Je website overgenomen door hackers... Dat kan jou toch niet gebeuren? Helaas, ga er maar van uit dat ook jouw site niet ontkomt aan hackpogingen. Met de juiste maatregelen komen hackers op jouw site van een koude kermis thuis.
Veel site-eigenaren denken niet interessant te zijn voor hackers. Wat valt er nu te halen op een relatief eenvoudige website? Hackers zijn niet geïnteresseerd in jou persoonlijk en kijken ook niet alleen naar de grootte van de website, maar zoeken dag en nacht naar websites die slecht beveiligd zijn. Zo kan een hacker je website vertragen of uit de lucht halen, de inhoud van je site aanpassen of uit jouw naam spam versturen. Dat kan voor veel ellende zorgen: mensen kunnen niet meer op je site komen, wat je mogelijk inkomsten kost en wat ook bepaald niet goed is voor je reputatie. Wordt je site gebruikt om spam te versturen, dan kun je bovendien op een zwarte lijst komen. Zo kunnen mails die jij verstuurt als spam worden aangemerkt, waardoor de ontvanger ze misschien nooit ziet. Met deze tips voorkom je dat je het doelwit wordt van ongewenste bezoekers.
Inhoudsopgave
- Gebruik geen 'admin' als gebruikersnaam en kies een goed wachtwoord
- Gebruik tweestapsverificatie
- Let op welke plugins je installeert
- Installeer een security-plugin
- Update je plugins
- Beveilig je formulieren
- Maak regelmatig back-ups
- Cross-site contaminatie
Gebruik geen 'admin' als gebruikersnaam en kies een goed wachtwoord
Heb je WordPress geïnstalleerd, verander dan de gebruikersnaam 'admin' voor de beheerder direct. Hackers gaan actief op zoek naar deze gebruikersnaam, omdat ze dan alleen nog maar het wachtwoord hoeven te achterhalen. Over wachtwoorden gesproken, we hoeven je hopelijk niet te vertellen dat een goed wachtwoord vooral lang is, alleen voor jou een betekenis heeft en letters, cijfers en speciale tekens bevat. Een stapje verder gaat het wijzigen van de login-URL. De standaard-URL voor het inloggen op WordPress-sites eindigt op /wp-admin. Bots en hackers weten dat maar al te goed, wat het risico vergroot dat ze bij je binnen kunnen komen. Door de URL aan te passen, voorkom je dat bots die talloze pogingen doen om je wachtwoord te raden makkelijk op je inlogpagina komen. Dit doe je bijvoorbeeld met de plugin WPS Hide Login.
Gebruik tweestapsverificatie
Bij tweestapsverificatie (two step verification) gebruik je naast je gebruikersnaam en wachtwoord nog een extra code om in te loggen. Die ontvang je bijvoorbeeld via een bericht op je telefoon. Die extra stap is een flinke extra drempel voor iedereen die binnen wil komen. Je kunt tweestapsverificatie bijvoorbeeld instellen met de plugin Google Authenticator.
Let op welke plugins je installeert
Wat andere plugins betreft: er is een ongelofelijke hoeveelheid WordPress-plugins en -thema's en helaas zitten daar ook malafide exemplaren tussen. Kijk altijd naar de beoordelingen van de plugin of het thema. Het aantal downloads is ook een goede maatstaf voor de betrouwbaarheid. Download ze vanaf een betrouwbare bron, bijvoorbeeld via WordPress zelf.
Installeer een security-plugin
Meestal heb je het niet direct in de gaten als je website gehackt is. Om ergere schade te voorkomen én om te voorkomen dat hackers überhaupt binnenkomen, is het aan te raden een security-plugin voor WordPress te installeren. Ook hier moet je even goed opletten dat je een betrouwbare plugin installeert. Goede voorbeelden zijn JetPack, Wordfence en Sucuri. Installeer niet meer dan één security-plugin tegelijk. Doe je dat wel, dan kunnen ze elkaar dwarszitten.
Update je plugins
Niet alleen is het verstandig het aantal plugins binnen de perken te houden - zo voorkom je dat je site te zwaar wordt en toepassingen elkaar in de weg zitten - het is ook belangrijk dat je updates van plugins direct installeert zodra die beschikbaar zijn.
Let even goed op als een plugin een jaar of langer geen update heeft gekregen. Dat kan betekenen dat de plugin niet meer wordt onderhouden, met alle veiligheidsrisico's van dien.
Beveilig je formulieren
Je contactformulier en eventuele andere formulieren, bijvoorbeeld reactiemogelijkheden onder blogposts, kunnen dankbaar worden gebruikt door spammers als je ze niet beveiligt. Met (re)Captcha voorkom je dat spam wordt verstuurd vanaf jouw website of dat er reclame of andere ongewenste inhoud verschijnt onder je artikelen. Met een plugin zoals Advanced Google reCAPTCHA gaat dat eenvoudig.
Maak regelmatig back-ups
Gaat het ondanks alle maatregelen toch een keer mis? Dan is het wel zo handig als je een recente back-up van je site terug kunt zetten. We maken iedere dag een back-up van de webhosting- en resellerpakketten. In DirectAdmin kun je gebruikmaken van de back-up manager en jouw back-up terugzetten. Handmatig een back-up maken kan ook. Daar heb je een FTP-programma voor nodig. Je maakt verbinding met de webserver van je website door je FTP-gegevens op te geven, waarna naar de map met de bestanden van je WordPress-site gaat (meestal heet die www of public_html). Download alle bestanden om een back-up op schijf te maken.
Cross-site contaminatie
Op de meeste webhostingpakketten kun je meerdere websites hosten. Het is belangrijk hier bewust mee om te gaan. Deze websites delen dezelfde webruimte. Wanneer jij een archiefwebsite hebt die je slecht beveiligt, kan deze makkelijker gehackt worden. Als deze gehackt wordt, kan de hacker bij de bestandopslag van al je websites. Hoe goed de beveiliging is op deze websites maakt niet uit. Dit noemen we cross-site contaminatie.
Wil je meerdere websites op 1 pakket? Dan raden we een resellerpakket aan. Op deze manier heeft iedere website een eigen plek en wordt cross-site contaminatie voorkomen.
Heb je meer vragen over je WordPress website beveiligen? Bekijk onze andere artikelen of neem contact op met ons supportteam.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren