Stappenplan om je WordPress website veilig te maken (beginner)

Waarom zou iemand kwaad willen met jouw website, kun je je afvragen. Onafhankelijk of je website groot of klein is, Nederlands of Engels is, zijn er verschillende redenen voor hackers om jouw website toegang te verkrijgen. De voornaamste redenen zijn:

  1. SEO
    Door links van jouw website te verwijzen naar de websites van kwaadwillenden (genereren van backlinks), krijgen deze websites een betere ranking in de zoekmachines.
  2. SPAM
    Jouw website heeft een goede IP reputatie, aangezien deze geen spam emails verstuurd. Hackers maken hier graag misbruik van, door spam email te versturen vanuit jouw account.
  3. Malware
    Hackers plaatsen hun kwaadaardige software graag op jouw website, zodat het voor externe partijen heel lastig wordt om te herleiden waar het vandaan komt.
  4. Diefstal
    Gemiddeld genomen bevatten websites veel waardevolle gegevens, waaronder persoonsgegevens, email adressen, bank informatie en soms ook creditcard informatie. Niet enkel jouw gegevens, maar ook vooral van jouw klanten.
  5. Aanvallen van andere websites
    Dit is een steeds meer populaire reden om toegang tot websites te verkrijgen.

Bij Hoasted hechten we extreem veel waarde aan veilige websites. Niet enkel voor het beschermen van jouw (klant)gegevens, maar ook voor de performance. Hoe veiliger jouw website, hoe minder nep-verkeer, en hoe sneller jouw website weer is. Daarom doen wij verschillende zaken op het gebied van beveiliging al voor jou:

  • Wij maken meerdaagse, volledig backups van AL jouw bestanden, email-accounts en databases.
  • Wij scannen scannen al jouw bestanden op malware, en laten het weten indien we iets vinden dat er verdacht uit ziet.
  • Wij scannen iedere nacht jouw bestanden op virussen met Virustotal.com
  • Wij repareren de meest belangrijke kwetsbaarheden in je WordPress website al automatisch voor jou
  • Afweren van brute force / DDoS aanvallen
  • Beveiligen van servers, accounts bestanden en email
  • Updaten, patchen en onderhouden van serversoftware en hardware

Checklist WordPress beveiliging

Wij zorgen dat de beveiliging van jouw hosting account op en top geregeld is, en de hoogste performance gegarandeerd is. Naast de beveiliging op serverniveau, zijn er verschillende zaken die jij ook nog kunt doen om de veiligheid van jouw website of applicatie te verbeteren:

Inloggen op je website en wachtwoorden:

  1. Maak gebruik van sFTP of SSH in plaats van het onveilige FTP
  2. Verander de standaard ‘admin’ gebruikersnaam
  3. Maak gebruik van sterke wachtwoorden. Gebruik geen woordenboek woorden. Zorg ervoor dat je wel hoofdletters, kleine letters, cijfers en speciale tekens gebruikt, en maak je wachtwoord minimaal 8 karakters lang. Ga eerder voor lengte dan complexiteit.
  4. Gebruik niet voor meerdere websites hetzelfde wachtwoord
  5. Pas wachtwoorden op regelmatige basis aan

Plugins:

  1. installeer de Sucuri Security plugin en loop alle ‘hardening’ stappen door (link)
  2. Update je thema’s, WP core en plugins op regelmatige basis
  3. Verwijder ongebruikte plugins op regelmatige basis
  4. Denk twee keer na over het gebruik van vele plugins

Aanpassingen in settings en basis:

  1. Maak gebruik van een https verbinding (SSL certificaat)
  2. Verwijder de readme.html file in de WordPress directory
  3. Aanpassen security keys in wp-config (link)
  4. Uitzetten REST API indien je deze niet gebruikt (link).
  5. Aanpassen standaard database prefix
  6. Pas je folder permissies aanpassen naar 755 (folders) en 644 (bestanden).

    CLI command voor mappen:

    find . -type d -execchmod755 {} \;
    	

    CLI command voor bestanden:

    find . -type f -exec chmod 644 {} \;
    	
  7. Deactiveren van directory browsing. Dit is belangrijk om te voorkomen dat onbevoegden je mappen langslopen om te zoeken naar gevoelige informatie, bijvoorbeeld in de wp-content/uploads map. Voeg onderstaande toe aan je .htaccess file:

    Options -Indexes
    	
  8. Schakel de file editor uit via wp-config.php:

    ## Disable Editing in Dashboard
    define('DISALLOW_FILE_EDIT', true);
    	
  9. Verwijder de WordPress versie (tutorial)
  10. Verwijder ‘Powered by WordPress’ text in de footer

Veiligheid advanced

Indien je nog meer veiligheidsmaatregelen wilt nemen, kun je ook nog gebruik maken van onderstaande:

  1. Schakel PHP execution rechten uit voor de mappen waar het niet nodig is (bijvoorbeeld de /wp-content/uploads/ map):
  2. Uitschakelen van XML-RPC

    # Block WordPress xmlrpc.php requests
    	<Files xmlrpc.php>
    	 order deny,allow 
    	 deny from all 
    	 allow from 123.123.123.123 
    	 </Files>
    	
  3. Lijst van gebruikers verbergen uit de WordPress installatie. Voeg onderstaande toe aan je .htaccess bestand in de WordPress hoofdmap.

    # Stop wordpress username enumeration vulnerability
    	 RewriteCond%{REQUEST_URI} ^/$ 
    	 RewriteCond%{QUERY_STRING} ^/?author=([0-9]*) 
    	 RewriteRule ^(.*)$ http://jouwsite.com/? [L,R=301]
    	
  4. Inactieve gebruikers automatisch uitloggen (link)
  5. Extra veiligheidsvragen bij inloggen (link)
  6. Login lockdown (link)

Malware scanners

Indien je zelf ook graag nog een regelmatige security check en malware scan wilt laten uitvoeren, dan raden we een van onderstaande tools aan.

Website reputatie scanners

Monitor de reputatie en status van je website met onderstaande tools:

Overzicht van kwetsbaarheden

Op de hoogte blijven van veiligheidslekken en kwetsbaarheden:

Met deze plugin kun je direct een koppeling leggen met je eigen WordPress website, waarin gecontroleerd wordt welke plugins een kwetsbaarheid bevatten. Je kunt tevens een dagelijkse of wekelijkse scan instellen met email alerts.

Nog steeds hulp nodig? Contact ons Contact ons