WordPress drijft het grootste gedeelte van het web aan. Iedereen kan WordPress websites bouwen, maar bijna niemand kan ze echt goed beveiligen. In dit artikel geven we je een stuk basiskennis mee waarmee je jouw WordPress website beter kan beveiligen.
Is WordPress een veilig platform?
WordPress is open source. Zowel hackers als ontwikkelaars wereldwijd houden de code van WordPress in de gaten. Dus ja, er is een non-stop race om veiligheidsproblemen te vinden en op te lossen. Een kale WordPress site is een redelijk veilig product. Het gaat doorgaans mis in het gebruik van het populaire CMS.
1 Een sterk onderhoudsplan
De meeste hacks zien we gebeuren door zogenaamde bots. Met andere woorden, niet door hackers. Het zijn kleine programma’s die het internet afstruinen naar kwetsbare websites en die kwetsbaarheid direct misbruiken.
Het gros van deze kwetsbaarheden worden opgelost in patches van plugins, thema’s en natuurlijk WordPress zelf. Waar het vroeger prima was om eens per maand updates te draaien, zien we steeds meer zero-day aanvallen plaatsvinden. Nu is dagelijks jouw site checken op updates wellicht wat te veel gevraagd, maar maak er wekelijks tijd voor. Of zet al jouw plugins en thema’s op automatisch updaten. Je kunt beter hebben dat jouw site crasht door teveel onderhoud, dan dat hij wordt gehackt.
2 Dump overbodige plugins, thema’s etc.
Hoe meer code op jouw server, hoe meer risico dat het mis gaat. Gebruik je het niet, gooi het dan weg. Dat geldt voor zowel plugins als thema’s op de site. Zet ieder half jaar een reminder om te checken of er misschien meer weg kan. Zo installeert WordPress bij iedere grote jaarlijkse update namelijk ook een nieuw thema. Super irritant en helemaal niet nodig.
Bijkomend voordeel is dat jouw backups kleiner zijn. Ze worden dus sneller gemaakt en ze zijn sneller terug te rollen. Het opschonen van jouw website heeft dus heel wat meer voordelen dan je zelf denkt.
3 Mitigeer DDOS risico’s
Is jouw bedrijf of organisatie gevoelig voor aanvallen? Denk aan webshops die afgeperst kunnen worden, religieuze instellingen en politieke partijen die de mond kunnen worden gesnoerd etc. Een DDOS (Distributed Denial of Service) aanval kost de aanvaller vrijwel altijd geld, dus succesvolle mitigatie kan hier een oplossing bieden.
Veel webhosts bieden een eigen oplossing om DDOS aanvallen af te slaan. Soms moet je daar wel voor bijbetalen. Het kan ook anders, door proxy firewalls in te zetten zoals CloudFLare of Route 55 van Amazon. Jouw verkeer loopt dan wel deels over een Amerikaans netwerk. Dat kan weer gevolgen hebben voor jouw privacyverklaring.
4 Brute Force aanvallen afslaan
De meeste gratig beveiligingsplugins bieden wel een optie om loginpogingen te limiteren. Onze tip is de plugin ‘Limit Login Attempts Reloaded’. Webservers met DirectAdmin en Installatron daarop zullen deze veelal standaard installeren wanneer je WordPress op de server plaatst. Dit soort plugins communiceren IP adressen en tijdstippen met achterliggende databases en dat zijn formeel gezien persoonsgegevens. In Limit Login Atttmpts Reloaded kun je bij de instellingen aanvinken dat GDPR handhaving belangrijk voor je is, waarna de plugin zorgvuldiger met deze data omgaat. Extra tip, zet de notificaties uit. Wanneer een hacker wel binnenkomt, krijg je daar namelijk geen notificatie van. Echt zinvol zijn al die notificaties dus niet.
5 Veilige WordPress webhosting
Ben je zelf geen Linux expert? Kies dan nooit voor een ‘unmanaged’ webhosting oplossing. Dan wordt verwacht dat je zelf de veiligheid van de server op orde houdt. Het scheelt veel geld, maar het kan je een enorme hoeveelheid ellende op de hals halen.
Een goede webhost voorziet in server hardening, voorziet servers tijdig van patches en heeft een plan klaarliggen voor als een server wordt gehackt. Vraag hier gerust naar om een beeld te krijgen van hoe er met jouw website wordt omgegaan.
6 Check de PHP-versie van jouw account
Tegenwoordig gaat een PHP-versie nog maar twee jaar mee. Daarna is er nog een jaar van veiligheidspatches. Iedere nieuwe PHP-versie kan niet alleen meer, maar is doorgaans ook sneller en veel veiliger. Op het moment van schrijven is PHP 8.3 beschikbaar. Bij de meeste webhosts moet je zelf jouw PHP-versie aanpassen.
Naast dat oude PHP-versies onveilig zijn, is ook de WordPress community strenger geworden op PHP updates. Zowel WordPress als plugin en themabouwers ondersteunen steeds vaker alleen de laatste twee PHP-versies. Het kan dus maar zo zijn dat jouw WordPress website crasht als jouw PHP-versie te oud is. En heel eerlijk, dat crashen gebeurt vaker dan dat PHP wordt misbruikt om jouw website te hacken.
7 Maak gebruik van twee-staps authenticatie
Stop met inloggen met enkel nog een gebruikersnaam en wachtwoord. Gebruik twee-staps authenticatie om meer veiligheid toe te voegen in dit stukje van het proces. Er zijn gratis plugins die dit doen, maar we raden hier eigenlijk wel de betaalde versies van grote beveiligingsplugins aan, omdat die eenvoudigweg meer opties bieden. Denk aan Solid Security Pro en WordFence Premium.
8 Forceer SSL gebruik
SSL (of HTTPS) lijkt standaard, maar veel webservers accepteren nog altijd onveilige http-verbindingen. Voer een zoek en vervang opdracht uit op jouw database waarbij je HTTP overal vervangt voor HTTPS om zeker te zijn dat alle links in jouw website goed staan. Daarnaast bieden webhostingpakketten en proxy firewalls veelal opties om HTTPS te verplichten. Pak je het nog professioneler aan, zorg dan voor HSTS-ondersteuning.
9 Beveilig jouw wp-config.php en .htaccess
Is jouw site helemaal klaar? Zelfs jouw beveiliging staat? Verander dan de rechten van deze twee bestanden in ‘444’. Op die manier kan iemand die toegang krijgt tot WordPress, deze twee vitale bestanden niet zomaar meer aanpassen. Eenvoudig, maar ook super effectief.
Je leest op veel plekken dat je de wp-config.php op een andere plek kunt zetten. Dit doe je door de inhoud van het bestand in een ander bestand te plaatsen en in de wp-config.php een verwijzing te maken naar dat bestand. Een hacker kan die verwijzing natuurlijk ook uitlezen of zelfs vervangen voor andere data. Als jouw wp-config.php niet beschrijfbaar is, heb je doorgaans genoeg gedaan.
10 Doe de internet.nl check
Wil je de laatste puntjes op de i zetten? Draai dan de internet.nl test. Deze is van SIDN en de Nederlandse Overheid en brengt in kaart welke veiligheidssystemen mogelijk nog missen op jouw webhost en website. Een absolute aanrader om te doen!