Kopje koffie?
Gefopt! Ook jij trapt erin!

Ontdek hoe ook jij je doelgroep kunt laten doen wat je wilt. Wacht niet langer en neem vandaag nog contact met ons op!

Vertel mij meer
Online Marketing
SEA SEO Social media E-mail marketing
Inhaakkalender downloaden
SEO checklist downloaden
Websites
Website laten maken Webshop laten maken Digitale toegankelijkheid
Inhaakkalender downloaden
SEO checklist downloaden
Cases
Kennis
Blog Downloads
SEO checklist downloaden
Inhaakkalender downloaden
Over ons
Over ons Vacatures
SEO checklist downloaden
Inhaakkalender downloaden
Contact
Online Marketing Websites Cases Kennis Over ons Contact Kopje koffie?
Online Marketing SEA SEO Social media E-mail marketing
Websites Website laten maken Webshop laten maken Digitale toegankelijkheid
Kennis Blog Downloads
Over ons Over ons Vacatures
|Blog|10 Beveiligingstips voor WordPress

Beveiligingstip 1: Wijzig de URL van het login scherm

Laten we beginnen bij het begin: het inloggen. Het lijkt heel makkelijk, je hebt een login scherm, dus je bent beveiligd. Echter is de website niet zomaar beveiligd doordat je je in het inlogscherm bevindt. Hackers weten dat iedere WordPress website standaard het login scherm op ‘domein.nl/wp-admin’ of ‘domein.nl/wp-login’ heeft staan. Vervang daarom deze URL door bijvoorbeeld ‘domein.nl/mijnbedrijf-login’. Door deze aanpassing kunnen bots/hackers niet direct bij je login scherm komen. Een goede plugin die je hiervoor zou kunnen gebruiken is: WPS Hide Login.

Beveiligingstip 2: Vermijd standaard wachtwoorden

Wachtwoorden zoals ‘Welkom01’, ‘wachtwoord123’ en ‘ditiseenwachtwoord’ zijn allemaal voor de hand liggende wachtwoorden die een hacker als eerst probeert. Het is het meest veilig om een automatisch gegenereerd wachtwoord te gebruiken dat bestaat uit zowel tekens, letters als cijfers en een minimale lengte heeft van 8 karakters.

Een automatisch gegenereerd wachtwoord is misschien wat moeilijk te onthouden, maar hiervoor is een wachtwoordmanager de perfecte oplossing!

Beveiligingstip 3: Wijzig ‘admin’ als gebruikersnaam

Ook hackers weten dat de standaard gebruikersnaam voor de administrator ‘admin’ is. Verander daarom de standaard ‘admin’ gebruikersnaam. Dit kun je eenvoudig doen door onder het gebruikersbeheer in WordPress te wijzigen naar een andere willekeurige naam.

Beveiligingstip 4: Maak gebruik van two-factor authentication

Om het hackers zo moeilijk mogelijk te maken, heeft WordPress de mogelijkheid om een tweede beveiligingslaag toe te voegen aan de login. Hiervoor kun je gebruik maken van Two-factor authentication. Met deze vorm van beveiligen plaats je een tweede beveiligingslaag toe aan het login proces, waarbij je een code ontvangt via een sms op je telefoon of via een app. Deze code is naast je standaard login ook nodig om in te loggen.

Een hacker kan dan wel jouw wachtwoord hebben bemachtigd, maar kan vervolgens niet inloggen, omdat hij de code uit de sms niet heeft ontvangen. Hij zal zo nooit door de tweede beveiligingslaag heen komen!

Beveiligingstip 5: Zet een limiet op inlogpogingen

Hackers maken ook wel gebruik van ‘Brute Force’ aanvallen. Hiermee wordt geprobeerd in te loggen met ieder mogelijk wachtwoord, door alle mogelijke combinaties van letters, cijfers en tekens bij langs te gaan.

Het risico van deze aanval kunnen we aanzienlijk beperken door een limiet op het aantal inlogpogingen te zetten. Wanneer er bijvoorbeeld vijf keer een foutief wachtwoord ingegeven is, blokkeert het account automatisch voor twee uur of kan het account enkel weer vrijgesteld worden door de administrator of de beheerder.

Gebruik de plugin Limit Login Attempts Reloaded om beveiligingstip 5 toe te passen.

Beveiligingstip 6: Geef gebruikersrollen de juiste rechten

Bij veel bedrijven werken meerdere mensen in verschillende rollen aan de bedrijfswebsite. Hierbij is het belangrijk om rekening te houden met de mate waarin gebruikers, anders dan de beheerder, toegang hebben tot de website. Bekijk goed per rol welke rechten er toegewezen moeten worden en wees kritisch. Het is namelijk niet aan iemand met de rol ‘auteur’ om bijvoorbeeld de instellingen van de website aan te kunnen passen. Wanneer de rechten per rol goed ingesteld staan en een hacker probeert het account van een ‘auteur’ te hacken, kan hij in geen geval bij de site-instellingen komen.

Beveiligingstip 7: Maak gebruik van reCaptcha

Onder andere de plugin Invisible reCaptcha for WordPress kan ervoor zorgen dat de kans aanzienlijk groter wordt dat alleen echte personen formulieren op WordPress website in kunnen dienen. ReCaptcha controleert dit door de bezoeker foto’s met bijvoorbeeld een fiets te laten selecteren of bovenstaande tekens over te laten nemen.

Op deze manier probeert reCaptcha te voorkomen dat er een lading spam binnenkomt via formulieren zoals een contactformulier.

Beveiligingstip 8: Maak gebruik van XMLRPC Service

XML-RPC zorgt ervoor dat WordPress informatie kan versturen en verkrijgen van andere bronnen zoals mobiele apps. Maak je hier geen gebruik van? Zet dit dan uit. Het gaat niet alleen om het verkrijgen van informatie vanuit jouw site, maar hackers kunnen hier ook weer een ‘Brute Force’ aanval mee uitvoeren op jouw loginsysteem.

Beveiligingstip 9: Deactiveer onnodige archief pagina’s

Bij een maatwerk website is de kans groot dat er custom elementen zijn toegevoegd (Custom post types). Dit zijn maatwerk toevoegingen voor bijv. het toevoegen van vestigingen of andere niet standaard onderdelen. Al deze toevoegingen hebben standaard ook een archief pagina. Wanneer de archiefpagina’s niet gebruikt worden, adviseren wij deze uit te zetten. Het kan namelijk voorkomen dat hier standaard al gebruikersnamen aan toegevoegd worden, wat weer belangrijke informatie is voor een Hacker. Dit kan dus voorkomen worden, door deze niet gebruikte archiefpagina’s uit te zetten.

Beveiligingstip 10: Houd je website ten alle tijden up-to-date

De aanvallen van hackers worden steeds geavanceerder. Gelukkig ontwikkelt WordPress mee in deze trend. Er komen telkens nieuwe updates uit om hackers buiten de deur te houden. Vervolgens is het de taak van de websitebeheerder om ervoor te zorgen dat deze dan ook geupdate wordt, en dan niet alleen WordPress, maar ook de thema’s en plugins.

Naast het structureel updaten, is ons advies om ook alle thema’s en plugins die niet gebruikt worden te verwijderen. Je beperkt hiermee namelijk de werkruimte van hackers. Bijkomend voordeel hiervan is ook nog dat het de laadtijd van de website verbetert.

There you go! Met deze 10 tips maken we een standaard WordPress website een stuk veiliger. Uiteraard zijn er nog meer mogelijkheden om een website te beveiligen, maar met deze 10 tips kom je al een heel eind. Let wel dat je nu natuurlijk niet met iedereen je wachtwoord gaat delen of een post-it op je bureau plakt waar je nieuwe wachtwoord op staat! 😉

Heb je verder nog vragen? Neem dan vrijblijvend contact met ons op en we helpen je graag verder.

Inspiratie

Inhaakkalender downloaden

Volop inspiratie voor je socials, campagnes en content met de enige echte JVDmedia inhaakkalender!

Inhaakkalender downloaden

Inspiratie

De laatste blogs

Google Core Update maart 2024
Lees meer
Roadshow Digitoegankelijk: Kritische blik op overheidswebsites met focus op inclusiviteit
Lees meer