10 tips om te voorkomen dat je WordPress-website wordt gehackt

15 juli 2016, 09:00

Website die draaien op WordPress: de kans is groot dat jij als marketeer er wel eens gebruik van hebt gemaakt of dat je er momenteel één in beheer hebt. Zo zijn er wereldwijd meer dan zeventig miljoen WordPress-websites en draait ongeveer 19 procent van het hele internet op WordPress. De populariteit zorgt er ook voor dat hackers worden aangetrokken. Zo waren er in 2012 meer dan 170.000 WordPress-websites gehackt. En dat aantal zal nu waarschijnlijk nog veel hoger liggen. Om te voorkomen dat jouw website wordt gehackt, deel ik in dit artikel tien tips om je WordPress-website beter te beveiligen.

1. Back-up van je website

Dit is een vangnet. Als je website gehackt wordt, kun je in ieder geval de website herstellen door middel van een back-up. Je kunt het beste een back-up maken iedere keer nadat je jouw website bijwerkt. Met een plugin als UpdraftPlus kun je WordPress automatisch een back-up laten maken, wel zo makkelijk. Je kan ook (bijna altijd) via het controlepaneel van jouw webhosting een back-up maken, dit is ook een goed alternatief omdat deze backup meer omvat dan alleen jouw WordPress-omgeving.

2. Gebruik gerenommeerde plugins

Plugins voor WordPress zijn makkelijk te installeren en voegen direct functionaliteit toe aan je website. Alleen er zijn een aantal punten waar je op moet letten bij het installeren van een plugin:

  • Officiële catalogus: gebruik uitsluitend plugins die in de officiële catalogus van WordPress staan. Deze plugins worden namelijk eerst door WordPress zelf gescreend op kwetsbaarheden voordat ze worden toegelaten.
  • Laatst bijgewerkt: je kunt hier ook direct zien wanneer de plugin voor het laatst is bijgewerkt. Ik raad je aan om alleen een plugin te installeren als die regelmatig wordt bijgewerkt.
  • Populariteit: als een plugin populair is en een goede beoordeling heeft, is de kans kleiner dat er kwetsbaarheden in de plugin zitten.

3. Laatste updates bijwerken

Als er een nieuwe versie van WordPress of een plugin beschikbaar is, wordt er vaak een de release note gepubliceerd voor deze update. In die release note worden de nieuwe features beschreven en wordt aangegeven wat de verbeteringen zijn op het gebied van beveiliging en onderhoud.

Doordat de kwetsbaarheden in de beveiliging openlijk gepubliceerd worden, krijgen hackers direct inzicht in de kwetsbaarheden van deze versie. Daarom is het aan te bevelen om niet te lang te wachten met het bijwerken van WordPress-updates, zodat hackers minder kans krijgen om deze kwetsbaarheden te misbruiken. Maak wel een back-up van je website voordat je een update uitvoert.

4. Installeer een beveiligingsplugin

Een beveiligingsplugin kan het voor een hacker een stuk moeilijker maken om toegang te krijgen tot jou WordPress-website. Zelf zou ik hiervoor de plugin Wordfence aanbevelen: dit is de nummer één plugin op het gebied van beveiliging.

Met Wordfence kun je jouw website dagelijks laten scannen op kwetsbaarheden. Als Wordfence hierbij iets tegenkomt, krijg je hiervan direct een melding. Daarnaast krijg je ook automatisch een melding als bepaalde plugins of thema’s bijgewerkt moeten worden. Daarnaast kun je met Wordfence het hackers een stuk moeilijker maken door een firewall in te stellen. Met een firewall kun je websitegebruikers die voldoen aan het signalement van een hacker, automatisch laten blokkeren.

5. Gebruik geen admin als gebruikersnaam

Het eerste wat hackers zullen proberen om binnen te komen op je website, is om in te loggen op je WordPress-omgeving. Te vaak wordt er gekozen voor een makkelijk te achterhalen gebruikersnaam en/of wachtwoord. Tips:

  • Gebruik geen admin als gebruikersnaam, maar een unieke gebruikersnaam;
  • Gebruik niet overal hetzelfde wachtwoord, gebruik bijvoorbeeld voor je Facebook en je WordPress-website een ander wachtwoord;
  • Gebruik cijfers, hoofdletters en leestekens in een wachtwoord;
  • Gebruik een wachtwoord van minimaal acht tekens;
  • Je kunt gebruik maken van een wachtwoordgenerator voor het bedenken van een wachtwoord.
  • Gebruik een wachtwoordmanager, bijvoorbeeld Lastpass, om verschillende wachtwoorden te onthouden.

6. Beveilig je eigen computer

Een slecht beveiligde computer vormt ook een groot risico voor je website. Als hackers toegang kunnen verkrijgen tot je computer, kunnen ze namelijk heel eenvoudig een keylogger op je computer installeren. Een keylogger is een stukje software waarmee hackers wachtwoorden van je computer kunnen uitlezen.

Op het moment dat ze de wachtwoorden van je computer kunnen uitlezen, is het een fluitje van een cent om in te loggen op je website. Zorg daarom ook dat je computer goed beveiligd is. Dit kun je doen door een anti-virusprogramma te installeren en software-updates tijdig uit te voeren. Open daarnaast geen verdachte emails en wees voorzichtig met het downloaden van bestanden.

7. Beheerdersrechten

De kans is groot dat jouw website wordt beheerd door meerdere mensen binnen hetzelfde team. Dit brengt ook risico’s met zich mee. Zo gebeurt het regelmatig dat meerdere mensen gebruik maken van hetzelfde WordPress-account.

Om de risico’s af te bakenen, heeft WordPress het standaard mogelijk gemaakt om roltoekenning voor beheer aan te maken. Op deze manier maak je verschillende accounts aan voor je teamleden en geef je ze de rechten die relevant zijn voor die specifieke gebruiker. Hierdoor wordt het voor een hacker al een stuk lastiger om toegang te krijgen tot de volledige website. En mocht de hacker een account hebben gehackt, dan is de oorzaak makkelijker te herleiden.

8. Beveiligd netwerk

Als je gebruik maakt van een openbare WiFi-spot kan een hacker makkelijker data onderscheppen. Als je bijvoorbeeld in de Starbucks of de trein inlogt op je WordPress-website, is het voor een hacker eenvoudig om de inloggegevens van je website te onderscheppen. Zorg er daarom voor dat je gebruik maakt van een beveiligd netwerk als je aanpassingen gaat doorvoeren aan je WordPress-website. Voor een beveiligd netwerk is het aan te raden om gebruik te maken van een WPA/WPA2-beveiliging in plaats van een WEP-beveiliging. De mogelijkheid om een WPA/WPA2-beveiliging in te stellen, is afhankelijk van de router die je gebruikt voor het netwerk.

9. Betrouwbare webhosting

De grootste risicofactor om gehackt te worden zit in de keuze van de verkeerde webhosting. Zo wordt 41 procent van de WordPress-hacks veroorzaakt door kwetsbaarheden binnen de webhosting. Dit komt voornamelijk omdat veel WordPress websites gebruik maken van gedeelde webhosting.

Het nadeel hiervan is, dat als één van de andere websites gehackt wordt, jij hiermee ook een verhoogd risico loopt om gehackt te worden. Het is het veiligst om gebruik te maken van een VPS (Virtual Private Server), waarbij je de server niet hoeft te delen met andere websites.

10. SSL-certificaat voor je website

SSL zorgt ervoor dat de verbinding tussen de websitebezoeker en de server is versleuteld. Als je bijvoorbeeld je bankgegevens invult op een webshop, worden deze gegevens vaak versleuteld verstuurd naar de server. Hierdoor is het voor een hacker niet mogelijk om deze gevoelige informatie te onderscheppen.

Als je website gebruikt maakt van wachtwoorden, persoonsgegevens of betaalinformatie is aan te raden om gebruik te maken van een SSL-certificaat. Een SSL-certificaat helpt niet persé met het verkomen van hacks tegen jouw website, maar een beveiligde verbinding zorgt er wel voor dat men niet kan onderscheppen wat er naar de server wordt verstuurd. Bij de meeste hosting providers is het mogelijk om een SSL-certificaat te bestellen.

Koen Grosman
Oprichter bij BrandBikes

Koen is oprichter van BrandBikes - Bedrijfsfietsen in de huisstijl van jouw bedrijf.

Categorie
Tags

30 Reacties

    Isabelle

    Hi Bart, de link naar Wordfence werkt helaas niet.


    15 juli 2016 om 12:43
    HPG Weeke

    Hoi,

    Heb je ook ervaring met iThemes Security? Of heeft Wordfence je voorkeur?


    15 juli 2016 om 20:10
    bartgrosman

    Hoi HPG Weeke,

    Ja en in mijn optiek is iThemes Security een plugin van vergelijkbaar niveau. Deze plugin biedt eveneens meer dan voldoende functionaliteiten om je WordPress website goed te beveiligen.

    Persoon raad ik meestal wel Wordfence aan, omdat zeker voor beginners het iets eenvoudiger in gebruik is.


    16 juli 2016 om 08:35
    Kees Lamper

    Hoi Bart,

    Punt 4 vervalt als je punt 9 goed op orde hebt. Dan is een extra plugin dus overbodig.

    Daarnaast wordt WordPress geschreven met twee hoofdletters.

    En punt 10 heeft niets met het hacken van je website te maken.

    Al met al een erg matig artikel waar nog diverse spelfouten inzitten. Zeker niet Marketingfacts waardig!

    Groet,

    Kees Lamper


    16 juli 2016 om 12:00
    bartgrosman

    Beste Kees,

    Jammer dat je het geen goed artikel vindt, echter klopt het niet wat je zegt.

    Punt 4 vervalt niet als je 9 op orde hebt, punt 4 is voor de beveiliging van jouw eigen website.

    Zodat hackers niet, met bijvoorbeeld een stored-xss bug, via jouw website de website kunnen hacken.

    Punt 9 is iets totaal anders, dit punt gaat in op het feit dat de meeste mensen hun website niet goed beveiligen, en als je gedeelde webhosting gebruikt, dit er voor kan zorgen dat jouw website, dus zonder enige fout/bug, ook gehackt kan worden.

    Ook jammer dat je niet inziet dat een SSL certificaat niet alleen de verbinding van je klanten met je website beschermd maar ook die van jou met je website.

    Men kan, naar mijn weten, geen ssl certificaat vervalsen. Een hacker kan (zoals bij het scenario van punt 8) dus geen https onderscheppen en lezen. Als je dus een SSL certificaat hebt kun je met een stuk meer geruststelling de lokale onbeveiligde Starbucks wifi gebruiken.

    Echter is met een SSL certificaat niet al het gevaar geweken, er bestaan manieren om deze te omzeilen en zijn dus ook de andere maatregelen van belang.

    Groet,

    Bart Grosman


    16 juli 2016 om 13:01
    Kees Lamper

    Beste Bart,

    De hosting verzorgt de beveiliging van je website. Alleen als deze hosting niet op orde is dan zul je aan de slag moeten met plugins. De hosting kan al veel voorkomen door o.a. htaccess en dergelijke bestanden te modificeren, is dit niet het geval dan gaat WordFence of Ithemes dit doen. Ook xml-rpc en dergelijke zaken kan je provider regelen. Dus vandaar mijn standpunt.

    Mijn klanten draaien zonder specifieke beveiligingsplugin in ieder geval en zitten goed dicht. Daar sta ik garant voor.

    Wat betreft de SSL is het enigste punt je wachtwoord versturen via een onbeveiligd wifi-netwerk. Mocht je gebruik maken van een goed beveiligde internetverbinding thuis dan vervalt dit punt dus. En zodra je te maken hebt met betaalgegevens dan wordt je klant doorgestuurd naar een PSP die standaard in de versleuteling voorziet.

    Mogelijk had je dit punt iets duidelijker uit kunnen leggen, ik begrijp wat je bedoelt maar dit is niet samen te vatten in de paar regels die je geschreven hebt.

    Groet,

    Kees


    16 juli 2016 om 13:12
    Mario Guagliardo

    Eerlijk gezegd, ik vind dit artikel onder de maat. Zal punt voor punt even aankaarten waarom.

    1: Je raadt aan om de backups te doen met een plugin als bijvoorbeeld UpdraftPlus.

    Ik raad dit klanten NOOIT aan. Bij vrijwel alle hostingpartijen is een backup te realiseren via een control panel (Direct Admin, PLESK, Cpanel….whatever). Daarmee kan je vaak naast je site-back-up ook andere onderdelen meenemen in je backupproces. En ook is er vaak een betere plan optie. Maar bovenalles, je belast op deze wijze op geen enkele manier je WordPresssite.

    Bij 2: Populariteit:

    Is m.i. absoluut geen waarde om rekening mee te houden. De getallen die je ziet zijn vaak ook gekoppeld aan doel en leeftijd van een plugin. Maar als Firma X een fantastische nieuwe plugin maakt dan is die op dat moment nog 0.0 populair.

    Wat veel belangrijker is, is het controleren van de changelogs. Dit vertelt veel meer over de status van een plugin. Daarnaast zijn er plugins die totaal geen impact hebben op de werking van WP zelf, niet zo vreemd dat zij misschien al 1.5 jaar of langer niet meer geupdate zijn.

    3, 4 en 5 weinig op te zeggen.

    6. Staat compleet los van WP, hoe logisch het ook is.

    7. sluit aan op 5 en had tot één punt kunnen worden samengevoegd.

    8. staat feitelijk ook weer los van WP, hoe logisch het ook is.

    9. Een VPS in handen van iemand die niet voldoende kennis heeft van een VPS (linux of Windows based) is gevaarlijker dan welke shared hostig dan ook. Niet voor niets bied ik mijn klanten een alternatief voor VPS en dat is shared VPS, waarbij men wel de lusten heeft, amper overboeking en toch altijd ondersteuning.

    10. SSL draagt op geen enkele manier bij mbt het voorkomen van hacks.

    Even misschien een wat botte conclusie van mij, maar zie het als een tip. Als je autoriteit wilt opbouwen door te bloggen, zorg dan dat je de inhoudt hiervan kloppend hebt. In dit geval is het m.i. een “matige” blog, en niet echt een leidraard voor welke WP gebruiker dan ook.


    16 juli 2016 om 14:20
    Olaf Lederer

    Dit soort informatie is voor de onervaren gebruiker best gevaarlijk, omdat hij na het lezen (en uitvoeren) van het advies van mening is dat zijn website veilig is. Alleen het installeren van Wordfence of andere security plugins wil niet zeggen dat je website ook veilig is. Een serieuze WordPress hosting provider is hier zeker veel waardevoller. Hoe moet een WordPress gebruiker weten hoe hackers en bots aan de slag gaan?

    Ik mis hier zeker de informatie hoe de lezer de verschillende punten kan aanpakken, bijvoorbeeld hoe herken je een goede hosting provider voor een WordPress website? Voor marketingfacts.nl is dit artikel zeker onder de maat.


    18 juli 2016 om 06:21
    Dave van Hoorn

    WordPress > WordPress. Staat een stuk professioneler en het gaat tenslotte om een merknaam.


    18 juli 2016 om 07:49
    bartgrosman

    @Dave van Hoorn – Aangepast 🙂

    @Olaf Lederer – Bedankt voor de feedback, ik heb het punt m.b.t de hosting aangepast.

    @Mario Guagliardo – Ik heb punten 1, 9 en 10 aangepast zodat de lezer nu beter geïnformeerd wordt over backups etc.

    Ik snap dat sommige punten los staan van WordPress beveiliging, echter vind ik deze punten wel bijdragen aan een betere beveiliging van je website. En daarom heb ik besloten ze toch toe te voegen aan het artikel.


    18 juli 2016 om 09:24
    Mario Guagliardo

    Tja, uhm dan nog…

    Mijn advies, haal dit artikel eens goed door je tekstverwerker, splitst eerst op wat WEL WP gerelateerd is, en vervolgens wat je kan doen op je werkstaion lokaal. Feit blijft dat dit twee gesplitste werelden zijn en de kop van het artikel nog steeds anders doet vermoeden.

    Maar ben het nog steeds niet eens met je aanpassingen. Bijvoorbeeld:

    “Laatst bijgewerkt: je kunt hier ook direct zien wanneer de plugin voor het laatst is bijgewerkt. Ik raad je aan om alleen een plugin te installeren als die regelmatig wordt bijgewerkt. Als de plugin meer dan een jaar geleden voor het laatst is bijgewerkt, zal ik hem niet installeren om risico’s te vermijden. ”

    Jij maakt hier m.i. een weerspiegeling die geen hout snijdt. Zomaar even een voorbeeld:

    Er zijn heel wat SMTP plugins voor WP die zeer goed werken maar al 3 jaar of langer niet zijn aangepast. Hoeft ook totaal niet. Deze plugins voegen namelijk een functionaliteit toe welke een “gemiste” optie toevoegt aan WP. Als WP dit zelf niet ooit in de core zal inbouwen, dan werken deze plugins over 10 jaar nog wel !!!!

    Mij heb jij in ieder geval niet overtuigd van de waarde van je artikel en je argumentering blijft zwak, eigenlijk alleen aangevuld met de geleverde kritieken maar of dat dan ook je kennis weerspiegeld?

    Beetje hard misschien, maar schrijven van blogs is m.i. alleen maar nuttig wanneer jij iets toe te voegen hebt aan de “kennisdatabank”.

    Just my 2 cents


    18 juli 2016 om 09:35
    mario Guagliardo

    P.s. verwijzen naar Siteground, Ik denk dat de meeste van onze pakketten net zo goed of zelfs fors beter zijn.. Ik houd er niet zo van om in artikelen verwijzingen te zien, zeker niet wanneer er geen goede beredenering achter zit en ik ook moet nagaan of er sprake is van affiliatie.


    18 juli 2016 om 09:42
    Kees Lamper

    @Thomas ik vind dit een bijzondere reactie. Volgens mij worden er serieuze punten aangedragen en is het al mis gegaan met het feit dat deze blog überhaupt op jullie platform gepubliceerd is met als enigste doel een link. Maar kennelijk is dit voor Marketingfacts geen probleem, jammer.


    18 juli 2016 om 09:58
    Mario Guagliardo

    Ik zit al de gehele dag in de zon lekker op de camping 🙂 Kom gerust een biertje doen 🙂


    18 juli 2016 om 09:59
    thomasvanmanen

    @Kees Alle kritiek wordt gewaardeerd. Zeker als dat leidt tot een inhoudelijke discussie, zoals nu. Mijn comment was vooral gericht op de toon die her en der in de reacties doorklinkt.

    “Maar kennelijk is dit voor Marketingfacts geen probleem, jammer.” En dit is natuurlijk niet waar en dat vind ik dan weer bijzonder om dat zo even generaliserend neer te zetten.

    @Mario, ik kom eraan 😉


    18 juli 2016 om 10:07
    Kees Lamper

    Die reactie is gebaseerd op het feit dat deze blog vol met spelfouten en onjuistheden gepubliceerd is op jullie platform en de makers laten blijken onvoldoende kennis te bezitten om een kwalitatieve hoogwaardige blog neer te zetten.


    18 juli 2016 om 10:10
    Mario Guagliardo

    @Thomas, ik zie graag blogs, waarvan ik wat kan leren of waarvan ik kan merken dat de schrijvers een positieve bijdrage leveren aan de kwaliteit van de WordPress gemeenschap.

    Helaas is de markt overspoeld door “deskundigen” die vaak niet verder komen dan een theme inkopen bij themeforrest en deze grafisch wel leuk weten aan te kleden, maar echte kennis….? Daarmee wil ik niet zeggen dat ik alles weet, in tegendeel, ik leer nog steeds heel veel.

    Een blog schrijven, wil ik best wel eens doen. Zal waarschijnlijk dan over de kwaliteit van blogs gaan. Want daar schort het nog wel eens aan.

    Wat Kees zeg, dat gevoel heb ik ook (deels natuurlijk door wat andere zelfbenoemde goeroes aanraden: bouw autoriteit op met blogs), deze blog heeft de plank misgeslagen. Mijn kritiek is zowel kritisch maar er zit een welgemeend advies in: Herschrijf het vanaf de eerste letter opnieuw! Betere opbouw, valide argumenten. En laat deze versie dan maar van het web verdwijnen.

    En je biertje ligt koud.


    18 juli 2016 om 10:21
    Kasper de Ridder

    @Bart & @Marketingfacts: Hier een lezer die het artikel wel kan waarderen. Voor mij is een blog ook gewoon een artikel om lekker weg te lezen. Op wat kleine, niet storende, spelfouten na vond ik dit artikel dus gewoon best prima.

    @Mario & @Kees: Typische Nederlanders zijn jullie ook! Alhoewel ik in jullie kritiek/comments kan aflezen dat jullie er ook verstand van hebben, snap ik echt totaal niet waarom jullie dit blog artikel afkraken op voornamelijk spelfouten. Als jullie dit zo belangrijk vinden, raad ik jullie aan om geen blogger te worden. Immers, in jullie comments staan ook redelijk wat spelfouten. Maakt mij niet uit, maar zeg dan niet dat dit artikel ‘Marketingfacts onwaardig is’. Als je kritiek hebt, prima, maar kom dan zelf met een beter artikel. 🙂

    I haven’t seen it so far..


    20 juli 2016 om 10:00
    Kees Lamper

    Bedankt voor je compliment Kasper. En blij dat je het artikel wel kon waarderen.

    En blij dat je je eerst verdiept hebt in degene waar je wat over zegt. Fijne dag, vergeet niet van de zon te genieten.


    20 juli 2016 om 10:02
    Mario Guagliardo

    Hoi @Kasper Als jij 1 keer kan vinden dat ik klaag over typefouten, als basis van mijn kritiek, krijg jij van mij een gratis vakantie ter waarde van 429.- euro.

    Mijn kritiek zit hem in de onvolledigheid van het artikel, het niet correct zijn qua inhoud en de plank misslaan door zaken bij te halen die in de kern NIETS met WordPress te maken hebben. Dit artikel heet niet: “Met een veilige pc is je website ook beter af”.

    Maar goed, begin te vrezen dat als men dit soort artikelen oké vindt en er dan ook dit soort reacties op terug komen, dat ik MF eigenlijk altijd te hoog qua niveau heb ingeschat.


    20 juli 2016 om 12:40
    Peter Kelder

    Hey Mario, ik snap niet dat je zulke generalisaties over een website maakt op basis van 1 artikel. Er staan duizenden artikelen op deze site en toevallig staat deze jouw niet aan. Dat zal ongetwijfeld terecht zijn, maar als je daar zulke conclusies uit trekt getuigd dat niet heel erg van intelligentie.

    Ik hoop ook niet dat je je over alles zo druk maakt, lijkt mij heel vermoeiend voor jezelf en voor je omgeving.


    20 juli 2016 om 13:22
    Wouter P

    Heel goed artikel. Ik zie nog (te) vaak mensen met “admin” als gebruikersnaam.


    22 mei 2017 om 09:11

Marketingfacts. Elke dag vers. Mis niks!