06 54 98 00 96
Checklist voor het beveiligen van je WordPress-site
4 april 2016

Je besteedt veel tijd aan je site, je wilt dan ook dat je site blijft zoals je ‘m ontworpen hebt en niet dat een hacker er misbruik van maakt of je hele site aanpast. Daarom is het ook belangrijk dat je de nodige maatregelen neemt om de risico’s te minimaliseren. Met onderstaande checklist in de hand kun je de risico’s tot een minimum beperken, maar het is niet alleen goed voor de beveiliging van je site, maar ook van je eigen werkplek.

WordPress hosting

  • Bij voorkeur op een server die alleen voor jouw website is of kies een VPS
  • Op een gedeelde server, shared hosting genoemd, moet het niet mogelijk zijn de andere sites te zien
  • Zorg voor een SSL-certificaat voor je server (https)
  • Kies voor een hostingbedrijf die extra beveiligingsmaatregelen neemt op het besturingssysteem

Gebruikersbeheer

  • Geef gebruikers zoveel rechten als ze nodig hebben (dus niet iedereen admin)
  • Loop regelmatig je gebruikerslijsten door, verwijder de accounts die niet meer gebruikt worden, of geef gebruikers minder rechten waar het mogelijk is

WordPress, thema’s en plugins

  • Activeer zoveel mogelijk de automatische updates van WordPress
  • Controleer minstens 1x per week of er updates zijn en installeer ze zo gauw mogelijk
  • Download alleen de plugins en thema’s welke afkomstig zijn van een betrouwbare bron, dus niet uit het illegale circuit
  • Verwijder onmiddellijk alle ongebruikte thema’s, plugins en ongebruikte installaties van WordPress, dus ook de plugins of thema’s die je even getest hebt

Authenticatie

  • Maak gebruik van 2-weg authenticatie (voor zover het mogelijk is)
  • Verplicht al je gebruikers complexe wachtwoorden te gebruiken
  • Draai je inlogpagina op een https-pagina
  • Beperk het aantal inlogpogingen

Serverbeheer

  • Zorg er voor dat de verbindingen tussen jou en jouw server gecodeerd en beveiligd zijn (sFTP voor het uploaden van bestanden of SSH voor shell-toegang)
  • Als je op een open netwerk verbinding maakt met je server, gebruik dan VPN
  • Beveilig de toegang tot je wp-config.php en de kopie├źn ervan
  • Beveilig de toegang tot je backups, logbestanden, testbestanden, tijdelijke bestanden en alle andere PHP applicaties op je webserver
  • Maak minimaal 1x per week een backup van je WordPress bestanden en database, en bewaar ze op een andere server dan je huidige webserver
  • Gebruik een complex wachtwoord voor je MySQL database gebruiker
  • Installeer een beveiligingsplugin voor WordPress

Kenmerken van een goede beveiligingsplugin voor WordPress

  • Malware scanner
  • Bescherming tegen brute-force inlogpogingen (hierbij wordt geprobeerd je wachtwoord te raden, dit gaat net zo lang door tot het geraden is)
  • Beveiliging tegen scannen van je site door hackers
  • Blokkeren en reguleren van het maximaal aantal verbindingen dat een gebruiker met je site mag opzetten
  • Twee-weg authenticatie
  • Wachtwoord audit (controle of er niet te gemakkelijke wachtwoorden gebruikt worden)
  • GeoIP blokkades (blokkade van bepaalde landen)
  • Geavanceerde blokkades

Beveilig je eigen werkomgeving ook

  • Als je vaak via open netwerken het internet op gaat, gebruik dan een VPN
  • Installeer alleen betrouwbare software op je computer en smartphone of tablet
  • Gebruik een goede en betrouwbare virusscanner
  • Geef je apparaten en draadloos netwerk complexe wachtwoorden
  • Kijk uit voor phishing mailtjes

Vroegtijdig een hack signaleren

  • Bezoek je site regelmatig
  • Zoek je site regelmatig op in Google
  • Stel e-mailmeldingen in in Google Search Console
  • Gebruik een malware scanner stel e-mailmeldingen in
  • Gebruik een broncodescanner om de integriteit van je site te controleren
  • Gebruik een monitoringdienst welke wijzigingen op je site signaleert
  • Let vooral ook op onverklaarbare hoge pieken in verkeer naar je website

Dit artikel is gebaseerd op een checklist gepubliceerd door WordFence.