderswachtwoord en gebruik een sterk wachtwoord van minimaal 10 karakters.

Een online beveiligingsscan uitvoeren

De volgende check is het uitvoeren van een online beveiligingsscan om de WordPress website te controleren op beveiligingsproblemen. Gelukkig zijn er verschillende online scanners beschikbaar. Wij raden aan om de scanner van Sucuri.net te gebruiken

sucuri scan

Deze online tools zijn goed maar kunnen alleen de openbare pagina’s van je website scannen. Voor het scannen van overige website bestanden zijn andere tools beschikbare die we later in het artikel bespreken.

Controleer het aantal websitebezoekers

Bezoekersaantallen is een belangrijke analyse en een goede indicatie van de gezondheid van je website. Wanneer je website niet meer goed zichtbaar is doordat het op de zwarte lijst staat van zoekmachines, zie je een plotselinge daling in het websiteverkeer. En ook wanneer de website ineens erg traag is neemt het aantal paginaweergaven af. We raden aan om de gratis tool Google Analytics te gebruiken voor het bijhouden van het aantal bezoekers.

Instellen van WordPress backups

Als je dit nog niet hebt gedaan, zorg dat je automatisch backups maakt van je WordPress website. Veel websitebeheerders vergeten de backups te controleren, sommige backup oplossingen stoppen met werken nadat je deze hebt ingesteld. Het is dus een goed idee om ervoor te zorgen dat je backup plugin nog steeds functioneert en de backups opslaat. Volg ook onze uitgebreide handleiding om WordPress backups te maken.

Een WordPress beveiligingsaudit automatiseren

Met de bovenstaande punten doorloop je de belangrijkste aspecten van een WordPress security audit. Echter zijn deze handmatige acties foutgevoelig en is het geen diepgaande audit. Daardoor kan de website nog steeds kwetsbaar zijn, het is natuurlijk lastig om bepaalde zaken handmatig te controleren. Denk hierbij aan gebruikersactiviteiten, bestandsverschillen, verdachte codes en meer.

Gelukkig kun je dit proces handmatig automatiseren met behulp van een WordPress monitor- en beveiligingsplugin.

Monitor je website met behulp van een plugin

Er zijn een aantal gratis WordPress plugins beschikbaar voor het monitoren van alle activiteiten op je WordPress website. Eén van de betere plugins hiervoor is Simple History. De plugin is eenvoudig te gebruiken en toont de volledige status van alle activiteiten. Het houdt alle gebruikersactiviteiten bij waaronder bewerkingen van berichten en pagina’s, het uploaden van afbeeldingen, opmerkingen, gebruikersprofielen enz.

Simple history plugin

Alle loggebeurtenissen worden 60 dagen bewaard, je kan per event alle details bekijken door op een event te klikken. Zo zie je de gebruikers-ID, aangebrachte wijzigingen, datum en tijd, IP-adres en meer.

WordPress plugin WP Activity log

Met de WP Activity Log plugin kun je alle gebruikersactiviteiten van je WordPress website bijhouden.

WP activity log
WP Activity Log – Viewer

De mogelijkheden om de verschillende events te configureren zijn eindeloos. Bekijk maar eens de enorme lijst van alle events en IDs die ondersteunt worden door de WP Activity Log plugin. De gebeurtenissen die je niet wilt volgen kun je gelukkig eenvoudig uitschakelen.

WP Activity log events
WP Activity Log – events configureren

De plugin toont ook alle gebruikers die op je website zijn ingelogd. Als je een verdacht account ziet, kan je de verdachte sessie meteen beëindigen en buitensluiten.

Tot slot

We hopen dat dit artikel je geholpen heeft hoe je een WordPress beveiligingsaudit op je website kunt uitvoeren. Misschien wil je ook onze WordPress beveiligingschecklist volgen om de website beter te beschermen tegen malware.

Beoordeel dit artikel

Mark Hagendijk

Mark biedt technische ondersteuning voor WordPress. Zo nu en dan maakt hij graag tijd vrij om een bijdrage te leveren aan WPLounge.

Reageer

Partners