10 gratis WordPress beveiliging tips

In mijn blogs schrijf ik regelmatig over de populariteit van WordPress. Daarnaast deel ik ook vaak tips over je WordPress website beveiliging. Daarom geef ik je tien tips die je eenvoudig zelf kunt toepassen om je website veiliger te maken. Tien tips is misschien niet veel. De lijst kan natuurlijk veel langer zijn. Maar ik kom zoveel websites tegen waar niet één van deze tips toegepast is. Lees deze blog en pas de tips toe, dan heb je in ieder geval een goede basis.

Een deel van deze tips werken niet bij alle hostingproviders. Met name bij de hostingproviders die automatisch jouw WordPress installatie updaten zullen niet alle tips werken. Per tip staat dit aangegeven.

  1. Overbodige WordPress thema’s verwijderen
  2. Bestanden in FTP root verwijderen
  3. ADMIN gebruiker verwijderen
  4. Sterk wachtwoord gebruiken
  5. Voorkom directory browsing (indexeren) van je WordPress website
  6. Table Prefix WordPress website
  7. Legaal WordPress thema gebruiken
  8. Updates voor WordPress installeren
  9. Schakel de WordPress editor uit
  10. Kies de juiste hosting
  11. Conclusie

    1. Overbodige WordPress thema’s verwijderen

    Standaard WordPress themesWordPress thema detailsEen standaard WordPress installatie bevat een aantal standaard thema’s. Deze worden gratis meegeleverd. Het gaat om de thema’s met de namen twenty—–. Verwijder deze thema’s. Regelmatig worden WordPress websites gehackt die niet goed onderhouden worden. Dit houd simpelweg in dat deze thema’s vergeten worden te updaten.

    Dit geldt uiteraard ook voor thema’s waar je mee getest hebt of je vorige thema’s die je niet meer gebruikt.

    Je kunt thema’s verwijderen via FTP. In de map wp-content/themes vind je alle thema’s. Je kunt ze ook via de backend verwijderen. Dit doe je via: Weergave > Thema’s > Thema’s beheren

    Zoals in de introductie al aangegeven zijn er diverse WordPress Hosting providers die WordPress automatisch bijwerken naar de nieuwste versie nadat deze getest is. In dat specifieke geval kun je de bestanden niet verwijderen.

    WordPress thema verwijderen

    2. Bestanden in FTP root verwijderen

    In een installatie van WordPress staan standaard drie bestanden die regelmatig door hackers gebruikt worden om informatie over je website te achterhalen. Ze kunnen hiermee bijvoorbeeld het versienummer van WordPress achterhalen waardoor ze weten welke gaten er in jouw versie zitten. Dus waarom zou je deze deur niet dichtdoen? Als je FTP toegang hebt is het een minuut werk. En het kan je uren opschonen besparen.

    Voor de duidelijkheid alleen deze bestanden verwijderen is niet voldoende om je WordPress versie af te schermen. Daar zijn nog wel andere maatregelen voor nodig als je dit wilt. Daar kom ik in een andere blog op terug.

    De bestanden die je kunt verwijderen:

    • WP-Config-sample.php;
    • Readme.html;
    • License.txt.

    Om FTP toegang tot je webserver te krijgen kun je bijvoorbeeld gebruik maken van Filezilla of Yummy FTP.

    3. ADMIN gebruiker verwijderen

    Veel mensen die WordPress installeren (dat kan iedereen tenslotte) klikken zo snel mogelijk door de installatie heen en vergeten daarmee een belangrijke stap. Standaard wordt door WordPress een administrator gebruiker aangemaakt met de fantasieloze naam ‘admin’. En wie maakt hier handig gebruik van? Juist de hacker. De persoon die u nu juist net niet in uw website wilt hebben.

    Hoe voorkom je dit bij een nieuwe installatie? Wijzig tijdens de 5-minuten-installatie van WordPress direct de gebruikersnaam. Klaar. Zo moeilijk is een veilige WordPress omgeving echt niet.

    Heb je toch een ‘admin’ gebruiker in jouw WordPress website? Ga dan naar Gebruikers en maak een nieuwe gebruiker aan met beheerdersrechten. Je hebt vast een mailadres waar je deze aan kunt koppelen. Log in als de nieuw aangemaakte beheerder en verwijder het account met de meest gebruikte username.

    4. Sterk wachtwoord gebruiken

    Je zult het niet geloven. In 2015 waren “123456”, “wachtwoord”, “12345678”, “qwerty” and “123456789” de meest gebruikte wachtwoorden. Waar bestaat een sterk wachtwoord uit?

    • Geen bestaande woorden om een woordenboekhack te voorkomenWachtwoord Genereren WordPress gebruikers
    • Gebruik leestekens en nummers
    • Minimaal 15 tekens lang
    • Gebruik van hoofd- en kleine letters

    Ook deze tip is geen hogere wiskunde. Om jouw nieuwe wachtwoord te kraken heb je dit wel nodig. En WordPress helpt je graag. Als je je wachtwoord wilt wijzigen kun je naar een willekeurige gebruiker gaan en daar een nieuw wachtwoord laten genereren.

    5.Voorkom directory browsing (indexeren) van je WordPress website

    Als de webserver waar jouw WordPress website op draait geen index.php of index.html bestand vindt voor een verzoek, toont het standaard een pagina met de inhoud van een bepaalde directory. Dit moet je echt voorkomen. Je maakt hiermee belangrijke informatie toegankelijk voor kwaadwillenden zoals geïnstalleerde plugins, thema, enzovoort.

    Je kunt eenvoudig controleren of directory browsing mogelijk is op jouw website door een nieuwe folder te maken die een simpel tekstbestand bevat en dan in je browser deze directory te bezoeken. Als er een link naar het tekstbestand weergegeven wordt dan is directory browsing ingeschakeld. Tijd voor actie dus. Als je een 404 pagina te zien krijgt of een webpagina met de tekst “forbidden” of alleen een blanke pagina dan staat directory browsing uit en kun je rustig verder gaan naar tip nummer 6.

    Maar je bent niet door naar de volgende tip. Blijkbaar heb je werk te doen. Maar gelukkig is het niet heel moeilijk. Volg deze stappen en je bent klaar:

    1. open je .htaccess bestand in de root van FTP folder;
    2. voeg onderaan de regel toe: Options All -Indexes;
    3. sla het bestand op;
    4. kijk in de mappen wp-content/themes en wp-content/plugins of ze een leeg index.php bestand bevatten, zo niet maak deze meteen teksteditor aan.

    6. Table Prefix WordPress website

    Het Content Management Systeem WordPress maakt gebruik van een MYSQL database. Alle informatie die je ziet op de voorkant van je website wordt opgeslagen en verwerkt in de database. Het kan zijn dat er in één database meerdere websites gekoppeld zijn. Om hierin te voorkomen dat de informatie door elkaar heen gaat lopen maakt WordPress een prefix aan. Dit betekent dat er voor de tabellen bijvoorbeeld wp_ komt te staan.

    Maar… als ik deze informatie weet kan een potentiële hacker dit ook weten! Dus verander de prefix meteen als je een nieuwe WordPress website aan het installeren bent. In deze blog lees je ook hoe je de prefix aan kunt passen op een bestaande website. Wees hier wel erg voorzichtig mee en zorg voor een goede database backup.

    Wil je weten wat voor prefix er op dit moment ingesteld staat? Deze kun je bekijken op een aantal locaties:

    • Log in op phpmyadmin en bekijk de tabellen die aanwezig zijn in je database. Deze zullen allemaal dezelfde prefix hebben.
    • Open via FTP het bestand wp-config.php. Hier staat een regel die lijkt op deze: $table_prefix  = ‘wp_’;

    6.1 Nieuwe WordPress website

    Table Prefix WordPressWordPress heeft een zeer eenvoudige installatie. De zogenaamde ‘WordPress 5 minuten installatie’. Tijdens deze installatie kun je al meteen aangeven wat de table-prefix moet zijn. Standaard staat hier dus WP_. Pas deze aan en je hebt weer een stukje extra veiligheid op je website.

    WordPress managed hosting met automatische installatie past automatisch de prefix aan

    Mocht je gebruik maken van managed WordPress hosting zoals bijvoorbeeld bij managedwphosting.nl dan wordt dit probleem automatisch getackeld voor je.

    6.2 Bestaande WordPress website onderhoud

    Regelmatig pleeg ik onderhoud aan WordPress websites. Hierbij tref ik ook vaak de WP_ prefix aan. Hoe pas je dit dan aan op een live website? Gelukkig hoef je hiervoor weinig technische kennis te hebben. Ik maak vaak gebruik van de plugin ‘Change DB Prefix‘. Welke stappen volg je hiervoor?

    1. installeer de plugin Change DB Prefix;Change DB Prefix WordPress
    2. ga naar Instellingen > Change DB Prefix;
    3. de oude prefix staat ingevuld, voer een nieuwe prefix in en klik op Save Changes;
    4. verwijder de plugin, die heb je tenslotte niet meer nodig.

    LET OP: Maak altijd eerst een back-up van je database voordat je wijzigingen maakt.

    Hier zie je de structuur van een database in PHPmyadmin, het programma waarin je de website database kunt beheren.Verander table prefix WordPress

    7. Legaal WordPress thema gebruiken

    Steeds vaker kom ik websites tegen die gehackt zijn. Als ik verder ga zoeken dan zie ik een van de bekende thema’s staan zoals Avada, Enfold of Divi. Deze themes zijn te koop op Themeforest.net. Maar als ik verder ga kijken dan kom ik vaak hele bijzondere code tegen in de bronbestanden van het thema. Als ik vraag naar een licentie van het thema wordt er twijfelend gereageerd. Ik dacht dat iemand die voor mij gekocht had. Stop met dromen! Je hebt een gehackt thema illegaal gedownload.

    Een illegaal thema is onprofessioneel, ondankbaar en onveilig

    Wat is er mis met deze illegale thema’s? Er zitten twee enorme veiligheidsrisico’s aan vast.

    1. Het thema is niet voor niets ‘gratis’. Je krijgt er een hoop codes bij waarmee de hackers toegang tot je website kunnen krijgen en mogelijk via jouw domein enorme hoeveelheden spam kunnen versturen. En wat doet de provider als jouw website spam verstuurd? Je website uit de lucht halen. Heb je wel eens nagedacht wat dit je zal kosten? Is dit de investering van 50 tot 100 euro niet waard? Bedenk vooral, gratis is nooit gratis. En daarnaast, de designer heeft enorm veel tijd gestoken in het ontwerp van het thema, kennelijk ben je hierover tevreden dus lijkt het mij niet meer dan logisch dat diegene daar ook gewoon voor betaald krijg.
    2. Elk thema heeft als het een goed thema is regelmatig updates nodig. WordPress past originele bestanden aan, het thema zal hierin mee moeten gaan om alle functionaliteit draaiend te houden. Heb je een illegaal thema dan heb je ook geen updates. Je website heeft dus de kans opeens niet meer te functioneren en de veiligheidslekken die gedicht worden door de thema makers mis je ook.Themeforest WordPress templates

    Genoeg redenen om je thema legaal aan te schaffen toch? Waar kun je thema’s aanschaffen? Er zijn diverse websites waar je thema’s kunt kopen. Een aantal hiervan:

    8. Updates voor WordPress installeren

    Het is zo eenvoudig. Je drukt op update en klaar. In theorie is het ook zo. Zorg dat de WordPress core en plugins altijd up-to-date zijn. Door het bijwerken van de genoemde opties sluit je een belangrijk deel van de veiligheidslekken buiten.WordPress updates

    Veel WordPress hacks worden gedaan via lekken in verouderde plugins en verouderde thema’s. Let hierbij ook op plugins die ingesloten zijn in je thema. Vaak heb je hiervoor geen bijbehorende licentie en ben je dus uitgesloten van automatische updates. Dit kun je oplossen door alsnog een licentie aan te schaffen indien nodig.

    In principe is het inderdaad zo simpel om je WordPress installatie op deze manier up-to-date te houden. Je druk op update (nadat je een goede back-up gemaakt hebt) en je wacht tot er staat ‘plug-in bijgewerkt’.

    Maar… Regelmatig overkomt het mij op websites waar ik onderhoud aan pleeg dat er toch iets mis gaat tijdens het automatisch bijwerken van plugins. Dit kan uiteenlopen van een wit scherm tot een database error. En weet je dan wat te doen? Als je zelf geen zorgen meer wilt hebben over het updaten van je website zou je een onderhoudscontract kunnen overwegen.

    9. Schakel de WordPress editor uit

    In de standaard WordPress installatie heb je via Weergave > Editor toegang tot alle bestanden om deze te wijzigen. Veel mensen gebruiken deze editor ook om bijvoorbeeld stijl wijzigingen te maken aan hun website. Dat is een erg slechte gewoonte.

    WP Config WordPressAls er namelijk een leesteken verkeerd staat in deze editor kan je complete site niet meer functioneren. En hoe herstel je dit? Mijn voorstel is om vanaf nu een van de methodes te gebruiken voor het wijzigen van de CSS die hier beschreven staat.

    Ook in dit geval geldt dat er hostingproviders zijn die deze optie standaard uit hebben gezet.

    Als een hacker toegang heeft tot de backend van je website dan heeft hij ook toegang tot de editor. En dan kunnen alle belangrijke WordPress bestanden gewijzigd worden. Een belangrijk onderdeel van de veiligheid van je website is dus het uitschakelen van de editor. Hoe doe je dit?

    Voeg deze regel toe aan wp-config.php: define( ‘DISALLOW_FILE_EDIT’, true ); en je hebt weer een belangrijk onderdeel van de WordPress website beveiliging dichtgetimmerd.

    10. Kies de juiste hosting

    WordPress hostingOok in deze blog gaat het weer over hosting. Dit is een belangrijke bouwsteen voor een stabiele en veilige WordPress omgeving. Je hoster kan namelijk ook meewerken aan een veilige omgeving. Een aantal voorbeelden waarmee de provider je WordPress website beveiliging kan optimaliseren:

    • Een bekende hack is een iframe hack. Hiermee worden regels code toegevoegd aan de javascript bestanden op je server. Een goede hostingprovider die zelf WordPress beheert heeft dit geblokkeerd. De bestanden zijn niet beschrijfbaar voor derden;
    • De eerder genoemde ‘admin’ user is standaard uitgeschakeld. De provider scant de installaties op hun server en waarschuwt op het moment dat deze gebruikersnaam gevonden wordt;
    • De eerder genoemde zwakke wachtwoorden zijn niet mogelijk. Je wordt verplicht om een sterk wachtwoord te gebruiken;
    • Providers scannen de servers op vreemde bestanden. Mocht het onverhoopt toch gelukt zijn om een discutabel bestand in uw installatie te plaatsen dan zal dit in ieder geval in quarantaine geplaatst worden. En de website beheerder wordt in kennis gesteld.

    Dit zijn maar een aantal voorbeelden. Hier zijn nog legio voorbeelden aan toe te voegen. Dit maakt onder andere het verschil voor mij om altijd te kiezen voor goede hosting. En dat nog naast de uptime garantie, support en de verschillende caching mogelijkheden. Wil je meer weten over premium WordPress  hosting? Neem dan gerust contact op voor meer informatie.

    Conclusie over WordPress website Beveiliging

    Vond je dit een lange blog? Er zijn nog tientallen punten meer om over te schrijven waarmee je de veiligheid van je WordPress website naar een hoger niveau brengt. Veiligheid en backups zijn in mijn beleving een onderwerp waar te weinig aandacht voor is.

    Er zijn veel bedrijven die een prima website kunnen bouwen. Maar dit zijn de onderwerpen waar op beknibbeld wordt door veel internetbureau’s. Of dit komt uit onwetendheid of tijdsbesparing daar kan ik uiteraard alleen naar gissen. Maar te vaak kom ik nog websites tegen waar minimaal vijf van de genoemde punten niet toegepast zijn.

    Ter illustratie bij het bovenstaande artikel, ongeveer twee keer per week wordt ik benaderd of ik een gehackte website weer online kan brengen. Dit kan variëren van het tonen van ongewenste banners of een complete redirect naar een ander domein. En dat wil iedereen toch voorkomen? Dat is de nachtmerrie van elke websitebeheerder. Gelukkig kun je er nu zelf iets aan doen om dit te voorkomen. Mocht je dus iemand kennen die mogelijk gehackt is laat hem/haar dan gerust contact met mij opnemen.

    Is jouw website wel eens gehackt? Hoe heb je dit opgelost? Ik ben benieuwd! Laat het weten in een reactie onder deze blog.

8 antwoorden
  1. Jelle
    Jelle zegt:

    Hoi Kees,

    Ik wil een aantal persoons- en medische gegevens gaan opslaan in mijn Woocommerce site. Hierbij is een strenge beveiliging noodzakelijk. Kun je mij advies geven hoe ik dit het beste kan aanpakken en welke beveiliging ik het beste kan kiezen?

    Beantwoorden
    • Kees Lamper
      Kees Lamper zegt:

      Hi Jelle,

      Denk in ieder geval na over de locatie van de server en zorg dat deze in NL staat. Verder is een goede hostingprovider die actief is op beveiligingsgebeid een must. Een SSL-certificaat voor het versleutelen van de gegevens bij versturen is ook een eis lijkt mij.

      Groet,
      Kees

      Beantwoorden
  2. Joke Dekker
    Joke Dekker zegt:

    Bij Tip 5 geef je aan dat je Options All -Indexes; moet toevoegen aan je .htaccess.
    Mijn website geeft een server error als ik dat toevoeg.
    Pas als ik er Options -Indexes van maak gaat het goed.

    Beantwoorden
    • Kees Lamper
      Kees Lamper zegt:

      Dit kan 2 oorzaken hebben:
      1. Er is geen leeg bestand in de directories die genoemd worden
      2. De server laat dit niet toe

      Beantwoorden
      • Joke Dekker
        Joke Dekker zegt:

        Het lege bestand staat er wel, Dus dan lijkt het erop dat de server het niet toestaat.
        IS er nog een manier om dat te controleren?

      • Kees Lamper
        Kees Lamper zegt:

        Ik zou het navragen bij de provider. Deze kan daar alles over vertellen neem ik aan. Zelf controleren is zover bekend niet mogelijk.

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *