• Menu
  • Skip to left header navigation
  • Skip to right header navigation
  • Door naar de hoofd inhoud
  • Spring naar de eerste sidebar
  • Spring naar de voettekst

Before Header

Direct hulp bij WordPress nodig? Bel nu!   085 - 13 0 14 99

  • Twitter
  • Facebook
  • WordPress
  • Instagram
  • RSS
  • LinkedIn

Vertizio

DE WordPress specialist van Nederland!

  • Home
  • Producten en diensten
  • Werkwijze
  • Portfolio
  • Neem contact met ons op
  • Over Vertizio
  • Blog
  • Home
  • Producten en diensten
  • Werkwijze
  • Portfolio
  • Neem contact met ons op
  • Over Vertizio
  • Blog
Home › Beveiliging › Beveiliging van WordPress

Beveiliging van WordPress

Sjoerd Blom-  3 juni 2019

Regelmatig krijgen wij de vraag : ‘Hoe beveilig ik mijn WP?’ of ‘Help, mijn WordPress is gehackt! Wat nu?’
Als je gehackt bent dan zijn er een paar oorzaken aan te wijzen: je hebt je WordPress, je plugins en je themes niet bijgewerkt, je hebt premium plugins of themes van een torrent geplukt of van een vage website gedownload, of je admin-wachtwoord was te gemakkelijk.

Oud en kwetsbaar

Vaak wordt aangenomen dat hackers alleen maar op je site willen rotzooien. Helaas is dat een misverstand, het gaat ze uiteindelijk om de kroonjuwelen: toegang tot de server, het besturingssysteem. Om dat voor elkaar te krijgen gaan ze op 2 manieren te werk: systematisch servers scannen op verouderde versies van WordPress (staat vaak in de broncode van de site, maar de readme.html geeft ook veel informatie. Zet maar eens /readme.html achter je domeinnaam als je WP draait), maar nog veel interessanter verouderde plugins en themes. Sommige themes en plugins zijn al meer dan een jaar oud en hebben sindsdien geen enkele update gehad. Ook die kunnen kwetsbaar zijn.

Hacker dashboards

Echter het systematisch scannen van servers kost veel tijd. Het is veel gemakkelijker om populaire plugins en themes te infecteren met een paar regels code die verdere besmetting van je website mogelijk maken. Het lijkt allemaal zo leuk: een gratis versie van die plugin. Even proberen en zonder dat je het weet heeft die plugin allemaal extra software naar binnen gehaald. Je zult die extra software niet zo snel terug kunnen vinden, omdat het zichzelf goed weet te camoufleren. En nog belangrijker: de hacker heeft nu volledige toegang tot je site en server, maar helemaal buiten WordPress om! Er zijn dus geen extra gebruikersaccounts op je WordPress geïnstalleerd, want zijn hackers dashboard biedt veel meer mogelijkheden.

De beveiligingsexperts bij Wordfence hebben een mooie video gemaakt waarin ze laten zien hoe dat allemaal werkt en wat er allemaal mogelijk is.

Wat kun je zelf doen om je WordPress schoon te houden?

  1. Zorg ervoor dat alle plugins, themes (dus ook de standaard twenty-fifteen, twenty-sixteen) en WordPress zelf bijgewerkt zijn naar de meest recente versie
  2. Gebruik je een plugin of theme niet meer: verwijder ze
  3. Maak na de installatie een nieuw account (gebruik niet weer de naam admin of beheerder, maar iets als opperhoofd, baas, ….) aan met beheerdersrechten en verwijder het oorspronkelijke account admin
  4. Gebruik een complex wachtwoord. Voor alle accounts. Als je dat lastig vindt, maak dan gebruik van een wachtwoordmanager (1password, Keepass, Lastpass), die hebben plugins die complexe wachtwoorden voor je kunnen genereren en de wachtwoorden automatisch voor je invullen bij het inloggen.
  5. Geen illegale plugins en themes installeren. Ze bevatten nagenoeg altijd achterdeurtjes.
  6. Installeer op z’n minst een paar beveiligingsplugins:
    – WP Limit Login Attempts gecombineerd met een van de onderste twee:
    – Wordfence Security
    – iThemes Security
    Overigens gaan dit soort plugins wel ten koste van je laadsnelheid van je site.

Sommigen adviseren om de wp-login.php en wp-admin hernoemen, maar dat is ‘security through obscurity‘ en heeft weinig zin.
Twee-weg authenticatie zal binnenkort standaard deel uitmaken van WordPress maar tot die tijd kun je nog gebruik maken van plugins die hetzelfde doen (clef, yubikey)… Het is een optie maar totaal nutteloos als je de bovenstaande 5 punten niet voor elkaar hebt.
Je zou nog wat foutmeldingen bij de login onzichtbaar kunnen maken, maar een scriptkid kijkt daar niet eens naar.

Beveiliging door je webhoster

Daarnaast raad ik je aan te kiezen voor een webhoster die ook op serverniveau de nodige beveiliging voor je heeft, zoals aanpassingen in de php.ini (bv. safe_mode), een malware scanner laat draaien, een actief ipfilter (geoblock, ipfw) heeft, alsmede een proactief en reactief intrusion detection system… Vraag je eigen hoster naar de mogelijkheden, of neem contact op met Vertizio.

Tenslotte: je eigen computer

Wat kun je zelf verder nog doen?  Kijk ook naar je eigen computer: is die nog steeds schoon? Je kunt ook gehackt worden doordat er een sniffer op je computer zit en die alle wachtwoorden doorsluist.

Categorie: Beveiliging, WordPress

Vorig bericht: « WordPress op je eigen computer
Volgend bericht: Checklist voor het beveiligen van je WordPress-site »

Primaire Sidebar

Uitgelicht

Sustainable WordPress

Zo maak je je WordPress duurzaam (en ook nog eens snel)

Sjoerd Blom -  22 december 2019

WordPress duurzaam? WordPress groen? Ja, dat kan echt! En dan hebben we het niet over de kleur van je site, maar over hoeveel energie jouw website gebruikt of nog preciezer: de CO2-uitstoot van je website. Geen tijd of zin om te lezen? Lees dan de samenvatting aan het eind: TL;DR Hoe kan een website energie verbruiken? Om te begrijpen hoe we je website duurzaam kunnen maken, moeten we eerst begrijpen hoe het kan dat een website energie verbruikt. De webserverEen website staat op een webserver. Die server heeft elektriciteit nodig om te kunnen werken. De server staat ook in een …

Footer

Onze oplossingen die werken!

  • Draadloos internet
  • Hosting
  • Je WordPress website sneller maken
  • Maatwerk
  • Maatwerkoplossingen voor WordPress
  • Office-oplossingen
  • Overstappen naar WordPress
  • Telefonie
  • Verhuizen van een website
  • Websites
  • WordPress beheer
  • WordPress help
  • WordPress website maken

Dát is Vertizio

Geen ingewikkelde schermen als je de inhoud van je website bijwerkt, geen lastige vragen omdat er zo nodig een nieuwe versie van de software geïnstalleerd moet worden. Vertizio bouwt, bewaakt en onderhoudt jouw website.Je kunt rustig achterover gaan zitten en jouw tijd besteden aan nuttigere zaken. Zoals je website bijhouden, of aandacht aan je eigen klanten besteden.Vertizio ontzorgt.

Contactgegevens

Zwenkgras 1
8935 HA Leeuwarden
085 - 13 0 14 99

Site Footer

  • Colofon
  • Privacyverklaring
  • Cookieverklaring
  • Sitemap (XML)

© Vertizio 2014 - 2022 · Alle rechten voorbehouden.

  • Algemene gegevens

    Graag beginnen we eerst met wat algemene gegevens.
  • Graag hebben we ook je telefoonnummer, zodat we je kunnen bellen voor meer details en vragen.
  • Onze volledige verklaring kun je vinden op https://vertizio.nl/colofon/privacyverklaring/
  • Over jouw project

    Vertel ons eens wat meer over jouw project of wensen.
  • Kruis hieronder aan (meerdere keuzes zijn mogelijk) waarvoor je informatie wilt aanvragen:
  • Is deze informatieaanvraag voor een bestaande website?
  • Wat is het adres van de website waarvoor je deze informatieaanvraag doet?
  • Heb je al een budget in gedachten?
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Ja, ik wil meer weten over grip op klantcommunicatie

Zet nu vrijblijvend de eerste stap om weer grip te krijgen op je klantcommunicatie. Vul hieronder je gegevens in zodat we contact met je op kunnen nemen.
  • Privacybeleid: Wij hebben ook een hekel aan spam en beloven je e-mailadres veilig te bewaren en niet te misbruiken.

Ja, ik wil meer weten

Zet nu vrijblijvend de eerste stap om je business een boost te geven. Vul hieronder je gegevens in zodat we contact met je op kunnen nemen.
  • Privacybeleid: Wij hebben ook een hekel aan spam en beloven je e-mailadres veilig te bewaren en niet te misbruiken.