In onze artikelen schrijven we vaak over de populariteit van het WordPress CMS. Daarnaast delen we ook veel tips over WordPress website beveiliging. Daarom delen we in dit artikel over WordPress beveiliging je tien tips die je eenvoudig zelf kunt toepassen om je WordPress website veiliger te maken.

Er zouden veel meer dan tien tips te geven zijn maar om het overzichtelijk te houden beperken we ons tot tien. Begin met deze tips en leg een goede beveiliging in de basis van je website.

Niet alle tips zul je toe kunnen passen. Dit ligt mogelijk aan je hostingprovider. Per tip zullen we dit aangeven.

  1. Standaard WordPress thema’s verwijderen
  2. Onveilige WordPress bestanden verwijderen
  3. Standaard onveilige gebruiker verwijderen
  4. Sterk wachtwoord gebruiken
  5. Voorkom directory browsing (indexeren) van je WordPress website
  6. Table Prefix WordPress website
  7. Legaal WordPress thema gebruiken
  8. Updates voor WordPress installeren
  9. Schakel de WordPress editor uit
  10. Kies de juiste hosting voor WordPress
  11. Conclusie

1. Standaard WordPress thema’s verwijderen

Standaard WordPress themesEen standaard WordPress installatie bevat een aantal standaard thema’s als je deze niet verwijderd hebt.

Deze thema’s worden gratis meegeleverd. Het gaat om de thema’s met de namen twenty—–. Verwijder deze thema’s. Regelmatig komen wij niet goed beveiligde WordPress websites tegen die gehackt zijn omdat deze niet goed onderhouden zijn. Dit houd simpelweg in dat deze thema’s niet geüpdatet zijn.

Dit geldt uiteraard niet alleen voor de standaard WordPress thema’s maar ook voor thema’s waar je ooit mee getest hebt of vorige thema’s die je niet meer gebruikt op je WordPress website of  Woocommerce webshop.

Er zijn twee manieren om niet gebruikte thema’s te verwijderen. Je kunt deze verwijderen via FTP. In de map wp-content/themes vind je alle thema’s.

Je kunt de thema’s ook via het dashboard van je website verwijderen. Dit doe je via: Weergave > Thema’s > Thema’s beheren. Let op dat je niet alle thema’s kunt verwijderen. Het is aanbevolen om één thema te laten staan als fallback mocht je hoofdthema beschadigd raken en niet meer werken. Als je geen backup thema hebt zal je website onbereikbaar zijn.

Meer uitleg over verwijderen van WordPress thema’s vind je hier in onze WordPress kennisbank.

WordPress thema verwijderen

Zoals in de introductie al aangegeven zijn er diverse WordPress Hosting providers die WordPress automatisch bijwerken naar de nieuwste stabiele WordPress core versie nadat deze getest is. In dat specifieke geval kun je waarschijnlijk zelf de bestanden van ongebruikte thema’s niet verwijderen.

2. Onveilige WordPress bestanden verwijderen

In een standaard installatie van het WordPress CMS staan in ieder geval drie bestanden in de hoofdmap van de installatie die regelmatig door hackers misbruikt worden om meer informatie over jouw WordPress website te achterhalen. Een hacker kan hiermee bijvoorbeeld het versienummer van WordPress achterhalen waardoor ze weten welke lekken er in jouw versie zitten. Hier kan een hacker dan weer gebruik van maken om jouw website te hacken. Waarom zou je deze achterdeur niet dichtdoen? Als je FTP toegang hebt is je WordPress website veiliger te maken in minder dan één minuut. Deze actie kan je achteraf na een hack heel veel tijd en mogelijk zelfs geld besparen.

Alleen deze bestanden verwijderen is uiteraard niet voldoende om je WordPress beveiliging te optimaliseren. Daar zijn nog wel andere maatregelen voor nodig als je dit wilt.

De standaard bestanden die je in ieder geval kunt verwijderen om je website veiliger te maken:

  • WP-Config-sample.php; (meer over wp-config.php)
  • Readme.html;
  • License.txt.

Om FTP toegang tot je webserver te krijgen kun je bijvoorbeeld gebruik maken van Filezilla. Meer over het installeren van WordPress vind je hier.

3. Standaard onveilige gebruiker verwijderen

Als WordPress standaard wordt geïnstalleerd (dat kan iedereen tenslotte) dan klikken de meeste website eigenaren zo snel mogelijk door de installatie heen en vergeten daarmee een belangrijke stap. Standaard wordt door WordPress een administrator gebruiker aangemaakt met de fantasieloze naam ‘admin’. Wie maakt er handig gebruik van deze onveiligheid in je WordPress website? De hacker. De persoon die je nu juist net niet in je website wilt hebben.

Hoe optimaliseer je WordPress beveiliging vanaf de start? Wijzig tijdens de eenvoudige 5-minuten-installatie van WordPress direct de gebruikersnaam. Klaar. Zo moeilijk is een veilige WordPress omgeving echt niet.

Heb je toch een ‘admin’ gebruiker in jouw WordPress website? Ga dan naar Gebruikers en maak dan eventueel eerst een nieuwe gebruiker aan met beheerdersrechten als je maar één gebruiker hebt. Je hebt vast nog wel een ander e-mailadres waar je deze gebruiker aan kunt koppelen. Log in als de nieuw aangemaakte beheerder en verwijder het account met de username ‘admin’.

4. Sterk wachtwoord voor betere WordPress beveiliging

Je zult het niet geloven. In 2021 waren “123456”, “wachtwoord”, “12345678”, “qwerty” and “123456789” nog steeds de meest gebruikte wachtwoorden. Waar bestaat een sterk wachtwoord uit?

  • Geen bestaande woorden om een woordenboekhack te voorkomenWachtwoord Genereren WordPress gebruikers
  • Gebruik leestekens en nummers
  • Minimaal 15 tekens lang
  • Gebruik van hoofd- en kleine letters

Ook deze tip voor een betere WordPress beveiliging is eenvoudig. Om jouw nieuwe wachtwoord te kraken heb je dit wel nodig. En WordPress helpt je graag. Als je een wachtwoord wilt wijzigen kun je naar een willekeurige gebruiker gaan en daar een nieuw wachtwoord genereren, gebruiker opslaan en je beveiliging is weer een stapje verbeterd.

5. Directory browsing (indexeren) van je WordPress website voorkomen

Als de webserver waar jouw WordPress website op draait geen index.php of index.html bestand vindt voor een verzoek, toont het standaard een pagina met de inhoud van een bepaalde directory. Dit moet je echt voorkomen. Je maakt hiermee belangrijke informatie toegankelijk voor kwaadwillenden zoals geïnstalleerde plugins, thema, enzovoort.

Je kunt eenvoudig controleren of directory browsing mogelijk is op jouw website door een nieuwe folder te maken die een simpel tekstbestand bevat en dan in je browser deze directory te bezoeken. Als er een link naar het tekstbestand weergegeven wordt dan is directory browsing ingeschakeld. Hoog tijd voor actie om je WordPress beveiliging te verbeteren.

Als je een 404 pagina te zien krijgt of een webpagina met de tekst “forbidden” of alleen een blanke pagina dan staat directory browsing uit en kun je rustig verder gaan naar tip nummer 6.

Maar je bent niet door naar de volgende tip. Blijkbaar heb je werk te doen. Maar gelukkig is het niet heel moeilijk. Volg deze stappen en je bent klaar:

  1. open je .htaccess bestand in de root van FTP folder;
  2. voeg onderaan de regel toe: Options All -Indexes;
  3. sla het bestand op onder dezelfde naam;
  4. kijk in de mappen wp-content/themes en wp-content/plugins of ze een leeg index.php bestand bevatten, zo niet maak deze dan ook aan.

6. Table Prefix WordPress website

Het Content Management Systeem WordPress maakt gebruik van een MYSQL database. Alle informatie die je ziet op de voorkant van je website wordt opgeslagen en verwerkt in de database. Het kan zijn dat er in één database meerdere websites gekoppeld zijn. Om hierin te voorkomen dat de informatie door elkaar heen gaat lopen maakt WordPress een prefix aan. Dit betekent dat er voor de tabellen bijvoorbeeld wp_ komt te staan.

Maar… als wij deze standaard informatie over WordPress kennen dan weet een potentiële hacker dit ook. Verander de prefix als je een nieuwe WordPress website aan het installeren bent om de WordPress beveiliging te verbeteren. In dit artikel lees je ook hoe je de prefix aan kunt passen op een bestaande website. Wees hier wel erg voorzichtig mee en zorg voor een goede database backup. Als het veranderen van de prefix misgaat zul je een backup terug moeten zetten.

Wil je weten wat voor prefix er op dit moment ingesteld staat in jouw WordPress website? Deze kun je bekijken op een aantal locaties:

  • Log in op phpmyadmin en bekijk de tabellen die aanwezig zijn in je database. Deze zullen allemaal dezelfde prefix hebben.
  • Open via FTP het bestand wp-config.php. Hier staat een regel die lijkt op deze: $table_prefix  = ‘wp_’;

6.1 Nieuwe WordPress website

Table Prefix WordPressWordPress heeft een zeer eenvoudige installatie. De zogenaamde ‘WordPress 5 minuten installatie’. Tijdens deze installatie kun je al meteen aangeven wat de table-prefix moet zijn. Standaard staat hier dus WP_. Pas deze aan en je hebt weer een stukje extra veiligheid op je WordPress website.

WordPress managed hosting met automatische installatie past automatisch de prefix aan

6.2 Bestaande WordPress website onderhoud

Regelmatig pleeg ik onderhoud aan WordPress websites. Hierbij tref ik ook vaak de WP_ prefix aan. Hoe pas je dit dan aan op een live website? Gelukkig hoef je hiervoor weinig technische kennis te hebben. Ik maak vaak gebruik van de plugin ‘DB Prefix & tools‘. Welke stappen volg je hiervoor?

  1. installeer de plugin DB Prefix & tools;Change DB Prefix WordPress
  2. ga naar Instellingen > Change DB Prefix;
  3. de oude prefix staat ingevuld, voer een nieuwe prefix in en klik op Save Changes;
  4. verwijder de plugin als je klaar bent, die heb je tenslotte niet meer nodig. Ongebruikte plugins verwijderen is ook een punt van WordPress beveiliging.

LET OP: Maak altijd eerst een back-up van je database voordat je wijzigingen in de database maakt.

Hier zie je de structuur van een database in PHPmyadmin, het programma waarin je de website database kunt beheren.Verander table prefix WordPress

7. Legaal WordPress thema gebruiken

Regelmatig komen we websites tegen die gehackt zijn. Als we verder gaan zoeken dan zien we een van de bekende thema’s staan zoals Avada, Enfold of Divi. Deze themes zijn te koop op Themeforest.net. Maar als we verder gaan kijken dan komen we vaak hele bijzondere code tegen in de bronbestanden van het thema. Als we vragen naar een licentie van het thema wordt er door de website eigenaar twijfelend gereageerd. “Ik dacht dat iemand die voor mij gekocht had”. Stop met dromen! Je hebt een gehackt thema illegaal op je website staan.

Een illegaal thema is onprofessioneel, ondankbaar en onveilig

Wat is er mis met deze illegale thema’s? Er zitten twee enorme veiligheidsrisico’s aan vast.

  1. Het thema is niet voor niets ‘gratis’. Je krijgt er een hoop codes bij waarmee de hackers toegang tot je website kunnen krijgen en mogelijk via jouw domein enorme hoeveelheden spam kunnen versturen. En wat doet de provider als jouw website spam verstuurd? Je website uit de lucht halen. Heb je wel eens nagedacht wat dit je zal kosten? Is dit de investering van 50 tot 100 euro niet waard? Bedenk vooral, gratis is nooit gratis. En daarnaast, de designer heeft enorm veel tijd gestoken in het ontwerp van het thema, kennelijk ben je hierover tevreden dus lijkt het mij niet meer dan logisch dat diegene daar ook gewoon voor betaald krijg.
  2. Elk thema heeft als het een goed thema is regelmatig updates nodig. WordPress past originele bestanden aan, het thema zal hierin mee moeten gaan om alle functionaliteit draaiend te houden. Heb je een illegaal thema dan heb je ook geen updates. Je website heeft dus de kans opeens niet meer te functioneren en de veiligheidslekken die gedicht worden door de thema makers mis je ook.

Thema kopen Themeforest

Genoeg redenen om je thema legaal aan te schaffen toch? Waar kun je thema’s aanschaffen? Er zijn diverse websites waar je thema’s kunt kopen. Een aantal hiervan:

8. Installeer WordPress updates

Het is zo eenvoudig. Je drukt op update en klaar. In theorie is het ook zo. Zorg dat de WordPress core en plugins altijd up-to-date zijn. Door het bijwerken van de genoemde opties sluit je een belangrijk deel van de veiligheidslekken buiten. WordPress updates

Veel WordPress hacks worden gedaan via lekken in verouderde plugins en verouderde thema’s. Let hierbij ook op plugins die ingesloten zijn in je thema. Vaak heb je hiervoor geen bijbehorende licentie en ben je dus uitgesloten van automatische updates. Dit kun je oplossen door alsnog een licentie aan te schaffen indien nodig.

In principe is het inderdaad zo simpel om je WordPress installatie op deze manier up-to-date te houden. Je druk op update (nadat je een goede back-up gemaakt hebt) en je wacht tot er staat ‘plug-in bijgewerkt’.

Maar… Regelmatig overkomt het ons op websites waar wij onderhoud aan plegen dat er toch iets mis gaat tijdens het bijwerken van de WordPress plugins en thema’s. Dit kan uiteenlopen van een wit scherm tot een database error. En weet jij dan wat te doen? Als je zelf geen zorgen meer wilt hebben over het updaten van je website zou je WordPress onderhoud kunnen overwegen.

9. Schakel de WordPress editor uit

In een standaard WordPress installatie heb je via Weergave > Editor toegang tot alle bestanden om deze te wijzigen. Veel mensen gebruiken deze editor ook om bijvoorbeeld stijl wijzigingen te maken aan hun website. Dat is een erg slechte gewoonte die wij sowieso afraden.

WP Config WordPressAls er namelijk een leesteken verkeerd staat in deze editor kan je complete site niet meer functioneren. En hoe herstel je dit? Ons voorstel is om vanaf nu een van de methodes te gebruiken voor het wijzigen van de CSS die hier beschreven staat. Ook in dit geval geldt dat er hostingproviders zijn die deze optie standaard uit hebben gezet of maatregelen hebben genomen om misbruik van deze functie te voorkomen.

Als een hacker toegang heeft tot de backend van je website dan heeft hij ook toegang tot de editor. En dan kunnen alle belangrijke WordPress bestanden gewijzigd worden. Een belangrijk onderdeel van de veiligheid van je website is dus het uitschakelen van de editor. Hoe doe je dit?

Voeg deze regel toe aan wp-config.php: define( ‘DISALLOW_FILE_EDIT’, true ); en je hebt weer een belangrijk onderdeel van de WordPress beveiliging opgelost.

10. Kies de juiste hosting voor WordPress

Ook in deze blog gaat het weer over WordPress hosting. Dit is en zal altijd een belangrijke bouwsteen blijven voor een stabiele en veilige WordPress omgeving, naast een belangrijke factor voor de snelheid van je website. Je hoster kan namelijk ook meewerken aan een veilige omgeving.

Een aantal voorbeelden waarmee de provider de WordPress beveiliging kan optimaliseren:

  • Een bekende hack is een iframe hack. Hiermee worden regels code toegevoegd aan de javascript bestanden op je server. Een goede hostingprovider die zelf WordPress beheert heeft dit geblokkeerd. De bestanden zijn niet beschrijfbaar voor derden;
  • De eerder genoemde ‘admin’ user is standaard uitgeschakeld. De provider scant de installaties op hun server en waarschuwt op het moment dat deze gebruikersnaam gevonden wordt;
  • De eerder genoemde zwakke wachtwoorden zijn niet mogelijk. Je wordt verplicht om een sterk wachtwoord te gebruiken;
  • Providers scannen de servers op vreemde bestanden. Mocht het onverhoopt toch gelukt zijn om een discutabel bestand in jouw WordPress installatie te plaatsen dan zal dit in ieder geval in quarantaine geplaatst worden. En de website beheerder wordt in kennis gesteld;
  • De provider dwingt 2-factor authenticatie af.

Dit zijn maar een aantal voorbeelden. Hier zijn nog legio voorbeelden aan toe te voegen. Dit maakt onder andere het verschil voor ons om altijd te kiezen voor de beste hosting. En dat nog naast de uptime garantie, support en de verschillende caching mogelijkheden. Wil je meer weten over premium WordPress  hosting? Neem dan contact op voor meer informatie.

Conclusie over WordPress beveiliging

Vond je dit een lang artikel? Er zijn nog tientallen punten meer om over te schrijven waarmee je de veiligheid van je WordPress website naar een hoger niveau brengt. Veiligheid en backups zijn in onze beleving onderwerpen waar te weinig aandacht voor is.

Er zijn veel bedrijven die een prima WordPress website kunnen bouwen. Maar dit zijn de onderwerpen waar op beknibbeld wordt door veel internetbureau’s. Of dit komt door onwetendheid of tijdsbesparing daar kunnen wij uiteraard alleen naar gissen. Maar te vaak komen we nog websites tegen waar minimaal vijf van de hierboven beschreven punten niet toegepast zijn.

Ter illustratie bij het bovenstaande artikel, ongeveer twee keer per week worden wij benaderd of wij een gehackte website weer online kunnen brengen. Dit kan variëren van het tonen van ongewenste banners of een complete redirect naar een ander domein. En dat wil iedereen toch voorkomen? Dat is de nachtmerrie van elke websitebeheerder. Gelukkig kun je er nu zelf iets aan doen om dit te voorkomen. Mocht je dus iemand kennen die mogelijk gehackt is laat hem/haar dan gerust contact met ons opnemen.

Is jouw website wel eens gehackt? Hoe heb je dit opgelost? Wij zijn ben benieuwd! Laat het weten in een reactie onder dit artikel.