Stel je voor, je bent enthousiast begonnen aan jou WordPress blog. De afgelopen maanden ben je druk aan het schrijven geweest en langzaam aan beginnen de bezoekers je site te bezoeken. Oftewel je blog loopt beter dan verwacht. En opeens krijg je een mailtje van een vriend dat je blog geen berichten meer laat zien. Je kijkt snel en inderdaad, alles weg! Dat wil je niet laten gebeuren toch?!
Aangezien WordPress toch een van de grootste blog platformen is, zijn er ook veel mensen die hun pijlen richten op de site’s die gemaakt zijn met WordPress. In dit artikel vind je een aantal tips en plugins om je WordPress site zo veilig mogelijk te krijgen. En mocht het onverhoopt mis gaan hoe je de schade zo minimaal mogelijk kan maken.
Algemene tips
Een aantal algemene tips waar je geen plugin voor nodig hebt. Sommige tips zijn een open deur maar toch zal het je verbazen hoeveel mensen hier toch niet aan denken.
Admin account
Het eerste account dat je aan moet maken is het Administrator account. Gebruik als username niet ´Admin´, ´root´ of ´beheer´. Iedereen kan dit bedenken en heeft dan deel 1 van je administrator account binnen. Het aanpassen van je username is standaard niet mogelijk in WordPress, dus denk hier optijd aan!
Gebruik een sterk wachtwoord
Ja het is een inkopper maar toch de belangrijkste. Gebruik een sterk wachtwoord. Volgens de WordPress advies is een sterk wachtwoord minimaal 7 tekens lang en gebruik zowel letters, cijfers en een speciaal teken als ! “ ? $ % ^&. Gebruik ook geen woord dat bekenden zouden kunnen bedenken.
Gelukkig geeft WordPress aan of je wachtwoord sterk is of niet.
Update zo snel mogelijk
Voor zowel WordPress als veel Plugins worden regelmatig updates uit gegeven. Het is belangrijk om deze updates zo snel mogelijk te installeren. Vaak bevat een update naast een verbetering van de functies ook aanpassingen om het geheel veiliger te maken.
Aangezien WordPress zeer veel gebruikt word zijn er kwaadwillenden die zoeken naar fouten die zijn kunnen misbruiken. Zodra zij zien dat jij de fout nog hebt, breken ze in en kunnen ze alle gegevens stelen of zelfs verwijderen.
WordPress geeft op het dashboard weer of er updates zijn. Ook word er in het menu een getal achter de plugins weergegeven. Dit staat voor het aantal updates dat beschikbaar is. Als WordPress goed is geinstalleerd kan je met een paar keer klikken de updates geautomatiseerd installeren. Het hoeft dus geen enge actie te zijn.
Maak backups
Net als je eigen documenten is het ook verstandig om een backup te hebben van je WordPress site. Over het algemeen pas je toch wel wat aan naar je eigen wensen. Is het niet je thema dan is het wel een aangepaste homepage. Dus na een installatie altijd even een kopie van je site downloaden. Over het algemeen gaat dit het makkelijkste via een FTP programma. Op het backuppen van je database kom ik later in dit artikel terug.
Plugins
Naast de tips die je altijd kan uitvoeren zijn er ook nog een aantal plug-ins die je WordPress veiliger kunnen maken. Een selectie van deze plugins word besproken. Het kan zijn dat je een betere tegenkomt. Vermeld deze dan in een reactie op deze pagina.
Secure WordPress
Deze plugin richt zich vooral op het verbergen van informatie die iets kan verraden. En simpel voorbeeld hiervan is de versie van WordPress onderaan de pagina weergeven. Hieraan kan een kwaadwillende heel snel zien of jij een oudere versie draait en de daarbij horende ´lekken´ misbruiken. Een ander voorbeeld is het verbergen van update berichten op het dashboard. Dit is vooral nuttig als er veel mensen op het beheer gedeelte mogen komen.
Alle opties kan je aan of uit zetten en zijn redelijk duidelijk beschreven. Je hoeft dus geen ervaren WordPress beheerder te zijn om deze plugin te gebruiken.
WordPress Database Backup
Er zijn meerdere plugins die het mogelijk maken automatisch een backup te maken. De een zet de backup in een cloud neer, de ander stuurt deze naar een email adres. Deze backup plugin is vrij simpel en daardoor juist zo doeltreffend.
Via het eerste gedeelte kan je handmatig een backup maken. Je kan, als er meer dan alleen WordPress tabellen zijn, deze ook mee nemen in de backup. Het 2e deel is voor het automatiseren van de backup. Hierbij kan je de backup enkel laten versturen naar een e-mail adres. De mogelijkheden voor de planner zijn nooit, per uur, 2x per dag, 1x per dag en wekelijks. Voor de meeste gebruikers zijn deze opties meer dan voldoende.
Het terug zetten van een backup is iets ingewikkelder en kan niet via deze plugin. Hier zal ik verder niet op in gaan. Het belangrijkste is dat je wat hebt om terug te zetten toch?
WP Security Scan
Deze tool doet een snelle scan op een aantal mogelijke risico’s. Een aantal daarvan zijn absolute must om ervoor te zorgen dat je geen dingen laat zien die mensen niet hoeven te zien. Maar de plugin kijkt bijvoorbeeld ook de rechten op de folders na. Als er fouten worden gevonden kan het even zoeken zijn wat je precies moet doen, maar als ‘waarschuwing’ is deze plugin absoluut handig.
Maak salt keys aan
Helaas heb ik voor deze beveiliging nog geen plugin gevonden. Ookal is het een aanpassing in de wp-config.php toch een echt WordPress setting. In de wp-config.php kan je 8 regels vullen met een zogenaamde salt key. Deze key maakt de hashes die WordPress uitvoert veiliger. Een hash word bijvoorbeeld gedaan om een wachtwoord onherkenbaar op te slaan.
Om te voorkomen dat dit artikel te technisch eindigt, verwijs ik iedereen die van de hoed en de rand wil weten naar de officiële pagina over dit onderwerp: http://codex.wordpress.org/Function_Reference/wp_salt
Het kan voorkomen dat de waardes zijn ingevuld maar ook dan is het veiliger om deze waardes aan te passen. Maar maak wel altijd eerst een backup van je wp-config.php voor je deze aanpast! Volg de volgende stappen om de salt keys te vervangen:
- Ga naar https://api.wordpress.org/secret-key/1.1/salt/ . Hier worden de keys random gevuld.
- Open de wp-config.php die op de server staat. Deze moet worden bewerkt.
- Zoek naar de eerste key die stap 1 weergeeft. Dat is dus “define(‘AUTH_KEY’,”
- Vervang de gevonden sleutel en doe het zelfde met alle 8 keys die stap 1 geeft.
- Sla je wp-config.php op op de server en test WordPress of alles nog werkt.
Dat waren de tips en meest handige plugins om de veiligheid van WordPress te verbeteren. Tips en ideeen zijn natuurlijk altijd welkom in de reacties. Deel je kennis en ervaringen met iedereen!
Ook interessant:
Laatste Reacties: