Wie heeft er nog een webdesigner en programmeur nodig als je zelf een website kan maken met WordPress? Nou, voldoende mensen die weinig kaas hebben gegeten van webdesign, usability en zoekmachinevriendelijke content. Mocht je bij de groep horen die niet schrikt van deze termen dan is het toch verstandig om je site door te lopen op mogelijke beveiligingslekken. Zie hier een paar simpele stappen om je site goed dicht te bouwen tegen spam en hackers.
Installatie
Bij het installeren van je WordPress-site zijn er een paar punten om op te letten. Ben je dit stadium voorbij dan is het de moeite waard om te checken of je bepaalde dingen opnieuw kan instellen. Gebruik bij het installeren van je MySQL-database en WordPress-pakket geen simpele standaard wachtwoorden en gebruikersnamen. Dit klinkt als een open deur, maar ‘admin’ als gebruikersnaam wordt vaak nog achteloos ingevuld zonder over de gevolgen na te denken.
Vervolgens kan je ervoor kiezen om je mappen die niet perse public hoeven zijn dicht te gooien en je .htaccess-bestand aan te passen om deze beter te beveiligen. Met een paar simpele stappen is je .htacces-file aangepast en bespaar je jezelf een hoop ellende. Je kan er ook voor kiezen om je wp_config-bestand een mapje hoger te plaatsen dan in de standaard public_html map, dat zorgt ervoor dat het config-bestand niet openbaar is en daardoor dus niet zomaar kan worden geopend.
Plugins
Uiteraard zijn er talloze handige en onhandige plugins die claimen je site te beveiligen. Enkele plugings hebben hun sporen ondertussen verdient. Ook een goede tip is om ongebruike plugings en themes te verwijderen. Dit zorgt voor een beter overzicht, snelheid en verkleint het risico op lekken. Hoe minder troep, hoe minder er mis kan gaan.
Een handige plugin voor de beveiliging van je gehele site is Wordfence. Deze plugin functioneert als een soort firewall op je website die virussen en crawlers tegenhoudt. Daarnaast is deze plugin in staat om je gehele site te repareren ook als je geen back-up hebt.
Een handige plugin om hackpogingen te vermijden is Limit Login Attempts. Deze plugin limiteert het aantal loginpogingen op je website waardoor hackers niet eindeloos wachtwoorden en gebruikersnamen kunnen proberen in te voeren. Ook zijn er voldoende plugings om spam te voorkomen, SpamFree WordPress is een plugin die ervoor zorgt dat spam helemaal geen kans heeft op je website.
Updaten
Het klinkt heel logisch, maar wordt daarom toch te vaak vergeten. Update je WordPress, theme en plugins regelmatig. De updates zijn er niet voor niks, de laatste beveiliginglekken en bugs zijn eruit gehaald dus doe er je voordeel mee. Daarnaast, zorg dat je de laatste versie van je browser gebruikt. Dit is veiliger en je wilt natuurlijk niet als die noob met IE 5.0 te boek staan.
5 comments
Goed artikel als aanvulling zou ik nog zeggen verwijder de admin gelijk na installatie en verzin een andere beheerder
Hey Danitsja,
Nuttig artikel ;) Leuk dat je naar onze site gelinkt hebt en dat we elkaar zo nog eens tegen komen.
En inderdaad de aanbeveling van Ronald ook zeker doen hoor, noem de standaard gebruiker gewoon geen admin maar geef die een moeilijkere naam :)
Groetjes!
Onze ervaringen zijn dat je Wordfence (firewall) liever laat liggen en beter een stand-alone, aan server-side, firewall laat draaien (CSF), of liever nog, voor de server zelf met een hardwarematige variant. De database van Wordfence wil namelijk nogal stevig worden en kost je resources. Daarna met WP Better Security de meest voorkomende zaken beveiligen, die zorgt voor de basis.
– zorg ervoor dat je wachtwoorden (database en wp-admin) van elkaar afwijken. Komt nogal vaak voor dat dit hetzelfde wachtwoord is..;)
Eric
Zelf vind ik Akismet de beste optie om spam te bestrijden. Bruteprotect werkt op dezelfde basis ('leert' van alle sites waarop het is geïnstalleerd) en is daarom effectiever dan Limit Login Attempts. Als je daarnaast je admin gebruiker vervangt en een goed wachtwoord kiest, is er doorgaans niets extra's nodig als je ook goede back ups maakt, met BackWPup bijvoorbeeld. En dat scheelt weer de nodige memory en laadtijd.
Hey Hey Danitsja,
Waardevol artikel voor mezelf.
Jaren geleden toen de EU domeinnamen vrij kwamen claimde ik er ook een van mijn eigen regio waar ik woon. Het idee van hoe de site er destijds uit zou moeten gaan zien viel voor mezelf nog wel even vies tegen (wat pak je er wel en niet bij visueel gezien).
Nadat ik de basis gelegd had installeerde ik maar een WordPress account op mijn domein, de plannen met mijn website verschoof ik dus een beetje naar de achtergrond.
Zelf begon ik steeds handiger te worden met WordPress en blogte en blog er veel op, binnen de reacties op een blog kreeg ik destijds wel veel spam binnen.
Vanaf een bepaald moment was ik die spam zat, stond het toe dat mensen gingen reageren op blogs van mij en uiteindelijk antwoorden onderling dat ik de instellingen weizigen in de vorm van reageren mag maar het werd/wordt pas geplaatst nadat ik toestemming geef.
Dat bleef nog steeds onbegonnen werk om het allemaal bij te houden, van de 10 reacties per nieuwe blog en/of nieuwe reactie op een bestaande blog in 1 dag tijd waren er maar 1a 2 echt!
Had destijds vooraf een houding het ergens niet mee eens zijn mag, wanneer iemand dronken of alleen maar scheldend achter de pc zit zou ik wel kunnen verwijderen.
Veelal kreeg ik reacties in het Engels met een hele lange lap tekst die in vogelvlucht gezien wel netjes op de inhoud ingingen (scam).
Vanaf het moment dat ik destijds/nu gebruik maak van Akismet was en is de overlast een stuk minder geworden maar houw mijn eerste WordPress account nog steeds deels op slot.
Lang verhaal mijnerzijds misschien, WordPress had en heb ik nu intussen beter leren kennen in positieve zin maar omtrent de beveiliging ervan kamp ik wel met een paar vragen.
1.is het verstandig om meerdere WordPress accounts op 1 domein te plaatsen?
Voor mijzelf was en ben ik er al 2 nodig en ik overweeg er een 3e bij te pakken in het Engels.
2.Beheer vrij veel WordPress accounts op verschillende domeinen en daar zal ik uiteraard alle skins en vooral ook beveiliging apart op moeten installeren.
Dien ik dat binnen 1 domein ook 1, 2 of meerdere malen te herhalen afhankelijk van het aantal accounts er op 1 domein staan geïnstalleerd?
Comments are closed.