Wil je ook een veilige WordPress website?
Is WordPress wel veilig? Deze eerste vraag is eigenlijk heel logisch en hieruit volgt dan ook direct de volgende vraag: Waarom WordPress beveiligen en hoe?
In de kern is WordPress zeker veilig, maar zoals bij alle software ontdekt men wel eens een lek. Vaak worden WordPress updates niet doorgevoerd waardoor en mogelijk een versie online staat die dus niet meer veilig is. Dit zelfde geldt ook voor de plugins en thema’s die geinstalleerd zijn. Ook al staan deze misschien uit, toch dienen deze altijd up to date gehouden te worden. In de huidige WordPress versie wordt dit vaak ondervangen door de automatische update functie. Hieraan kleeft wel het risico dat er bij een update iets misgaat en de website kapot is. Om dit te voorkomen kun je gebruik maken van onze WordPress technisch onderhoud service.
Het installeren van een beveiliging plugin is natuurlijk niet de beste oplossing, het gaat om de manier van werken. haha! doet alle beveiliging al standaard voor haar klanten van WordPress hosting en WordPress technisch onderhoud.
Mocht je zelf de beveiliging willen verbeteren gebruik dan de volgende handige tips.
16 Tips voor een veiliger WordPress website
1. Goede (veilige) hosting kiezen
Een goede en veilige hosting is meestal niet de goedkoopste oplossing, maar wel de beste. Naast de hogere veiligheids standaard is er vaak ook een aanzienlijke winst in snelheid op een dergelijke hosting. Onze snelle WordPress hosting is dan ook de beste keuze.
2. Veilige wachtwoorden gebruiken
Zorg er voor dat alle gebruikers/beheerders goede veilige wachtwoorden gebruiken. Standaard forceert WordPress het gebruik van sterke wachtwoorden, maar geeft een optie om dit niet te doen. De optie voor zwakke wachtwoorden kun je uitschakelen voor alle gebruikers door deze plugin te gebruiken.
3. 2 factor login
Een 2 factor optie op de login is onmisbaar. Deze maakt gebruikt van een eenmalige code per email of een authenticator code, zoals bijvoorbeeld van de Aegis app.
Voor two factor kun je deze plugin gebruiken.
4. Gebruik geen admin als gebruikersnaam
Standaard wil WordPress een beheerder met gebruikersnaam ‘admin‘ aanmaken. Kies altijd een andere gebruikersnaam.
5. Beveiligingssleutels in wp-config
Vul altijd de beveiligingssleutels in wp-config in! Vaak worden deze vergeten. Je kunt ze hier online eenvoudig genereren en in wp-config.php plakken.
6. Beveilig wp-admin
Door het hernoemen van de wp-admin verminderd u de kans op automatische aanvallen op de login. Dit is als aanvulling aan te raden, maar vergeet zeker de voorgaande tips niet uit te voeren. Het hernoemen van wp-admin kun je doen met deze plugin.
7. SSL certificaat
Gebruik altijd een SSL certificaat. De meeste hosting providers hebben ook een gratis SSL versie beschikbaar. Bij onze hosting pakketten is dit ook standaard al geregeld.
8. Up to date houden WordPress, thema en plugins
Het up to date houden van WordPress, thema’s en plugins is erg belangrijk. Wij kunnen dit voor u uit handen nemen met onze WordPress technisch onderhoud service.
9. Thema en plugins alleen uit betrouwbare bronnen downloaden
Goedkope aanbiedingen van thema en plugins zijn meestal niet veilig. Download deze alleen uit betrouwbare bronnen zoals themeforest en dergelijke. Of direct bij de grote thema makers vandaan zoals Avada, Flatsome of Enfold.
10. XML-RPC uitschakelen
Deze functie is meestal niet nodig, maar staat wel altijd aan en wordt ook regelmatig misbruikt. Je kunt deze eenvoudig uitzetten door middel van deze plugin.
11. WP-JSON dicht zetten
Sommige plugins willen graag deze functie gebruiken, dus je kan wp-json niet altijd geheel dicht zetten. In dat geval kun je het beste deze plugin gebruiken.
12. Verberg WordPress versie
Het uitlezen van de WordPress versie helpt een hacker om snel te zien of je een verouderde versie van WordPress gebruikt. Je kunt deze eenvoudig uitschakelen door de volgende code toe te voegen via bijvoorbeeld een plugin als code snippets.
|
1 2 3 4 |
function hhdev_wp_version_remove_version() { return ''; } add_filter('the_generator', 'hhdev_wp_version_remove_version'); |
13. Schakel gebruikersnaam lijsten uit
Als je geen blog website hebt en dus geen auteurs informatie wilt delen kun je deze ook beter verbergen. De auteurs info pagina verbergen kun je op 2 manieren doen:
1. Voeg de volgende snippet toe aan jouw .htaccess bestand.
|
1 2 3 |
# Stop author listings RewriteCond %{QUERY_STRING} author=d RewriteRule ^ /? [L,R=301] |
2. Of je kan ook een author.php bestand toevoegen aan jouw child thema met de volgende code:
|
1 2 |
header("HTTP/1.1 301 Moved Permanently"); header("Location: /"); |
14. Gebruik http beveiligingsheaders
Je kan deze security headers toevoegen via een plugin of via het .htaccess bestand. De belangrijkste om toe te voegen zijn: strict-transport-security, x-content-type en x-frame-options.
Test jouw huidige headers en score hier (https://securityheaders.com/). Tip: Vink wel even ‘hide results’ aan anders wordt de website zichtbaar in de lijstjes onder het zoek venster.
15. Bestandsbewerking in wp-admin uitschakelen
In WordPress staat standaard de optie aan om de code van sommige bestanden te bewerken. Mocht een hacker admin toegang krijgen tot de website dan is dit een veiligheids risico. Dit is eenvoudig uit te schakelen via een aanpassing in wp-config.php.
Direct boven de regel /* That’s all, stop editing! Happy blogging. */, kun je de volgende code toevoegen:
|
1 |
define( 'DISALLOW_FILE_EDIT', true );. |
16. Veiliger WordPress structuur
Standaard gebruiken wij een WordPress opzet met een aangepaste structuur (Bedrock boilerplate). Hier staan alle configuratie zaken buiten de website root. Zie ook onze blog hier over.
Zit je nog steeds met de vraag: Wat moet ik nu precies doen?
Als klant van haha! hoef je niets te doen! Dat doen wij al voor je als wij het technisch beheer van jouw WordPress website doen op onze snelle WordPress hosting.
Lees eventueel ook de eerdere blogs over het beveiligen van WordPress:
https://haha.nl/blog/uitschakelen-json-rest-api-in-wordpress/
https://haha.nl/blog/je-wordpress-website-veiliger-in-7-stappen/
