10 Beveiligingstips voor WordPress

16 Sep 2020

Ongeveer 35% van alle websites op de wereld is gebouwd met WordPress! Dit maakt dat WordPress erg populair is om als CMS in te zetten. Doordat WordPress zo massaal gebruikt wordt, is de kans groot dat er naast gebruikers, ook veel hackers actief zijn. In dit blog delen wij 10 tips om een WordPress website te voorzien van de beveiliging die het nodig heeft.

Beveiligingstip 1: Wijzig de URL van het login scherm

Laten we beginnen bij het begin: het inloggen. Het lijkt heel makkelijk, je hebt een login scherm, dus je bent beveiligd. Echter is de website niet zomaar beveiligd doordat je je in het inlogscherm bevindt. Hackers weten dat iedere WordPress website standaard het login scherm op ‘domein.nl/wp-admin’ of ‘domein.nl/wp-login’ heeft staan. Vervang daarom deze URL door bijvoorbeeld ‘domein.nl/mijnbedrijf-login’. Door deze aanpassing kunnen bots/hackers niet direct bij je login scherm komen. Een goede plugin die je hiervoor zou kunnen gebruiken is: WPS Hide Login.

Beveiligingstip 2: Vermijd standaard wachtwoorden

Wachtwoorden zoals ‘Welkom01’, ‘wachtwoord123’ en ‘ditiseenwachtwoord’ zijn allemaal voor de hand liggende wachtwoorden die een hacker als eerst probeert. Het is het meest veilig om een automatisch gegenereerd wachtwoord te gebruiken dat bestaat uit zowel tekens, letters als cijfers en een minimale lengte heeft van 8 karakters.

Een automatisch gegenereerd wachtwoord is misschien wat moeilijk te onthouden, maar hiervoor is een wachtwoordmanager de perfecte oplossing!

Beveiligingstip 3: Wijzig ‘admin’ als gebruikersnaam

Ook hackers weten dat de standaard gebruikersnaam voor de administrator ‘admin’ is. Verander daarom de standaard ‘admin’ gebruikersnaam. Dit kun je eenvoudig doen door onder het gebruikersbeheer in WordPress te wijzigen naar een andere willekeurige naam.

Beveiligingstip 4: Maak gebruik van two-factor authentication

Om het hackers zo moeilijk mogelijk te maken, heeft WordPress de mogelijkheid om een tweede beveiligingslaag toe te voegen aan de login. Hiervoor kun je gebruik maken van Two-factor authentication. Met deze vorm van beveiligen plaats je een tweede beveiligingslaag toe aan het login proces, waarbij je een code ontvangt via een sms op je telefoon of via een app. Deze code is naast je standaard login ook nodig om in te loggen.

Een hacker kan dan wel jouw wachtwoord hebben bemachtigd, maar kan vervolgens niet inloggen, omdat hij de code uit de sms niet heeft ontvangen. Hij zal zo nooit door de tweede beveiligingslaag heen komen!

Beveiligingstip 5: Zet een limiet op inlogpogingen

Hackers maken ook wel gebruik van ‘Brute Force’ aanvallen. Hiermee wordt geprobeerd in te loggen met ieder mogelijk wachtwoord, door alle mogelijke combinaties van letters, cijfers en tekens bij langs te gaan.

Het risico van deze aanval kunnen we aanzienlijk beperken door een limiet op het aantal inlogpogingen te zetten. Wanneer er bijvoorbeeld vijf keer een foutief wachtwoord ingegeven is, blokkeert het account automatisch voor twee uur of kan het account enkel weer vrijgesteld worden door de administrator of de beheerder.

Gebruik de plugin Limit Login Attempts Reloaded om beveiligingstip 5 toe te passen.

Beveiligingstip 6: Geef gebruikersrollen de juiste rechten

Bij veel bedrijven werken meerdere mensen in verschillende rollen aan de bedrijfswebsite. Hierbij is het belangrijk om rekening te houden met de mate waarin gebruikers, anders dan de beheerder, toegang hebben tot de website. Bekijk goed per rol welke rechten er toegewezen moeten worden en wees kritisch. Het is namelijk niet aan iemand met de rol ‘auteur’ om bijvoorbeeld de instellingen van de website aan te kunnen passen. Wanneer de rechten per rol goed ingesteld staan en een hacker probeert het account van een ‘auteur’ te hacken, kan hij in geen geval bij de site-instellingen komen.

Beveiligingstip 7: Maak gebruik van reCaptcha

Onder andere de plugin Invisible reCaptcha for WordPress kan ervoor zorgen dat de kans aanzienlijk groter wordt dat alleen echte personen formulieren op Wordpress website in kunnen dienen. ReCaptcha controleert dit door de bezoeker foto’s met bijvoorbeeld een fiets te laten selecteren of bovenstaande tekens over te laten nemen.

Op deze manier probeert reCaptcha te voorkomen dat er een lading spam binnenkomt via formulieren zoals een contactformulier.

Beveiligingstip 8: Maak gebruik van XMLRPC Service

XML-RPC zorgt ervoor dat WordPress informatie kan versturen en verkrijgen van andere bronnen zoals mobiele apps. Maak je hier geen gebruik van? Zet dit dan uit. Het gaat niet alleen om het verkrijgen van informatie vanuit jouw site, maar hackers kunnen hier ook weer een ‘Brute Force’ aanval mee uitvoeren op jouw loginsysteem.

Beveiligingstip 9: Deactiveer onnodige archief pagina’s

Bij een maatwerk website is de kans groot dat er custom elementen zijn toegevoegd (Custom post types). Dit zijn maatwerk toevoegingen voor bijv. het toevoegen van vestigingen of andere niet standaard onderdelen. Al deze toevoegingen hebben standaard ook een archief pagina. Wanneer de archiefpagina's niet gebruikt worden, adviseren wij deze uit te zetten. Het kan namelijk voorkomen dat hier standaard al gebruikersnamen aan toegevoegd worden, wat weer belangrijke informatie is voor een Hacker. Dit kan dus voorkomen worden, door deze niet gebruikte archiefpagina’s uit te zetten.

Beveiligingstip 10: Houd je website ten alle tijden up-to-date

De aanvallen van hackers worden steeds geavanceerder. Gelukkig ontwikkelt WordPress mee in deze trend. Er komen telkens nieuwe updates uit om hackers buiten de deur te houden. Vervolgens is het de taak van de websitebeheerder om ervoor te zorgen dat deze dan ook geupdate wordt, en dan niet alleen WordPress, maar ook de thema’s en plugins. 

Naast het structureel updaten, is ons advies om ook alle thema’s en plugins die niet gebruikt worden te verwijderen. Je beperkt hiermee namelijk de werkruimte van hackers. Bijkomend voordeel hiervan is ook nog dat het de laadtijd van de website verbetert.

There you go! Met deze 10 tips maken we een standaard WordPress website een stuk veiliger. Uiteraard zijn er nog meer mogelijkheden om een website te beveiligen, maar met deze 10 tips kom je al een heel eind. Let wel dat je nu natuurlijk niet met iedereen je wachtwoord gaat delen of een post-it op je bureau plakt waar je nieuwe wachtwoord op staat! ;-)

Heb je verder nog vragen? Neem dan vrijblijvend contact met ons op en we helpen je graag verder.


Daag ons uit

Wij staan voor samenwerken, korte lijntjes en een nuchtere aanpak. Samen streven naar ultiem online succes! Wil jij ook dé aanpak naar succes ervaren? Neem dan contact op en daag ons uit!

  • 17 uur geleden

    10 tips om meer uit je Facebookpagina te halen

    Kan jouw bedrijfspagina op Facebook wel een boost gebruiken? Of heeft jouw bedrijf nog amper volgers op Facebook? Bekijk dan onze tien tips voor jouw Facebookpagina hier!

  • 2 weken geleden

    De stage van Leonie

    Mijn naam is Leonie Kranenborg, 20 jaar oud en ik studeer Ondernemerschap & retail management aan de Hanze. Van september tot en met februari loop ik stage bij JVDmedia. Tijdens mijn stage ga ik me...

  • 23 Mar

    De beste thuiswerk tools

    Thuiswerken, voor de één het moment om vier keer zo hard te werken. Voor de ander een uitdaging om geconcentreerd te blijven werken. Wij geven jou de beste tools die jij kunt gebruiken om efficiënt...