Als ondernemer is het ontzettend belangrijk om je WordPress beveiliging op orde te hebben. Jouw bedrijfsnaam staat immers op jouw website en alles wat er op die site gebeurt, is daarmee verbonden. Je wilt dus niet dat er de verkeerde teksten of afbeeldingen op komen te staan of, erger nog, dat er malware vanuit jouw website wordt verstuurd naar je bezoekers. Ook is het belangrijk om de beveiliging van jouw website op orde te hebben als je klantgegevens opslaat (voor bijvoorbeeld je webshop). Je moet er niet aan denken dat je een e-mail moet sturen naar al je klanten om te vertellen dat al hun data gelekt zijn op het web…
Twijfel je over je WordPress beveiliging? Lees hieronder mijn tips en tricks voor het optimaliseren van je WordPress beveiliging.
Is WordPress veilig?
De security-plugin iThemes Security claimt dat er iedere dag zo’n 30.000 websites gehacked worden. Best een groot aantal dus. Maar WordPress kan zeker veilig zijn, want de meeste hacks lukken doordat website-eigenaren zelf hun zaken niet goed op orde hebben. Het is dus van belang dat je zélf ervoor zorgt dat de WordPress beveiliging als een muur staat. Dit bereik je door het volgende:
- WordPress Sitediagnose controleren en kritieke problemen oplossen
- Sterke wachtwoorden en geen ‘admin’ gebruikersnaam gebruiken
- Up-to-date houden van je WordPressomgeving, plugins en thema’s
- Gedeactiveerde plugins en thema’s verwijderen
- Oude plugins vervangen voor plugins die worden onderhouden
- Extra beveiligingsplugin installeren
- Geautomatiseerde backups instellen
- Je website op een goede hosting plaatsen
1. WordPress Sitediagnose controleren en kritieke problemen oplossen
Sinds WordPress 5.1 (2019) is WordPress Sitediagnose (WordPress Site Health) toegevoegd aan je WordPress admin. Je website wordt hiermee getest op verschillende belangrijke zaken en geeft je een waarschuwing als je iets moet oplossen. Zo krijg je een lijstje met verschillende actiepunten, bijvoorbeeld of je huidige PHP-versie wel up-to-date is en of je je plugins moet updaten.
Het is ontzettend belangrijk om deze pagina te bekijken en kritieke problemen op te lossen. Informatie hierover staat op het dashboard van je WordPress admin of ga naar de pagina via Gereedschap -> Sitediagnose. Mocht het niet lukken en heb je snel technische ondersteuning WordPress nodig? Neem contact op met mij, zodat ik je hierin kan ondersteunen.
2. Sterke wachtwoorden en geen ‘admin’ gebruikersnaam gebruiken
Ik zou het eigenlijk niet moeten hoeven zeggen, maar het is ontzettend belangrijk om sterke wachtwoorden te gebruiken. Zo help je jouw WordPress beveiliging enorm, want bots hebben dan meer moeite met het ‘brute-forcen’ van jouw wachtwoord. Ze doen dit door constant te proberen in te loggen met jouw gebruikersnaam i.c.m. steeds een ander wachtwoord. Het is daarom ook verstandig om geen standaard gebruikersnaam te nemen zoals ‘admin’, ‘administrator’ of de naam van je domein. Gebruik geen wachtwoorden die in het verleden al zijn gelekt, want dat is het eerste wat die bots proberen.
Voorkom brute-force op jouw WordPress website door een beveiligingsplugin te gebruiken die dit limiteert. Meer over het installeren van een beveiligingsplugin lees je hieronder.
3. Up-to-date houden van je WordPressomgeving, plugins en thema’s
Ook het up-to-date houden van je WordPress site, de plugins en thema’s zijn van belang in het veilig maken van je WordPress site. Als er namelijk een WordPress beveiligingslek is gevonden en opgelost is in een nieuwe update, moet je deze z.s.m. op je WordPress website updaten. De beveiligingslek is namelijk bekend gemaakt en dat is dus een nieuwe manier om toegang te krijgen tot jouw website. Er zijn namelijk bots die deze manier van binnenkomen massaal proberen op alle websites die online staan.
Zo was er in het verleden een plugin die op miljoenen sites actief was en een ernstig beveiligingslek had. Toen dit bekend werd heeft WordPress de plugin op al die sites gedeactiveerd en verwijderd in de hoop om de hackpogingen tegen te gaan.
4. Gedeactiveerde plugins en thema’s verwijderen
Verwijder ook de gedeactiveerde plugins van je WordPress website. Deze plugins gebruik je niet en nemen onnodig plek in bezit. Ook vormen zijn een beveiligingsrisico, want je let niet op gedeactiveerde plugins en ook deze plugins krijgen updates. Hierdoor zijn gedeactiveerde plugins vaak verouderd en kunnen deze een beveiligingslek zijn.
Dit geldt ook voor thema’s, maar… Bij een thema is het van belang om wel een extra gedeactiveerd thema te behouden. Dit is een soort backup, want mocht er iets misgaan met je huidige geactiveerde thema dan switcht WordPress automatisch naar het eerstvolgende gedeactiveerde thema.
5. Oude plugins vervangen voor plugins die worden onderhouden
Heb je jouw WordPress website al een lange tijd geleden opgezet? Dan kan het zijn dat je plugins gebruikt die nu al aardig verouderd zijn. Controleer daarom alle plugins op hoe lang geleden ze voor het laatst zijn bijgewerkt én of ze actief worden onderhouden door de ontwikkelaar. Als een plugin lang geleden voor het laatst is bijgewerkt, kan het meerdere problemen veroorzaken:
De plugin ondersteunt de laatste versie van WordPress niet en kan een fout veroorzaken
De plugin ondersteunt de laatste PHP-versies niet en kan hierdoor een fout veroorzaken
Deze kan een oud beveiligingslek bevatten
Deze fouten kunnen getoond worden op je website waardoor deze niet meer werkt. Zorg er dus altijd voor dat je plugins gebruikt die goed onderhouden worden door de ontwikkelaar en voorkom zo een WordPress website die niet meer werkt.
6. Extra beveiligingsplugin installeren
Om je WordPress beveiliging extra te versterken kun je een beveiligingsplugin installeren. Ik gebruik voornamelijk de plugins Wordfence of iThemes Security, afhankelijk van de wensen van de klant. Er zitten een paar verschillen in de plugins, maar beide zijn erg goed in het beveiligen van je WordPress website.
Beide plugins bieden een aantal actiepunten aan die je kunt uitvoeren om je WordPressomgeving veilig te maken. Ze kunnen ook de functionaliteit “Two Factor Authentication” activeren die tijdens het inloggen vraagt om een extra code die je op je telefoon of per e-mail ontvangt. Daarnaast kunnen ze het aantal foutieve login-pogingen limiteren. Dit verhoogt de beveiliging van je WordPress site en vermindert de brute-force pogingen.
Deze plugins hebben nog veel meer functies inbegrepen. Bekijk de pagina’s van deze plugins en beslis welke het beste bij jou past.
7. Geautomatiseerde backups instellen
Niet zozeer een tip om je WordPress website veilig te maken, maar toch té belangrijk voor ondernemers met een website om hier niet te noemen. Mocht er namelijk een keer iets gebeuren met je website, dan kun je gemakkelijk een backup terugzetten en verder gaan alsof er niks is gebeurd. Ook geeft dit je het vertrouwen dat je altijd een goede versie van je website achter de hand hebt waar je op terug kunt vallen.
Het liefst heb ik backups die geautomatiseerd worden uitgevoerd, zodat je er geen omkijken naar hebt. Hoe vaak een backup wordt gedaan, is afhankelijk van hoe vaak je de website aanpast. Bij een WordPress plugin die de backups uitvoert, kun je ook zelf instellen hoeveel backups er worden bewaard. Dus mocht je instellen dat er wekelijks 1x een backup wordt gemaakt en er in totaal 5 worden bewaard, kun je altijd naar een backup van maximaal 5 weken terug gaan.
Maar ik vind dat backups het beste vanuit de hosting worden gemaakt. Vimexx bijvoorbeeld biedt bij haar hostingpakketten een backupplan aan die 7x per dag een backup maakt en deze 60 dagen lang bewaart op een externe omgeving. Vergeleken met een WordPress plugin die backups maakt, heeft de externe backup omgeving een extra voordeel. Je kunt namelijk altijd bij deze backups én direct een versie terugzetten of downloaden voor je eigen gebruik. Een goede hosting die dit allemaal netjes op orde heeft, helpt mee in het vertrouwen in je WordPress beveiliging.
8. Je website op een goede hosting plaatsen
Je website op een goede WordPress hosting plaatsen kan helpen in het veilig maken van je WordPress website. Ik had het hierboven al over geautomatiseerde backups en hoe dit jou het vertrouwen kan geven dat je altijd een backup terug kunt zetten, mocht er iets fout gaan.
Sommige hostingpartijen bieden daarnaast een malware en virusscanner aan. Deze scanner zal dagelijks de bestanden van jouw website controleren op bekende malware en virussen. Mocht er iets zijn gevonden, dan plaatst de scanner deze bestanden in quarantaine. Het is dan tevens wellicht verstandig om een oudere backup terug te zetten. Hierdoor weet je zeker dat alles weer goed zit.
Een andere hostingpartij, zoals Neostrada, plaatst een Google ReCaptcha op het inlogscherm van WordPress. Dit houdt alle bots tegen en hierdoor zul je geen brute-force pogingen meer krijgen. Zo kan een hostingpartij echt wel verschil maken in je WordPress beveiliging.
Als je hosting problemen hebt, kun je ook direct contact opnemen met mij voor snelle ondersteuning. Ook kan ik bij jouw WordPress website verhuizen naar een andere hosting ondersteunen.
Zo verhoog je dus je WordPress beveiliging
Als ondernemer is het van groot belang dat je het vertrouwen hebt dat je WordPress website veilig is. Je wilt er namelijk niet aan denken dat er ooit iets vervelends zou kunnen gebeuren met je website én je bedrijfsnaam die daaraan gekoppeld is.
Vandaar dat ik de bovenstaande tips met jullie deel. Als je deze tips uitvoert dan zul je een veilige WordPress website hebben. Veel van de tips zijn taken die je vaker moet uitvoeren, zoals het bijhouden van de plugins en thema’s, maar deze zijn doorgaans met een paar klikken te regelen. Dus houd het vooral bij, want het voorkomt een hoop ellende.
Ik hoop dat ik je hiermee voldoende heb kunnen helpen met het beveiligen van je WordPress website. Mocht je vragen hebben kun je altijd direct contact met mij opnemen.
Als je mij je nieuwe WordPress website laat maken, dan zorg ik ervoor dat jouw WordPress beveiliging goed op orde is.
Technische ondersteuning nodig?
Lukt het niet met het uitvoeren van de beveiligingstips en heb je ondersteuning nodig? Neem dan contact met mij op en ik kan met je meekijken.
Wat is jouw ervaring met de beveiliging van WordPress?
Al ervaring met het veilig maken van je WordPress website? Meer tips die je kunt delen met andere ondernemers? Deel hieronder jouw ervaring met WordPress beveiliging.