Vimexx Facebook

Hoe beveilig je je Wordpress website? De ultieme handleiding!

Bijgewerkt op 01-11-2022

Wordpress beveiliging is een onderwerp wat voor elke website eigenaar tegenwoordig ontzettend belangrijk is. In een onderzoek van beveiligingsplatform Securi uit 2017 bleek dat 83% van alle gehackte websites waar ze aan werkten een Wordpress website was. Het internet bestaat voor ongeveer een derde uit Wordpress websites, waarvan er duizenden dagelijks worden gehackt of geïnfecteerd. Dit maakt de beveiliging ervan van groot belang.

Het laatste wat je wil is dat je drukbezochte website geïnfecteerd raakt en gehackt wordt, waardoor bezoekers het vertrouwen in je Wordpress website kunnen verliezen. Het kan zijn dat je website gekke links heeft naar vreemde plekken op het internet, maar mogelijk is je website wel helemaal stuk en kan niemand er meer op raken. 

Wordpress beveiliging in 2022, wat moet je weten?

Genoeg redenen dus om ervoor te zorgen dat je Wordpress website goed beveiligd is tegen malware, hacks en infecties. Hoe beveilig je je Wordpress website in 2022? In dit artikel gaan we je helpen om je Wordpress beveiliging op orde te krijgen!

  1. Beveiligde Wordpress hosting
  2. Wachtwoorden
  3. Updates van Wordpress en je plugins
  4. Beveiligde verbindingen (SSL)
  5. PHP versies
  6. Security through obscurity
  7. Security plugins
  8. Permissies van bestanden
  9. De installatie van plugins en themes
  10. 2FA instellen
  11. Captcha's
  12. HTTP security headers

Beveiligde Wordpress hosting

Een belangrijke eerste stap voor het beveiligen van je Wordpress website is een goede basis te leggen voor je website. Dit begint bij het kiezen van een hosting provider voor je site. Een aantal belangrijke zaken die je host voor je kan regelen zijn:

  • Verdachte activiteit in het netwerk wordt gecontroleerd en afgevangen zodat deze je website niet kunnen website bereiken.
  • Automatische updates voor je Wordpress websites.
  • Klanten en hun websites zijn gescheiden van elkaar om kruisbesmetting van malware te voorkomen.
  • Er zijn systemen aanwezig om DDOS aanvallen te weren.
  • Relevante software zoals het bijvoorbeeld het OS op je server en de beschikbare PHP versies worden up-to-date gehouden.

Uiteraard zijn bovenstaande punten allemaal zaken waar je bij Vimexx op kan rekenen. Zo blokkeren wij bijvoorbeeld aanvragen op het xml-rpc.php bestand op ons gehele platform om aanvallen hierop te voorkomen. Ook maken onze servers gebruik van containers om zo elke gebruiker een eigen plekje te geven, welke gescheiden is van de andere gebruikers op de server. Bij Vimexx zit je dus wel goed. De hosting is echter niet allesbepalend in dit verhaal, lees dus snel verder voor meer tips om je Wordpress website te beveiligen.

Hoe richt je je hosting omgeving in?

Als je maar 1 Wordpress website hebt kan je met een standaard hostingpakket prima uit de voeten. Dit verandert echter als je meerdere Wordpress websites wil beheren. Omdat meerdere websites binnen 1 hostingpakket toegang hebben tot elkaars bestanden kan dit een veiligheidsrisico vormen. Een gehackte website kan daarbij ook andere sites binnen hetzelfde pakket infecteren.

Een oplossing voor dit probleem is bijvoorbeeld door een Reseller pakket, VPS of Dedicated server te gebruiken. Dit maakt het mogelijk om je websites te scheiden met behulp van losse gebruikers binnen je hostingpakket. Op elke gebruiker zet je dan 1 website, zodat je Wordpress websites netjes gescheiden zijn van elkaar.

Wachtwoorden

Het lijkt misschien voor de hand liggend, maar slimme wachtwoorden zijn een van de beste manieren om je websites (en je verdere online bestaan) te beveiligen. Dat klinkt gemakkelijk, maar toch zijn de meest gebruikte wachtwoorden erg teleurstellend, kijk bijvoorbeeld naar de meest gebruikte wachtwoorden Nederlandse wachtwoorden van 2020 en je ziet al snel wat de problemen zijn. Een kleine greep uit de toppers:

  1. 123456
  2. 12345
  3. 123456789
  4. qwerty
  5. wachtwoord

Zoals je ziet zijn de meest populaire wachtwoorden ontzettend makkelijk te raden, zeker voor een hacker welke de lijst ontzettend snel kan doorlopen met bijvoorbeeld geautomatiseerde scripts. Vaak wordt er ook gebruik gemaakt van namen, verjaardagen, jaartallen en bijvoorbeeld adressen in een wachtwoord.

Deze wachtwoorden zijn allemaal makkelijk te onthouden, maar tegelijkertijd ook erg gevaarlijk in gebruik. Het is begrijpelijk dat je niet allemaal losse wachtwoorden kan onthouden, maar het is wel belangrijk dat je voor elke website een ander wachtwoord instelt. Je wil immers natuurlijk niet dat bij het buitmaken van je wachtwoord al je andere accounts ook direct worden geraakt. Een kleine variatie als een 1 of A toevoegen aan een wachtwoord is daarbij niet voldoende, want deze zijn gemakkelijk te raden.

Password managers

Gelukkig bestaan hier handige oplossingen voor, waarvan de meest handige een password manager is. Een password manager plaatst al jouw wachtwoorden in een digitale kluis en beveiligt ze met een overkoepelend wachtwoord. Met dit ene wachtwoord kan je dan gemakkelijk toegang krijgen tot al je accounts.

Deze managers genereren moeilijk te kraken wachtwoorden zoals bijvoorbeeld uhkwLK0Nyfrsaz3@J1$hy5 voor je. Deze worden vervolgens opgeslagen in je kluis, die je met een paar stappen gemakkelijk kan benaderen. Ook kan je met een password manager automatisch de inlogvelden bij websites aanvullen met je gegevens.

Een paar populaire password managers zijn:

Als je simpelweg alleen sterke wachtwoorden wil genereren dan kan dat ook met bijvoorbeeld de LastPass password generator. Eventueel kan je deze laten opslaan in je browser.

Updates van Wordpress en je plugins

Het up-to-date houden van Wordpress is een fundamenteel onderdeel van de beveiliging van je website. Dit geldt voor zowel de kern van Wordpress als de plugins en thema's op je website. Door het updaten van deze onderdelen zorg je ervoor dat je altijd bij bent op het gebied van de nieuwste beveiliging en bugfixes.

Je kan misschien denken “die updates komen wel en mijn website draait goed”, maar dit is de voornaamste reden van een gehackte Wordpress website. In een Wordfence onderzoek uit 2016 blijkt dat meer dan 55% van de gehackte sites een lek hadden in een plugin. Om te voorkomen dat je Wordpress websites gehackt worden is het dus belangrijk om je plugins altijd up-to-date te houden.

De Wordpress Core

Naast het updaten van je plugins is de kern van Wordpress net zo belangrijk om bij te houden. Dit is een van de belangrijkste onderdelen van Wordpress en bestaat uit een groep bestanden die samen het centrale deel van je installatie vormen. Zonder de zogeheten Wordpress core kan je website niet draaien.

Zorg er dus ook altijd voor dat je Wordpress core up-to-date is, zodat je het belangrijkste deel van je website altijd goed werkend hebt. Een bijkomend voordeel van het updaten hiervan is dat dit vaak de snelheid van je website ten goede komt door nieuwe technieken en optimalisaties!

Hoe vaak moet je Wordpress updaten?

Een goede vraag! Als je dit elke week bijhoudt is dat natuurlijk het beste, maar eens per maand is vaak voldoende. Dit kan je bijvoorbeeld op de eerste maandag van de maand inplannen, dan heb je direct een mooi startsein van je updateronde!

Beveiligde verbindingen (HTTPS & SSL)

In 2022 is het eigenlijk een vereiste dat elke website voorzien is van een SSL certificaat. Een SSL certificaat zorgt er namelijk voor dat je je website kan bezoeken met HTTPS verbinding. Het valt tegenwoordig nogal op wanneer je dit niet hebt, aangezien veel browsers zelfs een waarschuwing geven als je geen SSL certificaat hebt. Je ziet dan meldingen als “not secure” of “niet beveiligd” staan in de adresbalk. Het is daarom zeker voordelig om te zorgen dat je website beschikt over een SSL certificaat, welke bij Vimexx gratis op elk hostingpakket te installeren zijn.

Om een SSL certificaat te installeren op je website kan je onze SSL installatie handleiding volgen. Vergeet niet om ook je website daadwerkelijk over een HTTPS verbinding te forceren.

Wat is een HTTPS verbinding en wat voor voordelen biedt dit eigenlijk? In dit artikel benoemen we er een paar, maar gaan we vooral in op de veiligheid ervan. Voor verdere uitleg over SSL kan je altijd terecht bij ons artikel over SSL.

Veiligheid

Een belangrijke reden om HTTPS te gebruiken voor je website is de extra beveiliging die het kan bieden. Je kan begrijpen dat dit voor webshops een must is. Een HTTPS verbinding zorgt er voor dat er geen MITM (man in the middle) aanvallen kunnen plaatsvinden. Hierbij is het mogelijk om bijvoorbeeld login gegevens van de gebruiker (de browser) te onderscheppen wanneer deze naar de server verstuurd worden. Met een HTTPS verbinding voorkom je dat hackers toegang krijgen tot de gevoelige gegevens van je bezoekers.

SEO (Search Engine Optimisation)

Websites die beveiligd zijn met een HTTPS verbinding scoren beter in zoekmachines als bijvoorbeeld Google, Bing en DuckDuckGo. Een simpele stap om je ranking net dat beetje beter te krijgen.

Prestaties

HTTPS verbindingen zorgen er niet alleen voor dat je Wordpress website veiliger is, maar ook voor meer snelheid. Dit wordt gedaan met een protocol genaamd HTTP/2 wat er voornamelijk voor zorgt dat er meerdere verbindingen worden gelegd tussen de browser en de server om bestanden te versturen. Dit zorgt ervoor dat je bezoekers sneller alle benodigde bestandjes binnen hebben om je website te bezoeken. En wie wil er nou geen snellere website?

Vertrouwen

Wanneer je website is voorzien van een SSL certificaat zal er een slotje worden weergegeven in elke browser om aan te geven dat je website beveiligd is. Dit zorgt niet alleen voor een veilig gevoel, maar schept ook vertrouwen bij je bezoekers.

PHP versies

Elke Wordpress website is gemaakt in PHP, dit is de taal die gebruikt wordt en is verantwoordelijk voor de werking van je website. Om ervoor te zorgen dat PHP veilig blijft wordt PHP regelmatig ge-update met beveiligingspatches. Elke belangrijke update van PHP wordt doorgaans maximaal 2 jaar ondersteund, waarna je zal moeten updaten. Als je op een lagere versie draait kan het dus zijn dat je Wordpress website niet meer optimaal beschermd is. 

Het updaten van je PHP versie kan je doorgaans in je hostingpakket aanpassen en gaat meestal vrij gemakkelijk. Bij Vimexx kan je hiervoor onze PHP instellingen handleiding volgen. Ook kan je hier zien welke versie je momenteel draait!

Als je dit hebt gedaan kan het zijn dat je website niet meer optimaal werkt, omdat er bijvoorbeeld verouderde thema’s of plugins worden gebruikt. In dit geval is het handig om eerst de PHP versie weer terug te zetten, waarna je kijkt of er zaken ge-update kunnen worden.

Security through obscurity

Security through obscurity is een term wat zijn roots heeft in de traditionele beveiliging. Hiermee probeer je beveiligingsrisico’s te beperken door de werking van je actieve beveiliging geheim te houden, wat het hacken van je website moeilijker maakt. 

Zo kan je bijvoorbeeld de login URL van je Wordpress website aanpassen naar wat anders, zodat een brute-force aanval niet zo gemakkelijk uitgevoerd kan worden. Een andere manier is om de gebruikersnaam van je administrator account aan te passen. Een hacker zal namelijk als eerst proberen in te loggen op de standaard URL met de standaard gebruikersnaam: /wp-admin en admin. Door het aanpassen van deze twee naar iets anders laat je de hacker al niet binnen via de gebruikelijke manieren.

Hoe wijzig ik mijn Wordpress login URL?

Je kan je Wordpress login URL aanpassen met behulp van een plugin als WPS Hide, maar dit handmatig zonder plugin regelen geniet de voorkeur. Het voordeel van de plugin is dat je dit erg gemakkelijk kan installeren met een paar clicks. Als je je plugin lijst zo klein mogelijk wil houden kan je dit beter handmatig aanpassen, waardoor dit ook betere performance biedt vergeleken met de plugin.

Let er natuurlijk wel op dat je deze URL goed onthoudt, want als je deze niet meer weet is het lastig om weer in te loggen op je Wordpress website.

Hoe pas ik mijn Wordpress gebruikersnaam aan?

Het aanpassen van je Wordpress admin gebruiker kan je in je Wordpress dashboard aanpassen bij het tabje users/gebruikers. Hiervoor maak je eerst een nieuwe gebruiker aan met alle Admin rechten door bij rol/role “Administrator” te kiezen. Kies hierbij een naam die moeilijk te raden is, dus geen namen als “Eva” als je ook een auteur op je Wordpress website hebt die Eva heet, dat is te makkelijk om te raden.

Na het aanmaken van de nieuwe gebruiker kan je het oorspronkelijke admin account verwijderen.

Security plugins

Uiteraard is een ander belangrijk onderwerp het gebruik van beveiligingsplugins op je Wordpress website. Er zijn tal van plugins die de beveiliging van je website net dat stukje beter kunnen maken. Een paar voorbeelden zijn:

Met deze plugins kan je allerlei zaken beveiligen binnen je website. Een aantal features van beveiligingsplugins zoals bovenstaande zijn:

  • Scannen naar malware
  • Two-factor-authentication (2FA)
  • Beschermen tegen aanvallen
  • Monitoren verdachte activiteit
  • Het scannen van je website
  • Automatisch checken van permissies
  • Captcha’s instellen
  • Blokkeren van IP adressen
  • Het instellen van firewalls

Deze features zijn natuurlijk allemaal erg handig, waardoor het zeker kan lonen om zo’n plugin te installeren op je website. We zijn zelf erg te spreken over de iThemes Security plugin, vanwege de grote featureset en bewezen functionaliteit. Als Vimexx klant kan je dan ook gratis gebruik maken van de iThemes Pro variant.

Welke beveiligingsplugin moet ik gebruiken?

Zoals bij veel zaken het geval is is er hier geen beste plugin, er zijn tal van goeie plugins die allemaal net wat anders werken. Daarom kunnen we geen plugin aanwijzen die het beste is.

Wel willen we graag benadrukken dat het installeren van beveiligingsplugins met zorg gedaan moet worden. We merken dat sommige gebruikers meerdere plugins installeren, welke elkaar tegen kunnen werken. Denk bijvoorbeeld aan scans of firewalls die bij beide plugins aanwezig zijn. Het kan zelfs zo zijn dat je helemaal geen beveiligingsplugin gebruikt, ook dat kan veilig zijn, mits je de rest van je beveiliging op orde hebt!

Gebruik daarom het liefst maar 1 beveiligingsplugin, dit zorgt voor een schone en overzichtelijke werkwijze. Daarnaast is dit ook bevorderlijk voor de snelheid van je websites, want hoe meer plugins je hebt hoe trager je website kan worden.

Permissies van mappen en bestanden

Bestandspermissies zijn een belangrijk onderdeel van de beveiliging van je Wordpress website. Als de permissies te los staan wordt het mogelijk om bijvoorbeeld toegang te krijgen tot je bestanden en zo dus ook je website. Het is echter ook belangrijk dat je de permissies niet te strak hebt staan, dit kan er namelijk voor zorgen dat cruciale functionaliteiten van je website niet meer werken.

We willen natuurlijk niet dat iedereen zomaar toegang heeft tot je bestanden, dus we zullen alles moeten beveiligen. De bestandspermissies worden uitgedrukt in getallen, zo staat bijvoorbeeld 777 voor lees, schrijf en uitvoer toegang voor alle gebruikers. Voor bijvoorbeeld je wp-config.php, waar gevoelige data in staat, is dit onveilig. Daarom kan je dit het beste zo strak mogelijk zetten zodat je de rechten beperkt. 

Wp-config.php permissies

Standaard staan de permissies van de wp-config.php op 600, wat inhoudt dat alleen de eigenaar zelf lees en schrijfrechten heeft. De strengste permissies voor je wp-config.php bestand zijn 400, alleen de eigenaar heeft dan leesrechten.

Het kan zijn dat te strenge permissies ervoor zorgen dat bepaalde plugins geen toegang hebben waardoor ze niet goed werken. Het is verstandig om dan tijdelijk de permissies wat losser te zetten, naar bijvoorbeeld 600 wanneer de plugin iets moet aanpassen in de config.

Een overzicht van de mogelijke permissies die je kan instellen op volgorde van strengheid:

  • 400
  • 600
  • 440
  • 640
  • 444
  • 644

Permissies van bestanden

Andere bestanden binnen je Wordpress installatie zijn niet zo gevoelig als de wp-config.php, deze hoeven dus ook niet zo streng beveiligd te worden. Standaard staan deze permissies op 644 na de installatie van Wordpress, en deze kan je ook zo houden.

Permissies van mappen

Mappen hebben een mindere mate van strengheid nodig, deze kunnen allen worden ingesteld op 755.

Hoe pas ik de permissies aan?

Bij Vimexx staan na de installatie van je Wordpress website de permissies al goed ingesteld, dus daar hoef je niet bij te komen, tenzij je ze nog strenger wil instellen. Dit kan voornamelijk op de wp-config. De permissies pas je gemakkelijk aan met de Set Permission knop in de file manager van Directadmin.

De installatie van plugins en thema’s

Niet geheel onbelangrijk zijn de plugins en thema’s in je Wordpress website. Wordpress is open-source, en iedereen met een beetje kennis kan een thema of plugin maken ervoor. Dat is heel handig, want het aanbod van plugins en thema’s is gigantisch groot. Hiermee kan je gemakkelijk de functionaliteit en weergave van je website veranderen naar wat je maar wil met een paar klikken.

Deze gemakkelijkheid heeft echter ook een keerzijde. Omdat iedereen zomaar een plugin of thema kan maken betekent dat tevens ook dat er plugins bij zitten welke slecht in elkaar zitten, of niet voldoende beveiligd zijn. Ook kan een ontwikkelaar zomaar stoppen met de ondersteuning ervan, waardoor je geen updates meer kan krijgen voor de plugin.

Om zo min mogelijk risico te lopen is het verstandig om bij de keuze tussen plugins en thema’s op het volgende te letten:

  1. Kijk naar het aantal gebruikers van de plugin of het thema, hoe meer gebruikers deze heeft, hoe betrouwbaarder deze is. 
  2. Let op de reviews, iets met 2 of 3 sterren heeft een vergrote kans om onveilig te zijn.
  3. Check de recente updates, een plugin die recentelijk geüpdatet is is (vaak) een stuk veiliger dan iets wat een jaar geleden zijn laatste update heeft gekregen.
  4. Kies alleen plugins die echt nodig zijn. Zo min mogelijk plugins installeren betekent dat je zo min mogelijk risico loopt.

Waar haal ik betrouwbare plugins vandaan?

Deze kan ik je het beste uit de Wordpress plugin Directory halen. Op deze manier omzeil je de verkeerde websites en kan je reviews, het aantal gebruikers en de recente updates van de plugin bekijken. In deze catalogus staan alleen gratis plugins.

Ik wil een betaalde of premium plugin gebruiken, wat nu?

Natuurlijk is het mogelijk om deze ook te gebruiken op je Wordpress website. Als je een betaalde of premium versie van een plugin wil gebruiken dan is het belangrijk dat je deze van een betrouwbare bron download. Denk aan bijvoorbeeld links vanuit de officiële plugin directory. Wanneer een plugin daar niet tussen staat is het simpelweg belangrijk te controleren of de plek waar je de plugin vandaan haalt betrouwbaar is.

Op welke plek kan ik het beste Wordpress thema’s verkrijgen?

Bovenstaand verhaal over plugins geldt ook grotendeels voor het downloaden van Wordpress thema’s. Door deze op betrouwbare plekken te downloaden zorg je dat er zo min mogelijk risico ontstaat. 

De beste plekken om thema's te downloaden:

  1. De officiële Wordpress theme Directory - de makkelijkste plek om thema's te vinden.
  2. De Themeforest marketplace - één van de grootste thema websites op het internet.
  3. De Theme Store van Woocommere - hier kan je thema's vinden die zoal geschikt zijn voor de Woocommerce plugin binnen Wordpress.
  4. De MOJO Wordpress Marketplace - er zijn op de Mojo marketplace minder thema's te vinden, maar dat maken ze goed door kwalitatief hoogwaardige thema's aan te bieden.

Two-factor-authenticatie (2FA) instellen

Om ervoor te zorgen dat je accounts nog beter zijn beveiligd kan je gebruik maken van two factor authenticatie (2FA). 2FA zorgt ervoor dat er een extra laag wordt toegevoegd bij het inloggen op je accounts. Na het invullen van je gebruikersnaam en wachtwoord wordt er gevraagd om een code, welke in een Authenticator app als bijvoorbeeld Google Authenticator te zien is.

Door het instellen van 2FA op je accounts zorg je ervoor dat iemand die jouw wachtwoord heeft alsnog niet kan inloggen op je account. Het voegt een extra beveiligingslaag toe welke tegenwoordig bijna noodzakelijk is. 

Een paar handige plekken om 2FA op in te stellen zijn:

  1. Wordpress
  2. Je hostingaccount
  3. Je e-mailaccount

Hoe kan ik 2FA instellen?

Het instellen van 2FA op Wordpress kan niet standaard, daarvoor is bijvoorbeeld een plugin als Two Factor Authentication nodig. Zodra je de plugin hebt geïnstalleerd kan je de aan de slag met het koppelen van je authenticator.

Instellen van 2FA op je Vimexx account is ook mogelijk. Hiervoor log je eerst in je account, waarna je navigeert naar je Persoonlijke gegevens. Onderaan vind je een knop om Two-Factor Authentication in te stellen. De rest wijst zich dan vanzelf.

Inschakelen van 2FA binnen het klantenpaneel

Stel 2FA in op je klantenpaneel met bovenstaande knop.

Maak gebruik van Captcha's op je formulieren

De kans is groot dat je gebruik maakt van contactformulieren op je website. Deze zijn natuurlijk super handig, maar kunnen ook potentieel gevaarlijk zijn als ze niet goed beveiligd worden. Een kaal formulier zonder enige vorm van beveiliging kan worden gebruikt door bijvoorbeeld spammers. Deze sturen dan met behulp van jouw formulier spam naar allerlei adressen via jouw website. Dat wil je natuurlijk niet. 

Een manier om dit te stoppen is gebruik maken van een Captcha op je website. Een Captcha zorgt ervoor dat bots/spammers niet zomaar je formulieren kunnen gebruiken, omdat er een extra laag van beveiliging op je formulier zit. Deze extra laag is ontzettend moeilijk te omzeilen door bots. 

Een vaak gebruikte Captcha is bijvoorbeeld ReCaptcha van Google. In ons captcha artikel vertellen we iets meer hierover en kan je ook vinden hoe je dit instelt op je Wordpress website en formulieren.

Voeg HTTP security headers toe aan je website

Een extra stap die je kan nemen om je Wordpress website verder te beveiligen zijn HTTP security headers. Deze headers beveiligen je Wordpress website tegen zaken als bijvoorbeeld XSS (Cross Site Scripting) exploits. Met Cross Site Scripting kan een hacker op verschillende manieren code injecteren in je website. Met de security headers kan je dit voorkomen. 

Hoe stel ik HTTP security headers in?

De headers instellen gebeurt op de webserver zelf. Dit kan ook bij Vimexx zo, en is binnen een paar minuten geregeld. We maken hierbij gebruik van het .htaccess bestand binnen je hostingpakket. In onze HTTP security headers handleiding lees je precies hoe dit werkt.

Samenvatting

Na het lezen van deze handleiding ben je hopelijk een stuk wijzer geworden op een gebied van Wordpress beveiliging. Misschien heb je zelfs al een paar tips gebruikt in je website en is je beveiliging nu up to date. Neem gerust de tijd om de tips door te nemen en te implementeren op je Wordpress website, want waarschijnlijk is je website ook een bron van inkomsten en wil je daar zorgvuldig mee om gaan. 

Mocht het zo zijn dat je toch nog aanvullingen of tips hebt naar aanleiding van het lezen van de handleiding, dan horen we dat graag! Je kan altijd even contact met ons opnemen via de Livechat of een ticket!

Heeft deze handleiding je goed geholpen?
- 5 van 5 sterren -