3 trucs om een WordPress hack te voorkomen

logo
door: Guido 14-04-2016| Leestijd: 8 minuten| Categorie: SSL / veiligheid

Een WordPress hack; daartegen wil je jouw website optimaal beschermen. Met de drie tips die we in dit artikel weggeven, houd je jouw website veilig. Ga vandaag nog aan de slag.


Met deze drie trucs vergroot je de veiligheid van het CMS. Zo maak je, na het lezen van dit artikel, een veilige update en beveilig je jouw WordPress website met de juiste plug-ins. Jouw WordPress website gehackt? Zorg voor ‘nee’ als antwoord!

Truc 1: Update de WordPress website

Wereldwijd gebruiken inmiddels meer dan 60 miljoen websites het WordPress CMS. Dit maakt het open source CMS-platform erg aantrekkelijk voor hackers. Die proberen op verschillende manieren binnen te komen.

Om een WordPress hack tegen te gaan, moet je regelmatig inloggen op jouw website om te kijken of er nog nieuwe updates klaarstaan. Dit kunnen zowel nieuwe versies van het template zijn of van plug-ins die geïnstalleerd zijn. Zie je in de updatelijst plug-ins staan die je helemaal niet meer gebruikt, dan kun je deze het best direct verwijderen.

Gebruik alleen betrouwbare en actuele plug-ins in WordPress. Creëer geen ellenlange lijst, omdat je voor elke functie in je website een plug-in wilt gebruiken

Omdat het WordPress CMS open source wordt aangeboden, passen ontwikkelaars de software regelmatig aan. Met deze updates worden verbeterpunten doorgevoerd, foutjes verwijderd en eventuele lekken gedicht.

Naast het actueel houden van plug-ins en thema’s is het belangrijk de laatste WordPress versie te gebruiken. Op die manier zijn kwetsbaarheden sneller verholpen.


Zo update je in vijf stappen jouw WordPress versie.

Truc 2: WordPress beveiligen met plug-ins

Plug-ins kunnen voor een lek zorgen waardoor een hacker binnen kan vallen wanneer je ze niet update. Maar er bestaan ook plug-ins die ontwikkeld zijn om jouw WordPress website juist te beschermen tegen mensen met kwaad in hun zin.

iTheme Security

Deze plug-in heeft uitgebreide beveiligingsmogelijkheden. Met iThemes Security wijzig je bijvoorbeeld veel standaardinstellingen voor jouw persoonlijke situatie. Omdat hackers uitgaan van de bekende standaard configuratie, maak je het ze lastiger om in te breken.

Jouw WordPress website gehackt? iThemes Security helpt je dit te voorkomen. Het maakt standaarden uniek. Zo kan de gebruikersnaam beter niet ‘admin’ zijn en het wachtwoord ook niet ‘admin1234’. De plug-in helpt je hier direct verandering in aan te brengen.

iThemes Security registreert daarnaast gebeurtenissen zoals mislukte inlogpogingen, 404-fouten, wijzigingen aan bestanden en je kunt malware scans laten uitvoeren. De plug-in legt dit vast in logs.

Vervolgens kun je op jouw dashboard zien welke stappen je nog moet ondernemen voor een veiligere website. Een voorbeeld hiervan is dat je een restrictie geeft aan het aantal mislukte inlogpogingen die er op jouw website mogen plaatsvinden.

Stap voor stap beveilig je jouw website simpel met iThemes Security om een WordPress hack te voorkomen.


Zo beveilig jij jouw website met iThemes Security.

Ook Wordfence Security helpt een WordPress hack voorkomen

Met de plug-in Wordfence Security kun je een WordPress site scannen op hacks.
Wordfence controleert na installatie of de site al geïnfecteerd is of niet. Het geeft je een overzicht van bestanden die mogelijk zijn aangepast, zodat je daar actie op kunt ondernemen. De plug-in beveiligt jouw website en blokkeert actief verdachte zaken zoals bekende aanvallers of kwaadaardige netwerken.

Ook voor gevoelige plug-ins zoals de Revolution Slider biedt Wordfence oplossingen. Zo worden pogingen om php-documenten via onveilige plug-ins te downloaden direct geblokkeerd. Daarnaast zorgt de open source plug-in voor loginbescherming.

Met Wordfence Security heb je een prima WordPress firewall. Het is af te raden om de optie voor real-time scannen van bezoekers continu te gebruiken. Deze functie in Wordfence kan je website flink vertragen.

Truc 3: Doe de deur dicht

De beste manier om mensen buiten te houden, is natuurlijk door gewoon de deur dicht te doen. Er zijn een aantal manieren waardoor ongewenste gasten niet binnen kunnen gluren.

Pas de gebruikersnaam aan

Om te beginnen is het belangrijk dat hackers niet weten wat jouw gebruikersnaam is. Admin is per definitie geen goede gebruikersnaam. Vind je het moeilijk om een geschikte gebruikersnaam te bedenken dan kun je het aanpassen in de plug-in iThemes.

Maak een veilig wachtwoord

Pas ook het wachtwoord aan. Kwaadwillenden kunnen hun aanvallen namelijk beramen met Brute Force. Dit is een methode om heel snel, heel veel verschillende letter- en cijfercombinaties te proberen en zo binnen te dringen.

Wachtwoorden met bestaande woorden en logische cijfercombinaties zoals ‘12345’ lopen daarom snel gevaar. Hoe dit allemaal werkt en wat je er tegen kunt doen, wordt verder uitgelegd in ons blogartikel over het kraken van wachtwoorden. Met de Password Generator die WordPress aanbiedt creëer je ook moeilijk kraakbare wachtcodes.

Een WordPress hack ligt al snel op de loer als je geen sterk wachtwoord hebt ingesteld. De handige plug-in Password Generator helpt je om sterke inloggegevens te maken.

Beveilig het FTP-account

Naast het wachtwoord dat je gebruikt om in de backend van jouw website te komen, moet je er ook voor zorgen dat het wachtwoord van jouw FTP-account niet te kraken is. Dit maakt het voor hackers moeilijker om toegang te krijgen tot jouw bestanden.

Zorg voor een afscherming tegen onbekende IP-adressen. Stel de FTP-verbinding alleen open voor het IP-adres van thuis of op kantoor. Hiervoor stel je een regel in via het htaccess-bestand van de administrator map in WordPress.

.htaccess toelaten van meerdere IP-adressen


order deny,allow
allow from 157.193.1.1 (dit vervang je door jouw IP-adres)
allow from 157.193.1.2 (Deze vervang je door overige IP-adressen die je toelaat)
deny from all

Zo krijg je alleen toegang tot de inlog van WordPress met de opgegeven locaties waarvan je het IP-adres hebt vrijgegeven.

Houd de juiste rechten aan

Voor het beveiligen van de bestanden op jouw website geldt dat je het beste het advies van WordPress kunt aanhouden qua rechten van mappen en bestanden (CHMOD).

  • Mappen en directories: 755 of 750
  • Bestanden: 644 of 640
  • WP-config.php: 600


Er bestaan verschillende CHMOD-codes waarmee je rechten per gebruiker aangeeft. Zorg er bijvoorbeeld voor dat er geen mappen of bestanden met 777-rechten op jouw server staan.

Bescherm het WordPress configuratiebestand

Zet de onderstaande code in het .htaccess bestand. Dit zorgt ervoor dat het wp-config-bestand, oftewel het WordPress configuratiebestand, goed wordt beschermd.



order allow,deny
deny from all

Jouw WordPress beveiligen?  Via veiligheidsplug-ins kan je vaak ook IP-adressen vrijgeven of juist blokkeren. Gebruik hiervoor alleen bekende plug-ins, die recent een update hebben gehad, meest gebruikt zijn en van een betrouwbare partner komen.

Samenvatting voor optimale WordPress beveiliging

Kort samengevat zijn er vier belangrijke zaken die je sowieso op orde moet hebben om een WordPress hack tegen te gaan:

  1. Installeer betrouwbare plug-ins en thema’s
  2. Houd WordPress, thema’s en plug-ins up-to-date
  3. Gebruik geen logische gebruikersnamen zoals ‘admin’ of je naam. Het mag logisch zijn voor jou, maar zeer moeilijk te kraken voor hackers.
  4. Kies sterke en unieke wachtwoorden met bijvoorbeeld iThemes Security

WordPress gehackt?

Is je WordPress website toch slachtoffer geworden van hackers? Zo los je een WordPress hack op.

logo
Over: Guido

Guido heeft een voorliefde voor WordPress en video. Logisch dat video’s over WordPress hem helemaal enthousiast maken. Hij schrijft, filmt, monteert en is daarnaast de vraagbaak voor de mensen van de Hosting2GO Helpdesk.