WordPress beveiligen met behulp van deze 8 tips

WordPress beveiligen is één van de eerste dingen die je moet doen tijdens en direct na de installatie van WordPress. Veel website eigenaren klagen over de veiligheid van WordPress maar nemen niet de tijd en moeite om WordPress te beveiligen. De klachten op basis van een standaard WordPress installatie zijn dan ook terecht.

In de tutorial WordPress beveiligen geef ik je een aantal tips en instructies om je WordPress website een stuk veiliger te maken.

De basis en tevens ook belangrijke stappen om je WordPress website te beveiligen zijn het beveiligen van je loginpagina’s en procedures. Door hier wat kleine aanpassingen te maken vergroot je de veiligheid van je website enorm.

Login / Inlogprocedures

WordPress beveiligen door middel van je login en inlogprocedures te verbeteren is een belangrijke manier om je WordPress website te beveiligen. Veel WordPress websites die zijn gehackt zijn slachtoffer geworden door gebruik te maken van standaard WordPress instellingen.

1. Hernoem je login URL’s van je WordPress website

Iedereen die kwaad wil met jou WordPress website weet dat jou adminlogin url jouwdomein.nl/wp-admin is. Door dit aan te passen maak je al een grote stap in het beveiligen van je WordPress website.

Ik heb zelf goede ervaringen met de gratis plugin WP Hide & Security Enhancer van Nsp Code. Voor de eerste tip hoef je alleen onder het kopje WP Hide > Admin te zijn. Hier kan je onder het kopje wp-login.php de naam van je loginscript wijzigen en onder het kopje Admin URL de wpadmin url aanpassen. *Let op, je hoeft alleen de naam op te geven die je wilt hebben.

De plugin is gratis te downloaden via Plugins

2. Limiteer inlogpoginingen

Samen met de eerste tip verminder je de kans op een succesvolle brute force aanval. Door de maximaal aantal login pogingen (die standaard in WordPress op oneindig staan ingesteld) te beperken verminder je aanzienlijk de kans op een succesvolle brute force aanval. Er kunnen slechts 3 (of wat je ook instelt) pogingen gedaan worden om je wachtwoord te raden.

Ook hiervoor gebruik ik een gratis plugin, namelijk WPS Limit Login. Ook deze plugin kan je makkelijk downloaden via Plugins.

3. Twee factor autorisatie (2FA)

Om de kans nog kleiner te maken op een ongewenste succesvolle inlogpoging kan je tweefactor autorisatie inschakelen. Ook al weet men je wachtwoord, ze hebben dan ook nog je telefoon (of welke methode je ook kiest) voor het tweede gedeelte van je login nodig. Zoals de naam al doet vermoeden is factor 1 je username + password en factor 2 je telefoon die elke 60 seconde een andere code genereerd.

De token die ik gebruik is de Google Authenticator.

Hier gebruik ik de plugin miniOrange 2 Factor Authentication voor. Dit is een gratis (freemium) plugin die met de gratis funcionaliteit 2FA met de Google Authenticator mogelijk maakt. Dit heb ik dan ook ingeschakeld op elk account met Administrator rechten.

4. Gebruik geen administratornaam met de naam Admin of Administrator

Tijdens de installatie moet je voor je hoofd administrator account (of andere admin accounts) nooit kiezen voor de naam Admin of Administrator. Deze gebruikersnamen zijn erg makkelijk te raden. Mocht je deze al hebben ingesteld kan je hem met de gratis plugin genaamd Username Changer van Daniel J Griffiths alsnog wijzigen. Indien gewenst kan je de plugin na het wijzigen gewoon verwijderen.

WordPress installatie & dashboard

WordPress beveiligen door middel van beleid en standaard folders te hernoemen is erg effectief. Deze tips zijn vooral gericht op de niet doelgerichte hack pogingen op je WordPress website te laten falen.

5. Hernoem standaard WP folders

Met dezelfde plugin als in tip 1, WP Hide & Security Enhancer, kan je de standaard folders hernoemen en de toegang blokkeren voor niet ingelogde bezoekers. Hierdoor maak je het een stuk moeilijk voor een hacker om vanuit de WP folders kwaad aan te richten. *Let op, als je kiest om iets te blokkeren, zorg dan dat je ook de custom naam hebt gegeven.

6. Voeg niet standaard gebruikers toe met beleid

Voeg niet standaard gebruikers toe met beleid. Je wilt natuurlijk zo min mogelijk mensen toegang tot je admin dashboard geven. Wanneer je toch andere mensen toegang geeft tot je admin dashboard kan je ze bijvoorbeel forceren een sterk password te gebruiken. Dit kan met de gratis plugin Force Strong Passwords van Jason Cooper.

Je zou er ook voor voor kunnen kiezen om met de plugin uit tip 2, WPS Limit Login alleen het inloggen vanaf bepaalde IP adressen mogelijk te maken. Hierover verschijnt binnenkort een artikel m.b.t. het opzetten van een VPN server en verbinding die veel raakvlakken zal hebben met het white listen van IP adressen. Ook de 2FA van tip 3 draagt hier positief in bij.

7. Wijzig de WordPress database table prefix

De meeste WordPress websites die worden gehackt zijn gehackt door  hackers die een”massa” script gebruiken. Veel WordPress website eigenaren kiezen voor de standaard prefix waardoor een massa aanval een grote kans van slagen heeft. Door je Database Prefix aan te passen voorkom je een succesvolle aanval op je database die niet doelgericht is op jouw op basis van een “massa” script.

WP Prefix Change van Tiago Sousa geeft je de mogelijkheid om de standaard database table prefix te veranderen. Deze plugin is gratis te downloaden via Plugins. Na gebruik kan je deze plugin gewoon weer verwijderen.

8. Maak back-ups van je database

Met de plugin All-in-One WP Migration van ServMask maak je eenvoudig een volledige backup van je WordPress website en database. De backup wordt naar een downloadbaar bestand geplaatst. Tegen betaling is het ook mogelijk om deze rechtstreeks naar vele clouddiensten te weg te schrijven. Deze plugin is gratis te downloaden via Plugins

WordPress beveiligen met de bovenstaande 8 stappen is eenvoudig, gratis en snel gedaan. Heb je nog goede aanvullingen op de tutorial WordPress beveiligen lees ik deze graag terug in de comments.

1 ster2 sterren3 sterren4 sterren5 sterren (1 votes, gemiddeld een: 5,00
Loading...