Veiligheid is met een WordPress-website niet vanzelfsprekend. Eigenaren zullen stappen moeten zetten om hun site te beschermen. Hiermee kan potentieel misbruik van de website worden voorkomen.

Door: Jeffrey van Leeuwen, Servicedesk medewerker bij Argeweb

Voer regelmatig updates uit
Het mag misschien voor de hand liggend zijn om WordPress regelmatig van een update te voorzien, maar jammer genoeg lopen we nog vaak tegen gehackte websites aan. Vaak zijn dat zites die al een langere tijd niet geüpdatet zijn. Hier kunnen allerlei redenen voor zijn, maar het is echt heel belangrijk om ervoor te zorgen dat je WordPress-website te allen tijde op de laatste versie draait. Oude code kan ervoor zorgen dat achterdeuren worden opengezet voor digitale inbrekers. Dit geldt overigens ook voor onderliggende plug-ins en thema’s.

Inloggegevens
Om in te kunnen loggen in een systeem moeten over het algemeen een gebruikersnaam en een wachtwoord ingevoerd worden. Als de gebruikersnaam van tevoren bekend is, is het in theorie slechts een kwestie van tijd voor het wachtwoord achterhaald wordt. Voorkom daarom dat de standaard gebruikersnaam ‘Admin’ wordt gebruikt.

Gebruik sterke wachtwoorden
Het komt vaak genoeg in het nieuws dat sites eenvoudig konden worden doordat gebruikers, serverbeheerders of website-eigenaren gebruik maken van eenvoudige wachtwoorden. Zorg er daarom voor dat accounts, zeker die van de beheerder, een sterk wachtwoord hebben. Het gebruik van willekeurige (hoofd)letters, cijfers en speciale karakters is aan te raden. Gebruik ook minimaal 12 karakters.

Heb je problemen met het onthouden van wachtwoorden, dan is het misschien handig om korte zinnen als wachtwoord te gebruiken. Een wachtwoord als ‘Mike!Panda?Knuffelaar@905’ is extreem lastig voor een hacker om te achterhalen, terwijl deze voor een gebruiker relatief eenvoudig te onthouden is. Een wachtwoordmanager zoals KeePass kan ook helpen bij complexe wachtwoorden.

Tweestapsverificatie
Met tweestapsverificatie bouw je een extra beveiliging in, omdat er naast een gebruikersnaam en wachtwoord ook een mobiel apparaat nodig is om in te kunnen loggen. Je krijgt hiermee bijvoorbeeld een tijdelijke code, die alleen naar jouw telefoon(nummer) gestuurd wordt. Hiermee kun je vervolgens inloggen. Steeds meer bedrijven bieden inmiddels de mogelijkheid om tweestapsverificatie op een gekoppeld account in te schakelen, waaronder bijvoorbeeld Google met zijn Google Authenticator-applicatie.

Installeer een SSL-certificaat
Het internet beweegt zich steeds meer van het klassieke http- naar het versleutelde https-protocol. Om de overstap te kunnen maken is een SSL-certificaat  nodig, dat vaak bij je hostingpartij aangeschaft kan worden. Hiermee is het mogelijk om verkeer op een website te versleutelen, waardoor een zogeheten ‘man-in-the-middle’-aanval ineens een stuk lastiger wordt. Zeker als er sprake is van betalingsverkeer of gebruik van andere gevoelige informatie, is een versleutelde https-verbinding van groot belang.

Gebruik alleen bekende bronnen
WordPress uitbreiden met plug-ins en thema’s is één van de belangrijkste kenmerken van het open source-platform. Zo zijn er op het moment van schrijven bijna 53 duizend plug-ins op de officiële WordPress-website beschikbaar. Ook zijn er diverse andere bekende bronnen, zoals de marktplaats van Envato. Deze bieden vaak alleen betaalde plug-ins en thema’s. Download deze premium plug-ins en thema’s nóóit vanaf ‘gratis’ bronnen. Deze worden door hackers vaak gebundeld met kwetsbare malware of ander ongewenst materiaal.

Verwijder ongebruikte thema’s en plug-ins
Hoe meer ongebruikt materiaal er op een website achterblijft, des te meer potentiële achterdeuren er zijn voor aanvallers. Dit geldt ook voor niet-geactiveerde plug-ins en thema’s. Ze zijn namelijk nog steeds vanaf het internet toegankelijk en kunnen door hackers misbruikt worden om de rest van de website te infecteren.

Schoon oude bestanden op
Er worden dagelijks websites gehackt via oude back-ups, die ook via het internet toegankelijk zijn. Het is daarom af te raden om een oude variant van je website in een onderliggende map te plaatsen. Die oude versies kunnen namelijk misbruikt worden om de rest van de website te infecteren. Ook wordt het gebruik van plug-ins die al jarenlang geen update hebben gehad afgeraden. Het gebruik van dergelijke plug-ins kan door de verouderde code flinke veiligheidsrisico’s met zich meebrengen.

Maak regelmatig back-ups
Vrijwel niks is zo belangrijk als een goede back-up achter de hand hebben. Als je website kapot gaat door een fatale wijziging, wordt gehackt of offline wordt gehaald door de hostingprovider, heb je altijd een kopie achter de hand. Als je dan geen fatsoenlijke back-up hebt, kan dat desastreuze gevolgen hebben. In dergelijke gevallen is het niet ongewoon dat een dure expert ingeschakeld moet worden, en in enkele gevallen zal de website zelfs volledig opnieuw gebouwd moeten worden. Voorkom deze situatie door regelmatig een back-up te maken, bijvoorbeeld met een plug-in zoals Duplicator.

Kies een goede hostingprovider
Net als het regelmatig maken van back-ups is het hebben van een goede hostingprovider voor je Wordpress-site net zo belangrijk. Een dergelijke partij zorgt ervoor dat de beveiliging en uptime van hun servers zo optimaal mogelijk is, zonder de functionaliteiten tekort te doen. Oriënteer je daarom goed op een betrouwbare partij met een goede reputatie.