Vorige week las ik in een blog van Wordfence, een plugin ter beveiliging van WordPress-sites, dat je in Chrome en Firefox geen onderscheid ziet tussen nep-websites en echte websites. Dat blog gaf mij de inspiratie om dit artikel te schrijven.
Naast veilig surfen op het internet wil je ook dat jouw website veilig is. Voor jezelf maar ook voor je websitebezoekers. Lees daarom hier de tips om jouw site beter te beveiligen.
Meestal is het zo dat hackers de beveiliging altijd één stap voor zijn. Een beveiligingslek wordt pas gedicht nadat een hacker er misbruik van heeft gemaakt. Toch kun je de kans dat jouw website wordt gehackt minimaliseren door gebruik te maken van diverse beveiligingsmogelijkheden. In dit blog zal ik hiervoor diverse plugins noemen.
Wijzig de WP-admin tekst
We beginnen bij het begin. Het inloggen. Het is mogelijk om de naam van het pad ‘<jouwdomeinnaam>.nl/wp-admin’ te wijzigen naar een naam die minder makkelijk vindbaar is dan de standaardtekst. Hierdoor zorg je ervoor dat het voor een hacker moeilijker wordt om de “deur” naar jouw website te vinden omdat de naam afwijkt. Je kunt hiervoor één van onderstaande plugins gebruiken.
Beperk het aantal inlogpogingen
Je kunt het aantal incorrecte inlogpogingen beperken. Gebruikt iemand onjuiste logingegevens? Block dan dat IP-adres na drie keer een foutieve invoer. Met onderstaande plugin kun je daarnaast ook nog eens een CAPTCHA tonen die dient te worden ingevoerd.
Hierdoor wordt het voor een ‘robot’ of script moeilijker om in te loggen. Alhoewel robots steeds slimmer worden.
Two step authentication
Daarnaast kun je bij het inloggen gebruik maken van een tweetrapsraket. Oftewel: two step authentication. Hiervoor kun je Google Authenticator op je smartphone installeren in combinatie met de juiste plugin in jouw WordPress-website. De unieke code die verschijnt op jouw smartphone moet je intypen op het moment dat je wilt inloggen. Zonder mobiel geen inlog.
Verdere beveiliging
Voor de algemene beveiliging van jouw WordPress-site kun je verschillende plugins gebruiken, die ook features hebben die ik eerder beschreef. Zonder in te gaan op (persoonlijke) voorkeuren kunnen onderstaande oplossingen jou helpen met scans, versterken van de logingegevens, beveiligen tegen brute force attacks, het in kaart brengen en blocken van IP-adressen (heb jij opeens ook zoveel vrienden in Oekraïne of China?) en nog veel meer. Je hoeft ze natuurlijk niet allemaal te installeren. Eéntje is voldoende.
Vergeet niet te updaten!
Iets dat mensen regelmatig vergeten, is dat je naast het activeren van diverse beveiligingsoplossingen, ook de updates van jouw WordPress-site moet bijhouden. Kijk regelmatig aan de achterkant van jouw site om te zien of het thema, WordPress zelf of plugins een update hebben gekregen of nodig hebben. Naast wijzigingen in functionaliteit worden er in updates ook beveiligingslekken gedicht. Erg belangrijk dus om goed bij te houden!
Definieer een goede gebruikersnaam
Als laatste: regelmatig zie ik dat als gebruikersnaam om in te loggen het woord ‘admin’ wordt gebruikt. Wijzig deze zo snel mogelijk omdat dit het eerste woord is dat in scripts wordt gebruikt om illegaal in te loggen op jouw website.
Heb je zelf nog tips om een WordPress-website te beveiligen? Voeg ze dan gerust hieronder toe!
En hier kun je de blog van Wordfence nog nalezen.