WordPress beveiligen - de complete gids voor dummies

WordPress beveiligen in 3 stappen – Complete gids voor dummies

Simpele handleiding om WordPress te beveiligen + hoe je een gehackte website herstelt

Spring naar een onderdeel
WordPress beveiligen in 3 stappen – Complete gids voor dummies

Wist je dat ruim 36% van alle websites op WordPress draait? Dat is meer dan één derde. Logisch dus dat WordPress websites een favoriet doelwit is voor hackers. Je WordPress beveiligen neem je dus best van bij de start heel serieus. Maar hoe doe je dat nu?

De basics voor een veilige website

1. Kies een goede, veilige host

De keuze voor je webhosting speelt al een eerste belangrijke rol in de veiligheid van je WordPress website. Combell hecht heel veel belang aan veiligheid waardoor ze echt mijn #1 zijn op vlak van hosting.

Een goede host zorgt er dus voor dat alle (shared) pakketten beveiligd zijn. Ze monitoren de websites op hun server dus ook erg goed. Alle hard- en software wordt up-to-date gehouden om zoveel mogelijk aanvallen van hackers te beperken.

Combell zorgt ook standaard voor een back-up van je site tot 14 dagen terug in de tijd. Deze staat in een submap van je hosting, dus ik raad ook altijd aan om automatisch en regelmatig een back-up te maken van je complete website in de cloud of los van je website.

Bij eenvoudige hosting (shared) deel je de server met veel andere klanten van je hostingaanbieder. Het risico voor aanvallen op websites op één gehele server wordt daardoor wel groter. Als een “buur” de veiligheid van zijn website niet zo serieus neemt, kun je daardoor ook mee geraakt worden door de aanval.

Je kunt dus kiezen voor een VPS om veiliger te zitten, dit is natuurlijk iets duurder dan eenvoudige hosting. Maar als je inkomsten afhankelijk zijn van je website, dan is dit een kleine investering voor meer zekerheid.

Mijn favoriete partner voor hosting is dus Combell. Voor Belgische klanten de beste en meest performante keuze.

2. Over gebruikersnamen en wachtwoorden

Wanneer je WordPress met 1 klik installeert op je hosting, heb je soms geen keuze over de gebruikersnaam.

Heb je wel een keuze, kies vooral niet Admin/admin. Hackers weten dat dit de meest voor de hand liggende keuze is voor een gebruikersnaam van een beheerder. Kies dus iets anders, bv. je eigen naam of een verzonnen naam.

Bij Combell kun je bij de installatie met 1 klik wél zelf kiezen voor een unieke gebruikersnaam. Jammer genoeg laat deze geen speciale tekens toe voorlopig.

Dashboard Combell - 1-klik-installatie - kies geen admin als gebruikersnaam
⤷ Bij de 1-klik-installatie van WordPress kies je best niet “admin” als gebruikersnaam.

 

Is je gebruikersnaam al “Admin”? Dan kun je eenvoudig een nieuwe gebruiker aanmaken met een unieke naam, je geeft gebruikersrechten als beheerder en je verwijdert de oude Admin beheerder.

Je wijst dan alle posts toe aan de nieuwe beheerder.

WordPress gebruiker toevoegen
⤷ Voeg een nieuwe gebruiker toe, maak die beheerder en verwijder je oude “admin” beheerder.

 

Kies een moeilijk wachtwoord. Gebruik je Google Chrome, laat dan een moeilijk wachtwoord voorstellen. Hou dit wachtwoord veilig.

Ik gebruik KeePass om al mijn wachtwoorden (en dat van klanten) te bewaren (in een database). Misschien niet sexy, maar wel effectief.

Als laatste is het belangrijk om de toegang voor verschillende gebruikers te beperken als die gebruikers ze niet nodig hebben. Eén beheerder is voldoende en beperkt het risico.

3. Hou je WordPress bestanden up-to-date

WordPress kernsoftware

WordPress is open source software. Dit is dus exact wat het zegt: de bron is open (toegankelijk) en te gebruiken door iedereen. Anderzijds wordt WordPress heel vaak geüpdatet. Veiligheidsupdates gebeuren automatisch, daar hoef je niks voor te doen.

Grotere updates moet je wél zelf doen. Dit is omdat niet altijd al je plugins compatibel zijn met de nieuwste WordPress versies. Ze geven jou als gebruiker dus de keuze om te updaten of niet.

Ik raad wel sterk aan om steeds naar de nieuwste WordPress versie te updaten. Oudere versies worden minder betrouwbaar, aangezien hackers steeds wel de achterpoortjes weten te vinden.

WordPress plugins

Ook je geïnstalleerde plugins moeten up-to-date blijven. Check daarbij zeker of je plugins compatibel zijn met de laatste WordPress versie.

WordPress thema

Denk ook aan je thema. Hou je thema up-to-date want ook daar schuilt een risico bij oudere versies. Denk dus goed na wanneer je een gratis thema kiest. Niet alle gratis thema’s worden goed bijgehouden door de makers ervan.

De meest betrouwbare gratis thema’s hebben vaak ook een betaalde versie met meer functionaliteit in. Daar zit dan sowieso een team achter dat actief de thema’s onderhoudt en update, ook hun gratis versies.

Mijn gratis thema bij voorkeur is Hello Elementor (van de makers van Elementor) of Astra.

4. Kies betrouwbare plugins

Je WordPress website heeft wellicht heel wat plugins geïnstalleerd en actief staan. Elke plugin afzonderlijk brengt extra risico mee voor een aanval.

Binnen de WordPress plugin bibliotheek kun je ook al een aantal dingen zien:

  • Actieve installaties: hoe meer installaties, hoe betrouwbaarder deze plugin waarschijnlijk is.
  • Laatst bijgewerkt: dit is ideaal gezien niet meer dan 1 tot 4 weken
  • Compatibel met jouw WordPress versie: is deze plugin geverifieerd compatibel met jouw WordPres versie?
WordPress plugin bibliotheek
⤷ De betrouwbaarheid van een plugin kun je beoordelen in de plugin bibliotheek.

 

Het is dus cruciaal om een betrouwbare plugin te kiezen. Heb je een bepaalde functionaliteit op het oog, doe dan zeker ook je onderzoek naar de plugin en het team erachter.

  • Premium versie: heeft de plugin een betaalde versie met extra functionaliteit? Dan zal je gratis plugin waarschijnlijk beter ondersteund worden.
  • Eenmalige kost of abonnementsformule: een eenmalige kost is leuk, 1 keer betalen en klaar. Een jaarlijkse terugkerende kost is wel vervelend. Of toch niet?Ik zie liever dat een plugin een abonnementsformule aanbiedt, zo ben ik geruster in de continuïteit van de plugin en de betrouwbaarheid. Ik ben dan zeker dat de updates blijven komen en dat ik ondersteuning kan krijgen voor elk jaar dat ik de licentie betaal.

3 stappen om je WordPress te beveiligen

1. Installeer een back-up plugin

Mijn backup plugin bij voorkeur is UpdraftPlus. Met de gratis versie kun je heel eenvoudig je backups automatisch inplannen.

Heb je een externe ruimte in de cloud, zoals bv. google Drive? Dan zit je nog een stuk veiliger: je back-ups worden dan op je externe ruimte bewaard en niet op je server.

UpdraftPlus WordPress back-up plugin
⤷ De UpdraftPlus plugin geniet mijn voorkeur voor regelmatige en automatische back-ups

 

2. Installeer een beveiligingsplugin

Net zoals bij de back-up plugins zijn er voor beveiliging ook heel wat plugins beschikbaar. Mijn voorkeur gaat naar Wordfence. Het heeft een vrij complete beveiliging die bovendien ook gratis is.

Wordfence Dashboard
⤷ Zo ziet het Wordfence Dashboard er uit.

 

2.1 Firewall

Wordfence installeert een basic firewall op je website. Dit blokkeert onmiddellijk alle aanvallen nog voor ze je website bereiken. Je ziet ook een log van alle geregistreerde aanvallen — je zal schrikken hoeveel je website aangevallen wordt!

Aanvallen geregistreerd door Wordfence
⤷ Het aantal aanvallen op mijn website geblokkeerd door Wordfence. Angstaanjagend…

 

2.2 Brute Force Protection

Deze functie vraagt sterke wachtwoorden voor alle gebruikers en sluit ongeldige gebruikersnamen of foutieve loginpogingen uit. Je kunt bv. “admin” ingeven om onmiddellijk uit te sluiten en niet na de standaard 20 pogingen.

Brute Force Protection Wordfence
⤷ Met Brute Force Protection kun je o.a. inlogpogingen met “admin” onmiddellijk uitsluiten.

 

Wees uiteraard voorzichtig, dit betekent dat je niet ongelimiteerd kunt proberen inloggen.

2.3 Veiligheidsscan

Heb je vermoeden van een mogelijke hack? Dan kun je een scan laten uitvoeren om daarna de nodige stappen te ondernemen voor herstel.

2.4 Beveiliging bij het inloggen

Bij het inloggen worden sowieso al de foutieve inlogpogingen geweerd na x aantal pogingen.

Maar je kunt nog meer doen om je WordPress inlogscherm te beveiligen.

2.4.1 Tweestapsverificatie (two factor authentication)

Dit zorgt ervoor dat je na het ingeven van je wachtwoord een extra code moet geven die gegenereerd wordt door een service naar jouw keuze. Ik gebruik zelf vaak Google Authenticator.

Zonder deze code worden de inlogpogingen niet aanvaard.

Tweestapsverificatie Wordfence
⤷ Tweestapsverificatie schakel je eenvoudig in binnen Wordfence

 

2.4.2 Antispammaatregelen (reCAPTCHA v3)

Een extra maatregel die je kunt nemen voor je inlog- en registratiepagina’s is een reCAPTCHA. Je kent ongetwijfeld de moeilijke puzzels of het aanduiden van verkeerslichten, voertuigen of zebrapaden,…

Het is hetzelfde principe, alleen hoeft dit niet meer (want zeg nu zelf, dat was toch veel te moeilijk??)

Het enige zichtbare gedeelte is nu een badge rechts (of links) onderaan je website. Het zorgt dus voor extra beveiliging tijdens registratie en inloggen van gebruikers.

Je hebt enkel een site key en een secret key nodig, die je kunt krijgen via Google.

reCAPTCHA Wordfence
⤷ Voeg hier je sitesleutel en geheime sleutel in voor reCAPTCHA-beveiliging.

 

2.5 Premium beveiliging met Wordfence

Heb je nood aan meer beveiliging? Met een kleine kost per jaar ($99 per site) heb je de volgende extra beveiligingsopties.

2.5.1 Real-time blokkeren van gekende aanvallers

Met de gratis versie van Wordfence worden de gekende aanvallers en hackpogingen automatisch na 30 dagen geblokkeerd, ook al is je WordPress niet up-to-date en is je website nog kwetsbaar.

Wil je onmiddellijk van de bescherming genieten? Dan beschermt de betaalde (premium) versie je website in real-time.

2.5.2 Uitgebreide veiligheidsscan

Wordfence biedt je bij de betaalde versie een gevoeligere veiligheidsscan die geïnfecteerde bestanden beter kan detecteren.

2.5.3 Ondersteuning en herstel na hacking

Is je website kwetsbaar en/of gehackt? Dan kun je met behulp van de premium scan alle bestanden nagaan.

Jouw bestanden worden gecontroleerd door Wordfence en geverifieerd tov “de oorspronkelijke” WordPress-bestanden. Zijn ze geïnfecteerd? Dan kun je ze met behulp van Wordfence herstellen.

Je hebt ook automatisch eerste prioriteit bij het support team van Wordfence.

3. Activeer een SSL-certificaat

Een SSL-certificaat is een must-have. Dit is tegenwoordig een ranking factor voor zoekmachines. Heb je niet het groene slotje in je adresbalk, dan kunnen verschillende browsers de bezoeker een melding dat je site niet veilig is.

SSL zorgt voor een versleutelde verbinding (via encryptie) bij het doorsturen van gegevens. Hoewel dit niet waterdicht is, zorgt het voor een veiligere website.

Bij Combell is SSL inbegrepen in je pakket. Je hoeft het enkel nog te activeren.

Combell SSL activatie
⤷ Bij Combell kun je via het controlepaneel je SSL eenvoudig activeren.

 

Daarna installeer je de plugin Really Simple SSL, die het zware werk voor jou doet:

Instellingen van Really Simple SSL
⤷ De instellingen van Really Simple SSL zijn eenvoudig.

 

SOS website: wat te doen bij een gehackte website

Je hebt 2 mogelijkheden:

1. Contacteer de Site Cleaning dienst van Wordfence

De Site Cleaning dienst van Wordfence is de snelste oplossing, maar dit kost extra. Prijzen variëren ook naargelang de vraag op dat moment.
Doe je hier beroep op, dan krijg je automatisch een jaar licentie in je pakket, dus in principe geen slechte deal.

2. Je gaat zelf aan de slag

  1. Maak een back-up, bewaar deze lokaal.
  2. Update je WordPress versie naar de laatste versie.
  3. Update je thema en plugins naar de nieuwste versies.
  4. Verander alle wachtwoorden op je website, in het bijzonder je beheerders.
  5. Maak een nieuwe back-up, die los staat van de vorige back-up. Je hebt nu nog steeds een geïnfecteerde website, maar je hebt wel de nieuwste versies van je hele WordPress website. Mocht er iets fout gaan in de volgende stappen, kun je nog steeds naar dit punt terugkeren.
  6. Ga naar de Scan pagina van Wordfence. Klik op “Scan Options and Scheduling”. Schakel “High Sensitivity” scanning optie. Als dit mislukt, ga naar de “General options” en vink de opties “Scan files outside your WordPress installation” en “Scan images, binary, and other files as if they were executable” uit.  Bewaar en probeer een nieuwe scan.
  7. De resultaten tonen je waarschijnlijk een lange lijst van geïnfecteerde bestanden. Neem je tijd om door de lijst te gaan.
  8. Controleer alle verdachte bestanden en bewerk de bestanden handmatig of gebruik Wordfence om de bestanden te herstellen. Wees voorzichtig, je kunt hier geen ctrl+z gebruiken. Je hebt wel nog een back-up dus in principe zit je safe.
  9. Bekijk alle aangepaste bestanden van je WordPress core, thema en plugins. Maak gebruik van de Wordfence-optie om te kijken wat er veranderd is tussen het oorspronkelijke bestand en jouw (geïnfecteerde) bestand. Als het er verdacht uitziet, gebruik de Wordfence optie om te herstellen.
  10. Neem je tijd om de hele lijst af te lopen.
  11. Scan opnieuw. Normaal is je website nu infectievrij.

 

Heb je het hele proces doorlopen maar is je website nog steeds geïnfecteerd? Doe dan beroep op de Site Cleaning diensten.

Conclusie

Maak van veiligheid je nummer 1 prioriteit. Het is helemaal niet zo moeilijk, je hoeft geen programmeur te zijn.

Als je de basics al hebt en een beveiligingsplugin (Wordfence) installeert, ben je al beter af dan het gros van de WordPress gebruikers. En volledig gratis ook!

Zijn je inkomsten gerelateerd aan de uptime van je website? Investeer dan een klein bedrag in een real-time beveiliging via Wordfence. Better safe than sorry.

Spring naar een onderdeel
WordPress beveiligen in 3 stappen – Complete gids voor dummies

WordPress zonder stress:
lijkt je dat wat?

Wil je de snelste shortcut naar hoe je zelf heel eenvoudig via drag-and-drop een aantrekkelijke, mobielvriendelijke website bouwt? Mijn beste tips en tutorials ontvang je dan als eerste in je mailbox.