Een praktische gids voor WordPress-beveiliging

Met de opkomst van inbreuken in de webbeveiliging, is het van het grootste belang om preventieve maatregelen te nemen om uw website te beschermen tegen indringers. Dus, als je een WordPress-site hebt, lees dan verder. We geven je verschillende tips en tools die je kunt gebruiken om je WordPress-website veilig te maken.


“Het kan niet met mijn site gebeuren!” Dit is de algemene gedachte die de meesten van ons hebben als we horen dat een hacker de beveiliging van een site heeft geschonden.

Misschien denkt de persoon met de gehackte website dat hij of zij iets vreselijk verkeerd heeft gedaan om essentiële informatie te lekken. Misschien heeft de persoon de vreselijke fout gemaakt door de beveiliging van zijn of haar website als vanzelfsprekend te beschouwen.

Mogelijk voelt u zich veilig met een zeer populair CMS- en blogplatform zoals WordPress voor uw site. U doet er echter goed aan op te merken dat de immense wereldwijde populariteit van WordPress een van de belangrijkste redenen is waarom hackers sites op dit platform targeten.

WordPress is een zeer gebruiksvriendelijk platform en daardoor nog kwetsbaarder voor aanvallen van hackers en spammers. Vanaf het allereerste begin moet u beveiliging een topprioriteit maken voor uw website, samen met de hosting en het webdesign.

Hier volgt een diepgaande studie van de verschillende maatregelen die u moet nemen om de beveiliging van uw WordPress-site te verbeteren. We bekijken ook de beste tips om een ​​WordPress-site, de beste WordPress-beveiligingsplug-ins en de testtools te beschermen.

U moet zich realiseren dat geen enkele website ooit 100 procent veilig kan zijn en zelfs de informatie die hier wordt gedeeld, maakt uw site niet helemaal veilig. Het uiteindelijke doel is om u te helpen bij het nemen van alle noodzakelijke voorzorgsmaatregelen om uw WordPress-website te beschermen tegen de meeste aanvallen.

Basisprincipes van webbeveiliging

U denkt misschien dat het hoogst onwaarschijnlijk is dat uw site in de toekomst wordt gehackt omdat deze in het verleden nooit met beveiligingsproblemen is geconfronteerd met betrekking tot malware, schadelijke code of zelfs spamcommentaar.

Maar een van de meest elementaire dingen die u moet onthouden over webbeveiliging, is dat u actief moet blijven en niet reactief moet zijn. Dit betekent dat u vanaf het begin enkele voorzorgsmaatregelen moet nemen, in plaats van te geloven dat iemand uw site niet kan hacken, en moet werken aan het verbeteren van de beveiliging.

Voordat u verdergaat met de stappen voor WordPress-beveiliging, moet u zich realiseren hoe belangrijk het is om deze beveiliging te hebben.

Veel mensen bezoeken uw website. Sommigen van hen kunnen zich abonneren op de nieuwsbrieven van uw site en sommige kunnen zich registreren als leden van de forums van uw site. De gegevens die uw bezoekers delen, zijn ook kwetsbaar voor aanvallen als uw site wordt gehackt. Het is dus uw verantwoordelijkheid om te zorgen voor de beveiliging van de gegevens van uw website, die op hun beurt de gegevens van uw bezoekers beschermen.

Als uw WordPress-site weinig verkeer trekt, kunt u beweren dat er geen reden is voor een hacker om uw site aan te vallen wanneer er duizenden andere, meer populaire websites online beschikbaar zijn. Als dit het geval is, is het waarschijnlijk tijd dat u begrijpt waarom een ​​hacker probeert uw website te schenden.

Hackers maken zich geen zorgen of uw site maar een paar bezoekers trekt, want als ze eenmaal toegang hebben tot uw site, kunnen ze uw server gebruiken om spam-e-mails te verzenden. Ze doen dit om hen te helpen hun diensten, producten of sites op de markt te brengen.
Met een toename van dit soort spamactiviteiten van uw gehackte server, neemt de kans dat uw IP-adres op de zwarte lijst komt enorm toe. Als alternatief kunnen de hackers er de voorkeur aan geven uw server te gebruiken voor hun eigen website-activiteiten omdat hun IP-adressen al op de zwarte lijst staan.

Afgezien van het besef van de redenen voor hacking, moet u ook de verschillende manieren begrijpen waarop een hacker of een spammer uw website kan aanvallen. Dit helpt u verder om de activiteiten van uw site zo te plannen dat uw site minder wordt kwetsbaar voor beveiligingsbedreigingen.

Ze kunnen aanvallen via elke WordPress-plug-in of elk thema. Er zijn zelfs gevallen waarin problemen met een beveiligingsplug-in hackers in staat hebben gesteld een website aan te vallen die de plug-in heeft gebruikt. Hackers kunnen ook profiteren van elk beveiligingsprobleem op uw hostingplatform en elke URL-parameter gebruiken om toegang te krijgen tot uw database.

Op deze manier kunnen ze uw gegevens wijzigen, uw wachtwoord wijzigen of zelfs gegevens verwijderen. Het is verrassend om te weten dat veel aanvallen zelfs plaatsvinden vanwege een zwak wachtwoord om toegang te krijgen tot het WordPress-beheerderspaneel of zelfs om toegang te krijgen tot het hosting-configuratiescherm.

Nadat u een basiskennis hebt ontwikkeld van de noodzaak om uw WordPress-site te beveiligen, kunt u nu verder lezen voor meer informatie over de manieren waarop u de beveiliging van uw website kunt verbeteren.

9 beveiligingstips om uw WordPress-site te beschermen tegen hackers

Houd uw WordPress-site bijgewerkt

Als je het updaten van je WordPress-site blijft uitstellen omdat je bang bent dat je gegevens kwijtraakt door een verkeerde update, dan moet je meteen beginnen met het maken van back-ups. Zodra u een back-up van uw site heeft gemaakt, kunt u gemakkelijk doorgaan en uw WordPress-versie bijwerken naar de nieuwste versie. U moet dit doen omdat WP de beveiligingsbugs van de vorige versie repareert met elke nieuwe versie die beschikbaar komt.

Bovendien informeert WordPress het publiek over deze oplossingen, wat uw verouderde site nog kwetsbaarder maakt. Maak er dus een gewoonte van om de optie “Update beschikbaar” regelmatig te gebruiken zodra u inlogt op uw WordPress-beheerdersdashboard.

Werk de thema’s en plug-ins bij die u gebruikt en verwijder de ongebruikte

Je moet je houden WordPress-plug-ins en thema’s bijgewerkt om dezelfde redenen die u nodig heeft om de algehele WordPress-versie bij te werken. Een hacker kan gemakkelijk een verouderde plug-in of thema manipuleren (via beveiligingsgaten) om toegang te krijgen tot de beheerder van uw website.

U hoeft zich dus geen zorgen te maken over de compatibiliteit van uw plug-in met uw huidige thema, maar u moet ervoor zorgen dat u altijd de nieuwste versies van beide gebruikt.

Zorg er in vergelijkbare zin voor dat uw plug-insectie in het WordPress-beheerdersdashboard alleen de plug-ins bevat die u gebruikt. Verwijder degenen die u niet gebruikt omdat u dergelijke plug-ins minder snel zult updaten, en dit vergroot opnieuw hun kwetsbaarheid voor beveiligingsaanvallen.

Houd er rekening mee dat het belangrijk is om uw ongebruikte plug-ins te ‘verwijderen’ en niet alleen ‘uit te schakelen’.

Download geen thema’s of plug-ins van onbekende bronnen

U komt misschien in de verleiding om een ​​paar premium plug-ins of thema’s gratis te downloaden, zelfs als ze afkomstig zijn van onbekende bronnen.

Hoewel u misschien enthousiast bent over het kosteloos verkrijgen van geavanceerde functies, vergeet u misschien om aandacht te besteden aan de beveiligingsdreiging die deze functies met zich meebrengen. Een plug-in van een onbekende bron kan malware introduceren of schadelijke code invoegen op uw site. In plaats van zo’n groot risico te nemen, is het altijd raadzaam om alleen thema’s en plug-ins van bekende bronnen te downloaden.

U kunt Plugin-Check of Theme-Check gebruiken om respectievelijk de code van uw plug-ins en thema’s te controleren. Een slecht geschreven code kan het voor hackers gemakkelijk maken om toegang te krijgen tot uw website.

Als u niet helemaal zeker bent van de bron en niet weet hoe u de kwaliteit van de code moet controleren, kunt u eenvoudig kiezen voor de gratis WordPress-ontwerpen van het WordPress.org-platform.

Heb een sterke gebruikersnaam en wachtwoord voor WordPress-beheerders

Om je site te maken met het WordPress-platform krijg je toegang tot het back-end dashboard. Standaard genereert WP een gebruikersnaam (admin) en een sterk wachtwoord om in te loggen op dit admin-dashboard tijdens de WordPress-installatie. Maar na de installatie moet u de gebruikersnaam van uw WordPress-beheerder wijzigen in iets dat uniek voor u is.

Daarnaast moet u onthouden dat u het wachtwoord moet wijzigen in iets dat onbekend is bij mensen om u heen of van uw websitebezoekers. Als uw site bijvoorbeeld uw geboortedatum of de naam van uw echtgenoot onthult, zorg er dan voor dat uw wachtwoord geen van beide bevat. Dit maakt het voor elke hacker moeilijk om je wachtwoord te raden. U moet ook een veilig wachtwoord bewaren voor uw configuratieschermaccount.

Bovendien kunt u proberen een CAPTCHA toe te voegen aan uw WordPress-inlogpagina om de veiligheid van uw site verder te verbeteren. Dit zorgt ervoor dat een bot of script geen toegang tot uw website kan krijgen via een brute force-aanval.

Voeg een tweestaps WordPress-beveiligingsverificatie toe

Hoeveel wachtwoorden zal ik onderhouden en regelmatig bijwerken? Mogelijk hebt u deze vraag over het onderhouden van sterke wachtwoorden voor verschillende toegangspunten tot uw WordPress-paneel of configuratiescherm.

Welnu, u kunt genieten van een wachtwoordvrije login op uw WordPress-paneel met behulp van zoiets als de Sleutel voor authenticatie in twee stappen. Met deze plug-in kunt u uw mobiele telefoon gebruiken om uw veilige login te verifiëren op het WordPress-beheerdersdashboard samen met een pincode of vingerafdruk. Dus zelfs als uw telefoon verloren is, blijven uw Clef-accountgegevens veilig.

Of u kunt de gebruiken Google Authenticator om een ​​authenticatie in twee stappen te garanderen. Hiermee moet u uw wachtwoord gebruiken en een uniek gegenereerde inlogcode invoeren die als een sms naar uw telefoon komt.

Zoek naar een veilig hostingbedrijf

Met de nieuwste WordPress-siteversie maakt het niet uit of de hacker de oude PHP-versie van het platform dat uw site host kan kraken. U moet dus gebruikmaken van de hostingservices van een uiterst betrouwbare webhostingprovider.

Uw host moet de mogelijkheid hebben om de ondersteuning voor de nieuwste MySQL-versies en PHP-versies uit te breiden. Het moet ook een efficiënt inbraakdetectiesysteem hebben om aanvallen tijdig te identificeren en moet uw site een webtoepassingsfirewall bieden voor verbeterde beveiliging.

Beperk het aantal aanmeldingspogingen

Hackers gebruiken brute force-aanvallen om het wachtwoord te kraken dat u gebruikt om in te loggen op uw WordPress-paneel. Ze proberen continu willekeurige inlogpogingen totdat ze slagen.

Zelfs als uw wachtwoord sterk is, helpt het om dergelijke onredelijke hoeveelheden inlogpogingen te identificeren en de IP-adressen die deze pogingen doen te beperken. U kunt dergelijke IP-adressen dan voor een bepaalde periode uitsluiten. U kunt dit doen door gebruik te maken van plug-ins zoals Aanmeldingsvergrendeling of Login beveiligingsoplossing.

Plan regelmatige back-ups van uw website

Dit is een belangrijke stap omdat het u zelfs helpt wanneer iemand uw site hackt of in gevaar brengt. Wanneer iemand uw site hackt, kunt u gemakkelijk teruggaan naar de vorige versie van uw website die niet is aangetast. U kunt ook een van de geautomatiseerde oplossingen gebruiken voor back-ups, zoals VaultPress of BackUpBuddy.

Houd uw WordPress Admin Space goed beschermd

Slechts een select aantal mensen heeft toegang nodig tot uw beheerdersdashboard. Probeer waar mogelijk ook de toestemming te beperken tot degenen die toegang hebben tot uw dashboard. Zo kunt u de dreiging van aanvallen van onbekende bronnen verminderen.
Je moet er ook voor zorgen dat anderen beperkte of geen toegang hebben tot de map WordPress / wp-admin / of het bestand wp-login.php. U kunt toegang tot uw eigen IP-adres toestaan ​​door het volgende stuk code toe te voegen aan het .htaccess-bestand:

bestelling weigeren, toestaan
Ontken iedereen
Toestaan ​​van zz.zz.zz.zz

In de bovenstaande code hoef je alleen maar “zz.zz.zz.zz” te vervangen door je eigen set IP-adressen voor verschillende locaties of apparaten.

Als u niet met statische IP-adressen omgaat, werkt deze methode mogelijk niet voor u. In dergelijke gevallen kunt u de hierboven besproken plug-ins gebruiken om de inlogpogingen te beperken.

WordPress-beveiligingsplug-ins om schadelijke code op uw site te detecteren

Als een hacker uw site aanvalt, helpt het om de schade te beperken of tijdig actie te ondernemen als u er onmiddellijk achter komt. Laten we dus eens kijken naar enkele van de beste WordPress-beveiligingsplug-ins die schadelijke code kunnen detecteren die op uw website is ingevoegd.

WP AntiVirus Site Protection

Deze populaire plug-in, aangeboden door SiteGuarding.com, helpt bij het detecteren en verwijderen van kwaadaardige virussen of code die op uw WordPress-site zijn gevonden. Het scant items zoals de plug-inbestanden, themabestanden en alle uploads om snel beveiligingsbedreigingen te detecteren, waaronder achterdeuren, adware, spyware, rootkits, wormen, Trojaanse paarden en fraudetools.

Als u thema’s en plug-ins van torrent-sites blijft downloaden (in plaats van de originele exemplaren van de ontwikkelaars te kopen), moet u dit type plug-in hebben voor een betere beveiliging.

Wordfence-beveiliging

Deze plug-in biedt gratis beveiliging op bedrijfsniveau door uw site te beschermen tegen malware en potentiële hacks. Het controleert of uw site al een infectie heeft en voert een diepe server-side scan uit van de broncode van uw site.
Het vergelijkt de code met de officiële WordPress-repository voor plug-ins, kernen en thema’s. Het beveiligt niet alleen uw website tegen de meeste bedreigingen, maar maakt uw website ook 50 keer sneller dan voorheen.

Wordfence maakt ook realtime blokkering van bekende aanvallers mogelijk. Dit betekent dat als een hacker deze plug-in op een andere site aanvalt, die hacker ook automatisch van uw site wordt geblokkeerd.

Het kan een heel netwerk van kwaadaardige IP-adressen blokkeren wanneer er een risico bestaat dat er kwaadaardige codes op uw site worden geplaatst. Het helpt verder om bedreigingen te blokkeren in de vorm van schrapers, crawlers en bots die tijdens de beveiligingsscans zijn geïdentificeerd. Het scant ook op Trojaanse paarden, verdachte code, achterdeuren, phishing-URL’s, malware, HeartBleed-kwetsbaarheid, enzovoort.

Als u een premiumgebruiker bent, kunt u ook landen blokkeren en kunt u regelmatig scans plannen voor specifieke perioden.

Exploit Scanner

Exploit Scanner is altijd op zoek naar iets verdachts in de bestanden en database van uw WordPress-site, inclusief berichten en commentaartabellen.

Het scant ook de plug-ins die u gebruikt op misleidende of ongebruikelijke bestandsnamen. Als er een schadelijke code of bestand wordt gevonden, geeft deze plug-in een gedetailleerd rapport aan de sitebeheerder en laat het aan hem of haar over om de schadelijke code te verwijderen.

Sucuri-beveiliging

Dit is een uitgebreide toolset voor beveiliging die u kunt gebruiken voor malwaredetectie, beveiliging en beveiliging. Het is een geweldige ondersteuning voor de beveiligingsfuncties van uw bestaande site.

Enkele belangrijke functies van deze plug-in zijn onder meer monitoring van bestandsintegriteit, monitoring van zwarte lijsten, controle van beveiligingsactiviteiten, malware op afstand scannen, hardening van beveiliging en beveiligingsmaatregelen na hacks, beveiligingsmeldingen en website-firewall.

Hoe u uw WordPress-site kunt scannen op verborgen malware?

Omdat WordPress een open-sourceplatform is, is het gemakkelijk vatbaar voor malware-infecties of injecties door hackers. Enkele van de meest voorkomende manieren waarop hackers malware op uw site kunnen injecteren, zijn:

  • Pharma Hacks (spam-injecties in uw database of bestanden)
  • Phishing (verkrijgen van gevoelige informatie, zoals e-mailadressen, wachtwoorden en gebruikersnamen)
  • Schadelijke omleidingen (bezoekers van uw site omleiden naar een andere sitepagina met een gedownload, geïnfecteerd bestand of schadelijke code)
  • Bestands- en database-injecties (toevoeging van schadelijke code in de database of bestanden van uw site)
  • Achterdeuren (toegang krijgen tot uw admin-gebied of FTP-account)
  • Alle hackers willen ervoor zorgen dat de site-eigenaar niet te weten komt dat ze zijn of haar site hebben gehackt. Hierdoor kunnen de hackers de bezoekers van de site infecteren door gedurende een langere periode continu te spammen.

Het is dus uw doel om te blijven zoeken naar verborgen malware op uw site waarvan u niets weet en de geïnfecteerde bestanden of mappen te verwijderen.

U kunt dit doen door populaire WordPress-plug-ins voor het scannen van malware te gebruiken, zoals de onderstaande:

Gebruik de Sucuri SiteCheck Scanner om te scannen op potentiële malware. Ga gewoon naar de site hier en voer de URL van uw website in. Deze gratis scanner voert een uitgebreide scan van uw site uit op malware, websitefouten, een blacklisting-status en verouderde software.

Het enige nadeel is dat je deze scan handmatig moet uitvoeren met de gratis versie. U kunt upgraden naar de premium-abonnementen en waarschuwingen ontvangen via Twitter, e-mail of RSS, wanneer malware wordt gedetecteerd.

Laat uw website van zwarte lijsten verwijderen als een hacker uw server lange tijd heeft gebruikt om te spammen. De premium services helpen ook om de malware te verwijderen. U kunt zelfs de eerder besproken Sucuri-beveiligingsplug-in proberen voor verbeterde bescherming tegen malware.

Gebruik de Anti-malwarescanner om te zoeken naar malware, virussen, achterdeurtjes en soortgelijke bekende bedreigingen en deze automatisch te verwijderen. Een belangrijke premiumfunctie van deze plug-in is om je wp-login.php-pagina te patchen om brute-force-aanvallen te stoppen.

Bovendien kunt u een van de hierboven besproken WordPress-beveiligingsplug-ins gebruiken om kwaadaardige code te identificeren.

Tools voor het testen van websitebeveiliging

Om uw website tegen aanvallen te beschermen, moet u constant het beveiligingsniveau van uw site laten testen door bepaalde testtools te gebruiken, zoals:

Wapiti spoort kwetsbaarheden (openbaarmaking van bestanden, database-injectie, cross-site scripting injectie, zwakke .htaccess-configuraties en meer) op uw website op. Deze tool maakt gebruik van de black box scanbenadering.

Dit betekent dat het de broncode van de applicatie niet bestudeert, maar de webpagina’s controleert op formulieren en scripts waar het gegevens kan injecteren. Het injecteert payloads om de kwetsbare scripts te identificeren. Het biedt rapporten in verschillende indelingen, zoals HTML, XML, tekst en JSON.

Google Nogotofail test het netwerkverkeer van een site om zwakke TLS- of SSL-verbindingen en gevoelig cleartext-verkeer op verschillende apparaten te detecteren en op te lossen. Je kunt het ook instellen als een VPN-server of proxyserver of zelfs een router.

U kunt de genoemde open source-scanner en tester proberen Vega. Dit op GUI gebaseerde platform bevindt zich in Java en werkt met OS X-, Windows- en Linux-platforms. Het bestaat uit een onderscheppende proxy om tactische inspectie uit te voeren en een geautomatiseerde scanner om snelle tests uit te voeren.

Deze tool kan worden gebruikt om cross-site scripting (XSS), SQL-injectie en soortgelijke kwetsbaarheden te identificeren.
We hopen dat deze tips en informatie over WordPress-beveiliging u in grote mate zullen helpen bij het verbeteren van de beveiliging van uw site.

Heb je al een aantal plug-ins of methoden geprobeerd die de beveiliging van je WordPress-website aanzienlijk verbeteren? Deel uw ervaring en blijf het bewustzijn over het belang van websitebeveiliging binnen uw netwerk verspreiden.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map