WordPress is het populairste Content Management Systeem (CMS) en de motor achter meer dan 30% van websites. Maar naarmate het systeem groeit, hebben hackers dit opgemerkt en beginnen ze zich specifiek te richten op WordPress-sites. Het maakt niet uit wat voor soort inhoud je site biedt, je bent helaas geen uitzondering. Als je niet bepaalde voorzorgsmaatregelen neemt, kun je gehackt worden. Zoals alles wat met technologie te maken heeft, moet je de beveiliging van je website controleren. Maar hoe maak je een veilige (WordPress) website? In deze handleiding geef ik jou de beste tips om jouw WordPress website veilig te houden.
Waarom is een veilige website belangrijk?
Een gehackte WordPress site kan je bedrijf en reputatie ernstige schade toebrengen. Hackers kunnen gebruikersinformatie en wachtwoorden stelen, kwaadaardige software installeren en zelfs malware verspreiden onder je geregistreerde gebruikers. In het ergste geval kan het zelfs voorkomen dat je ransomware moet betalen aan hackers om weer toegang te krijgen tot je eigen website.
In maart 2016 meldde Google dat meer dan 50 miljoen website gebruikers zijn gewaarschuwd dat een website die ze bezoeken mogelijk malware bevat of informatie steelt. Bovendien zet Google elke week zo’n 20.000 websites op de zwarte lijst voor malware en zo’n 50.000 voor phishing.
Als jouw website een bedrijf is, dan moet je dus extra aandacht besteden aan WordPress beveiliging. Net zoals het de verantwoordelijkheid van de ondernemer is om zijn winkelpand te beschermen, is het jouw verantwoordelijkheid als online ondernemer om je bedrijfswebsite te beschermen.
Hoe kun jij jouw (WordPress) website veilig maken?
Als we de mogelijkheden bekijken die een website veilig maken WordPress, zijn er een heleboel dingen die je kunt doen om je site te vergrendelen en te voorkomen dat hackers je e-commerce site of blog kunnen aantasten. Het laatste dat je wilt is s’ochtends wakker worden en ontdekken dat je site een complete puinhoop is. Een website veilig maken kun je met deze stappen echter snel en gemakkelijk voor elkaar krijgen.
1. Gebruik een sterk wachtwoord
Wachtwoorden zijn een zeer belangrijk onderdeel van de beveiliging van websites en worden helaas vaak over het hoofd gezien. Als je een simpel wachtwoord gebruikt, d.w.z. ‘123456, abc123, wachtwoord’, moet je dit wachtwoord onmiddellijk veranderen. Hoewel het gemakkelijk te onthouden is, is het ook zeer gemakkelijk te raden. Een geavanceerde gebruiker kan je wachtwoord dus gemakkelijk kraken en zonder al te veel moeite binnenkomen.
Het is belangrijk dat je een complex wachtwoord gebruikt, of beter nog, een wachtwoord dat automatisch wordt gegenereerd met een verscheidenheid aan cijfers, onzinnige lettercombinaties en speciale tekens zoals % of ^.
2. Gebruik een SSL certificaat
Tegenwoordig is Single Sockets Layer, SSL, nuttig voor allerlei soorten websites. Aanvankelijk was SSL nodig om een site veilig te maken voor specifieke transacties, zoals het verwerken van betalingen. Google erkend het belang hiervan en geeft het sites met een SSL certificaat een veel betere plaats in zijn zoekresultaten. De meeste hosting providers leveren dan ook gratis een SSL certificaat bij hun hostingpakketten.
SSL is verplicht voor alle sites die gevoelige informatie verwerken, zoals wachtwoorden of creditcard gegevens. Zonder een SSL certificaat worden alle gegevens tussen de webbrowser van de gebruiker en je webserver in platte tekst afgeleverd. Dit kan door hackers worden gelezen. Door een SSL-certificaat te gebruiken, wordt de gevoelige informatie gecodeerd voordat het tussen de browser en je server wordt verzonden, waardoor het moeilijker te lezen is en je website veiliger wordt.
Voor websites die hele gevoelige informatie verwerken bedraagt de gemiddelde SSL-prijs ongeveer 70-199 euro per jaar. Als je geen gevoelige informatie accepteert hoef je eigenlijk niet te betalen voor een SSL certificaat. Bijna elk hostingbedrijf biedt ook een gratis Let’s Encrypt SSL-certificaat aan dat je op je website kunt installeren.
3. Stel tweestaps-authenticatie in voor jouw website
De techniek van tweestaps-authenticatie vereist dat gebruikers zich aanmelden met een authenticatiemethode in twee stappen. De eerste is de gebruikersnaam en het wachtwoord, en de tweede stap vereist dat je je verifieert met een apart apparaat of app.
De meeste bekende websites zoals Google, Facebook, Twitter, bieden ook de mogelijkheid om het in te schakelen voor je accounts. Je kunt dezelfde functionaliteit nu ook toevoegen aan je WordPress site.
Eerst moet je een tweestaps-authenticatie plugin installeren en activeren. Er zijn verschillende plugins in deze categorie beschikbaar, zoals Google Authenticator, Rublon en WordFence. Na activering, klik je op de ‘Two Factor Auth’ link in de WordPress admin sidebar. Vervolgens installeer en open je een authenticator-app op je telefoon.
Het is aan te bevelen een plugin te gebruiken waarmee je een back-up van je accounts in de cloud kunt maken. Dit is erg handig voor het geval je je telefoon kwijtraakt, reset, of je een nieuwe telefoon koopt. Al je account logins kunnen dan gemakkelijk en snel worden hersteld.
De instructies voor alle tweestaps-authenticatie apps zijn vergelijkbaar. Open je authenticator app, en klik vervolgens op de knop Toevoegen. Je wordt nu gevraagd of je een site handmatig wilt scannen of de streepjescode wilt scannen. Selecteer de scan barcode optie en richt dan de camera van je telefoon op de QR code die op de instellingenpagina van de plugin staat.
Dat is alles, je authenticatie app zal het nu opslaan. De volgende keer dat je inlogt op je website, zal nagevraagd worden om de twee-factor auth code, nadat je je wachtwoord hebt ingevoerd. Open gewoon de authenticator-app op je telefoon en voer de code in die je daarop ziet.
4. Maak regelmatig backups
Het maken van een back-up van je website is niet iets om over het hoofd te zien. Regelmatig backups maken van je WordPress site kan je in verschillende situaties uit de brand helpen. Zo heb je altijd een recente backup in het geval dat je website gehackt wordt of als je bijvoorbeeld een foutje tegenkomt die je site onklaar maakt. Ook in het geval van een update die de functionaliteit beïnvloedt, zul je in staat zijn om de laatste opgeslagen versie terug te draaien. Veel hosting providers maken elke dag een backup van alle websites van hun klanten, maar het is wel verstandig na te gaan of jouw webhost dit ook daadwerkelijk aanbiedt.
Het terugzetten van een WordPress backup kan je namelijk uren van troubleshooting besparen. Daar komt ook bij kijken dat het hebben van een back-up betekent dat je je site kunt dupliceren of verplaatsen naar een nieuwe host. Ik zou dus zo ver gaan om te zeggen dat als je geen recente back-up hebt, je dit echt bovenaan je to-do lijst moet zetten.
5. Update WordPress, thema’s en plugins regelmatig
Een andere zeer belangrijke manier om je WordPress beveiliging te versterken is om deze altijd up-to-date te houden. Dit omvat de WordPress kern, plugins en thema’s (zowel gratis als premium versies). Deze worden niet voor niets geüpdatet, en vaak bevatten ze beveiligingsverbeteringen en bug fixes.
Wist je dat plugin kwetsbaarheden naar verluidt 55,9% van bekende toegangspunten voor hackers vertegenwoordigen? Dat is wat een onderzoek van WordFence heeft uitgewezen toen ze meer dan 1.000 WordPress site-eigenaren hebben ondervraagd die het slachtoffer zijn geworden van aanvallen. Door je plugins te updaten kun je ervoor zorgen dat je straks niet zelf een van deze slachtoffers bent.
6. Kies voor snelle en veilige hosting
Het antwoord op de vraag: Hoe maak je een veilige website, omvat veel meer dan alleen het vergrendelen van je site. Er is namelijk ook beveiliging op webserver niveau nodig, waarvoor je hosting provider verantwoordelijk is.
Server hardening is de sleutel tot het onderhouden van een grondig beveiligde WordPress omgeving. Er zijn meerdere lagen beveiligingsmaatregelen op hardware- en software niveau nodig om ervoor te zorgen dat de IT-infrastructuur die WordPress sites host in staat is zich te verdedigen tegen geavanceerde bedreigingen, zowel fysiek als virtueel.
Daarom moeten servers die WordPress hosten worden bijgewerkt met het nieuwste besturingssysteem en de nieuwste (beveiligings)software en moeten ze grondig worden getest en gescand op kwetsbaarheden en malware. Weet je niet welke webhost aan deze voorwaarden voldoet? Lees dan mijn reviews over SiteGround, Hostinger en Cloud86 voor uitgebreide informatie over deze uitstekende hostingproviders.
7. Beveilig formulieren
Veilige WordPress formulieren zijn een belangrijk onderdeel van elke lead genererende strategie. Als mensen gegevens en/of bestanden naar je site gaan sturen, moet je deze vorm van beveiliging serieus nemen. Hackers en spammers gebruiken onbeveiligde formulieren om kwetsbaarheden in je website te traceren.
Ze zouden je website als mailserver kunnen gebruiken om spam berichten te versturen of andere websites te infecteren. Ook kunnen ze verborgen pagina’s en blog reacties met links naar andere sites maken, of gewoon de code van je website volledig kraken.
Je kunt je formulieren beveiligen door een reeks handelingen uit te voeren zoals double opt-in, een gelimiteerd aantal karakters toe te staan in velden, reCaptcha en indien nodig het beveiligen van het uploaden van bestanden.
8. Verplaatst de WordPress inlog pagina
Normaliter is het adres om in te loggen op WordPress “jouwsite.nl/wp-admin”. Door dit als standaard te laten staan kun je gemakkelijk het doelwit worden van een brute force aanval om je gebruikersnaam/wachtwoord combinatie te kraken. Als je gebruikers toelaat om zich te registreren voor abonnementen, kan je tevens veel spam registraties krijgen. Om dit te voorkomen kun je de admin login URL wijzigen of een veiligheidsvraag toevoegen aan de registratie en login pagina.
Je kunt de inlogpagina ook verbergen met WPS Hide Login. Dit is een WordPress plugin die een geheime admin login pagina maakt. Dit voorkomt dat hackers de admin login pagina aanvallen omdat deze verborgen is.
Is het maken van een veilige website lastig?
Hoewel de kern website software van WordPress zeer veilig is, en regelmatig door honderden ontwikkelaars wordt gecontroleerd, kan er veel worden gedaan om je site veilig te houden. Met deze handleiding kun je basishandelingen uitvoeren waarvoor je weinig tot geen expertise van coderen nodig hebt. Echter zul je voor geavanceerde WordPress beveiliging toch kennis nodig hebben van PHP code en MySQL (Database).
Kun je gratis een veilige (WordPress) website maken?
Er zijn vele gratis plugins beschikbaar waarmee je een veilige WordPress website kunt maken. Het is echter verstandig er rekening mee te houden dat niet alle gratis plugins goed gecodeerd zijn en dat als er kwetsbaarheden in de code voorkomen, deze ook door hackers uitgebuit kunnen worden. Neem daarom eerst de beoordelingen en reputatie van een plugin in acht voordat je besluit het te installeren. Als je zelf een eigen website of webshop wil bouwen met WordPress zal je met deze handleiding in ieder geval de juiste doe-het-zelf aanpak kunnen hanteren.
Conclusie: Hoe maak je een veilige website?
Het is van cruciaal belang om je WordPress website veilig te houden. Niet alleen zou een inbreuk op de beveiliging frustrerend zijn als je zoveel tijd en werk in je website hebt gestoken, maar het kan ook een impact hebben op je merk. Niemand zal terugkeren naar een website waar zijn persoonlijke gegevens werden gestolen – laat staan dat hij er iets zou kopen!
Wil je zo snel mogelijk een veilige website maken en heb je geen tijd of voldoende kennis om dit zelf te doen? Neem dan contact op met Nolimit Webdesign en je hebt binnen de kortste keren een website die zo veilig is als een kluis!
Website veilig maken - Veelgestelde vragen
Hoe maak ik mijn website veilig?
Hoe maak ik mijn website veilig? Je kunt een website of webshop veilig maken door een SSL certificaat te koppelen. Hierdoor maakt jouw website gebruik van een beveiligde verbinding, maar natuurlijk zijn er nog veel meer tips voor een veilige website. Lees daarom vooral verder.
Hoe kun je zien of een website veilig is?
Hoe kun je zien of een website veilig is? Je kunt zien of een website veilig is aan het slotje in de browser balk waar ook de url van de pagina staat. Wanneer hier een slotje staat is de website veilig. Is dit niet het geval? Dan heb je vaak al een melding van Google gekregen dat je naar een niet veilige website gaat.
Hoe kun jij jouw WordPress website veilig maken?
Hoe kun jij jouw WordPress website veilig maken? Jij kunt jouw WordPress website veilig maken door verschillende stappen te ondernemen. Denk bijvoorbeeld aan het SSL certificaat en een goed wachtwoord. In deze blog deel ik echter nog veel meer tips!
Hoe krijg ik HTTPS op mijn site?
Hoe krijg ik HTTPS op mijn site? Je kunt eenvoudig HTTPS op jouw website krijgen door een SSL certificaat aan jouw website te koppelen. Vervolgens is jouw website of webshop wel HTTPS beveiligd!
Tim Gerrits
Mijn naam is Tim Gerrits en ik heb een passie voor het bouwen van websites en webshops. Via deze blog help ik jou met het bouwen van jouw eigen website, webshop of online cursus. Daarnaast review ik ook WordPress thema’s, page builders en hostingpartijen zodat jij direct met de juiste tools van start kunt gaan!