10 tips om je WordPress website goed te beveiligen

10 tips om je WordPress website goed te beveiligen

Eén van de zaken die je als ondernemer goed beveiligd wilt hebben is je website. Voor de meeste ondernemers is de website namelijk een belangrijke schakel binnen hun business structuur. En dat is logisch, want bijna alles komt samen op je website! Zowel bezoekers, leads als klanten. Voor de meeste ondernemers is de website een belangrijke factor voor de omzet. Dus je website wil je veilig, gezond, snel en up-to-date houden!

 

In deze blog deel ik daarom 10 tips waarmee je jouw eigen website goed kunt beveiligen. Zo zorg je ervoor dat je hackers en malware buiten de deur houdt en dat je website praktisch altijd in de lucht zal blijven!

 

#1 Beveiliging start met een sterk wachtwoord

Het beveiligen van je website start eigenlijk bij jezelf. Zorg er voor dat je sterke en goede wachtwoorden gebruikt. Dus geen abc123 en Achternaam10!. Een sterk wachtwoord bevat kleine letters, grote letters, cijfers en diverse symbolen door elkaar heen. WordPress heeft een ingebouwde wachtwoord generator in haar systeem zitten. Wees dus niet eigenwijs en gebruik deze, in plaats van het wachtwoord dat je voor al je systemen en accounts gebruikt.

 

Als je website gehackt wordt, is dit in 9 van die 10 gevallen te wijten aan het gebruik van zwakke wachtwoorden. Zwakke wachtwoorden zijn namelijk makkelijk te kraken door middel van Brute Force Attacks. Een hacker gebruikt dan software die super snel eindeloze combinaties van gebruikersnamen en wachtwoorden probeert, totdat de juiste combinatie is gevonden en de hacker kan inloggen. Met een sterk wachtwoord voorkom je dit.

 

#2 Beveiligingslek: een admin account

WordPress (het CMS systeem) kun je op diverse manieren op je website installeren. Het verschilt vaak per hosting op welke manier je dit CMS systeem kunt installeren. In sommige situaties creëert WordPress zelf een beheerdersaccount zonder tussenkomt van jou. De gebruikersnaam van dat beheerdersaccount heet dan standaard admin. Niet zo slim en veilig natuurlijk! Als je het mij vraagt is dit beveiligingslek een slechte eigenschap van WordPress die ze hoognodig moeten fixen. 

 

Kijken we even terug naar tip #1 over sterke wachtwoorden en Brute Force Attacks: een hacker hoeft er natuurlijk niet zo veel pogingen over te doen om er achter te komen dat er een gebruikersaccount op jouw website staat met de gebruikersnaam admin. Erg onveilig en onverantwoord! De hacker heeft dan al 1 streepje voor. Zorg er dus altijd voor dat de accounts op je website goede dan wel normale gebruikersnamen bevatten en niet admin heten.

 

#3 Goede hosting zorgt voor goede beveiliging

Je website draait op een hostingpakket, ofwel ergens op een server. Het wordt nu een beetje technisch, maar je website kun je ook beveiligen op serverniveau. Als je bij een goede hostingpartij zit, regelen zij dit voor je. Dat is ook de reden waarom ik altijd adviseer nooit ergens het goedkoopste hostingpakket af te nemen. En sowieso niet hosten bij de goedkoopste partij die je kunt vinden!

 

Goedkoop is duurkoop

In het geval van hosting is goedkoop altijd duurkoop. Je hosting is het digitale fundament waarop je website draait. Het succes van je website kan zelfs bepaald worden door de hostingpartij waar je zit. Ik ga al aardig wat jaren mee en kijk niet meer vreemd op als een halve website ineens in rook op is gegaan doordat deze bij een goedkope budget hoster stond die achter haar eigen schermen wat zat aan te rommelen.

 

Hoe weet je of je bij een goede hostingpartij zit?

Nu komt natuurlijk de vraag: zit ik bij een goede hostingpartij?! Omdat ik hier in het openbaar geen namen mag noemen (of eigenlijk vooral geen namen mag shamen), geef ik je de volgende richtlijnen: betaal je per jaar minder dan €50 euro voor je hosting? Dan zit je te goedkoop en kun je niet de kwaliteit verwachten die je wilt. Betaal je tussen de €50 en €100 per jaar? Dan zit je oké en mag je verwachten dat het minimale achter de schermen is geregeld. Betaal je per jaar meer dan €100 euro? Dan mag je verwachten dat alles uitstekend is geregeld, zoals het hoort.

 

Bespaar niet op je hosting!

Nog mijn laatste advies wat betreft hosting: als je ergens op wilt gaan besparen, zoek dan een kostenpost waarop je écht kunt besparen. Als je voor de hosting van je website uitwijkt naar een partij die goedkoper is dan een andere partij en dit jou op jaarbasis €25 euro bespaard, dan kun je beter niet gaan ondernemen maar gewoon in loondienst gaan werken.

 

#4 PHP versie 7.3 is veiliger!

We blijven nog eventjes bij het hosting gedeelte! Tip #4 gaat namelijk over de PHP versie van je website. Ieder hostingpakket draait op een bepaalde PHP versie. Momenteel is PHP versie 7.3 het meest gangbare. Ik adviseer je daarom te updaten naar deze PHP versie; dit kun je doen bij je hostingpartij. Informeer eventueel bij hen over het hoe of wat.

 

Waarom updaten naar PHP 7.3?

De reden dat je wilt updaten naar PHP 7.3 is het feit dat PHP 7.0, 7.1 en 7.2 steeds minder goed ondersteund worden. Ook komen er voor deze versies bijvoorbeeld geen security updates meer en zullen er steeds minder plugins op deze versies van PHP werken. Bovendien is PHP 7.3 sneller. Nog een goede reden om te updaten! Biedt je hostingpartij geen PHP 7.3 aan? Dan zou ik mezelf wederom afvragen of ik bij een hostingpartij zit die alle richtlijnen rondom het beveiligen van je website wel goed op orde heeft.

NB: Heb je je website geüpdatet naar PHP 7.3 maar doet je website het nu niet meer? Switch dan terug naar de PHP versie waar je website op stond en update eerst alle plugins en thema’s! Kijk ook of je misschien plugins actief hebt die niet compatibel zijn met PHP versie 7.3.

Momenteel bestaat er ook al PHP 7.4. Wellicht wordt dat binnenkort al de nieuwe standaard op het moment dat jij dit leest. 

#5 Een SSL-certificaat voor een beveiligde verbinding

We zijn nog niet klaar met je hosting … Waar je ook voor moet zorgen is een SSL certificaat! Deze kun je installeren en activeren bij je hostingpartij. Een SSL certificaat zorgt ervoor dat er een beveiligde verbinding ontstaat tussen de computer van de bezoeker van je website en de server waarop je website draait. Op deze beveiligde verbinding kan niet worden ingebroken door derde (kwaadwillende) partijen. Dit is bijvoorbeeld belangrijk bij webshops en contactformulieren, zodat informatie en betaalgegevens niet onderschept kunnen worden door iets of iemand.

 

Gratis Let’s Encrypt certificaat

De meeste hostingpartijen bieden een gratis Let’s Encrypt certificaat aan. Voor de meeste websites is dit ruim voldoende. Er bestaan ook betaalde SSL certificaten, waarbij vaak een andere soort validatie van toepassing is. Maar dat ligt buiten de scope van deze blog over beveiliging. Gewoon een gratis Let’s Encrypt certificaatje regelen dus!

Soms moet je na het instellen en activeren van het SSL certificaat bij je hostingpartij ook nog wat aanpassingen aan je website verrichten. Het verschilt weer per hostingpartij of dit nodig is, maar meestal is het wel nodig. Je kunt hiervoor de plugin Really Simple SSL gebruiken. Deze plugin zorgt er voor dat de laatste, technische aspecten aan je website kant ook goed komen te staan. Heel handig dus!

 

#6 Een solide back-up beleid

Het beveiligen van je website gaat niet alleen maar over sterke wachtwoorden, een goede hosting en een SSL certificaat. Beveiliging gaat ook over het hebben van back-ups of eigenlijk het uitvoeren van een goed back-up beleid. Een website blijft een technisch ding en er kan dus altijd iets fout gaan, hoe goed je je best ook doet om fouten te voorkomen.

Back-ups zijn niet alleen handig om fouten door je eigen toedoen te herstellen, maar ook in het geval er bijvoorbeeld is ingebroken in je website en je website malware bevat. Je kunt dan een back-up terugplaatsen van een moment dat er nog geen malware op je website stond.

 

Hoe kun je back-ups van je website maken?

Er zijn veel verschillende manieren om back-ups te creëren. De beste manier is om dit (ja, komt-ie weer) te regelen vanuit je hosting. Dit heeft diverse voordelen. De back-up staat dan altijd op een externe plaats en niet op jouw eigen hostingpakket. Hierdoor gaat het maken van back-ups niet ten koste van je schijfruimte. Als je een hostingpakket met 10GB schijfruimte hebt, je website 3GB is en je maakt een back-up binnen je website zelf, dan staat er ineens 6GB aan bestanden op je schijfruimte. Zo kan het natuurlijk snel gaan.

 

Back-ups automatisch laten lopen

Indien je hosting back-ups aanbiedt, kun je via jouw hosting de back-ups van je website automatisch laten aanmaken. Dit is misschien nog wel het grootste voordeel. Elke dag 1 automatische back-up die voor een bepaalde periode bewaard wordt, is erg waardevol! Zo hoef je er zelf niet aan te denken en heb je genoeg back-ups uit het verleden om uit te kiezen, mocht er ooit toch iets fout gaan.

Er zijn ook WordPress plugins die back-ups voor je kunnen maken, maar dat adviseer ik altijd als oplossing B. De plugin All-in-One WP Migration is hiervoor erg prettig en eenvoudig! Ook UpdraftPlus wordt veel gebruikt voor het maken van back-ups.

 

#7 Een beveiligde login URL: WPS Hide login

Als je er over nadenkt, is het relatief makkelijk om in te loggen op iemand zijn of haar WordPress website. Al onze websites bevatten namelijk dezelfde inlogpagina. Dit is www.jouwdomein.nl/wp-admin/ of www.jouwdomein.nl/wp-login.php. En als je de inlog URL van iemand weet, heb je al weer 1 streepje voor.

Op websites van mijn klanten installeer ik daarom altijd de plugin WPS Hide Login. Deze plugin zorgt er voor dat de standaard inlog URL’s niet meer bereikbaar zijn en vervangt deze voor een URL die jij zelf kunt aanmaken. Zo zou je bijvoorbeeld www.jouwdomein.nl/inloggen/ of www.jouwdomein.nl/inlog/ kunnen maken. Handig! 

 

#8 Limit Login Attempts Reloaded voor extra beveiliging

Nog even terugkomend op die Brute Force Attacks bij de eerste tip van dit artikel: met de plugin Limit Login Attempts Reloaded voorkom je dit ook. Dit is sowieso een handige plugin om te hebben, want hij zorgt er namelijk voor dat er een maximaal aantal inlogpogingen gedaan kunnen worden voordat het IP adres tijdelijk wordt geblokkeerd van de website.

Ook deze plugin installeer ik altijd standaard op alle WordPress websites van mijn klanten. De plugin heeft diverse instellingen: je kunt bijvoorbeeld de duur van de blokkering en het aantal blokkeringen wijzigen alvorens een IP-adres definitief geblokkeerd wordt. Ook houdt de plugin een log bij waarin de blokkeringen en hun IP-adres geregistreerd stan, zodat je altijd kunt zien wat er in het verleden is gebeurd.

De plugin is plug-and-play (en als je me kent weet je dat ik dol ben op plug-and-play).

 

#9 Updates draaien gaat hand-in-hand met beveiliging

Ik denk dat deze tip erg voor de hand ligt, maar toch moet er misschien nog een klein stukje extra bewustwording gecreëerd worden: het regelmatig updaten van je website is namelijk enorm belangrijk voor de beveiliging!

De reden dat plugins geüpdatet worden door de ontwikkelaars, is het feit dat andere systemen rondom deze plugins steeds geavanceerder worden. Het is een soort actie-reactie ketting. Als de ene plugin een update uitvoert, zal de andere plugin naar verloop van tijd wel moeten volgen. Als plugins namelijk niet goed onderhouden worden (met andere woorden: er worden geen updates voor uitgebracht) dan zal de plugin verouderen en op termijn niet meer goed werken. Praktisch betekent dit dat de plugin dan compatibiliteitsproblemen ondervindt, omdat hij bijvoorbeeld niet meer kan communiceren met andere systemen die wel up-to-date zijn.

 

Updates uitvoeren om beveiligingslekken te voorkomen

Plugins worden ook geüpdatet om beveiligingslekken te voorkomen. Hackers worden elke dag slimmer en zoeken steeds naar nieuwe manieren om ergens in te breken. Plugins die verouderde code bevatten, zijn natuurlijk een makkelijk doelwit.

Mochten er dus updates beschikbaar zijn voor jouw website; voer deze uit! Het is uiteindelijk gevaarlijker om niet te updaten dan om wel te updaten. Beter een storing door een update, dan een lek door nalatigheid. Vind je het updaten eng? Maak dan van tevoren altijd een back-up ( >>> of regel vanuit je hosting automatische back-ups! <<< ). Blijf je het allemaal gedoe vinden en is dit niet jouw ding? Neem dan een onderhoudspakket af bij jouw/een webdesigner, zodat diegene bij jou de updates uit handen kan nemen.

 

Bonus-tip!

Check voordat je plugins installeert ook altijd of de plugin recentelijk nog is geüpdatet en hoe de reviews van de plugin zijn. Plugins waar geen updates voor worden uitgegeven of plugins die slechte reviews bevatten, wil je eigenlijk niet actief hebben op je website. Je kunt dan nog zo veel updaten als je wilt, maar een kwalitatief slechte plugin kan ook een serieus beveiligingslek op je website vormen.

 

#10 Een security plugin voor extra beveiliging

Ten slotte zou je, naast alle voorgaande maatregelen, nog een security plugin kunnen installeren op je website. Zo heb je bijvoorbeeld de plugin Wordfence of de plugin iThemes Security. Let echter goed op: in de eerste instantie adviseer ik het gebruik van een security plugin niet!

Security plugins kunnen je systeem erg belasten omdat ze zwaar zijn en veel vermogen van de server van je website vragen. Bovendien bevatten security plugins veel functionaliteiten die je vaak niet eens gebruikt. De eerste 9 tips die ik je in dit artikel heb gegeven vervangen al 90% van de redenen waarom je een security plugin zou willen gebruiken. De beveiliging van je website kun je daarnaast beter regelen op serverniveau (door bij een kwalitatieve hostingpartij te hosten) dan op website niveau.

 

Toch een security plugin installeren?

Mocht je wel een security plugin installeren (omdat je het idee van extra veiligheid wellicht prettig vindt), laat je dan niet bang maken door de vele “pas op!”-meldingen die je van deze systemen krijgt. Security plugins hebben er een handje van bij de minste of geringste dingen meldingen te versturen dat er mogelijk iets aan de hand zou kunnen zijn. Oké, dit is hun taak natuurlijk. Maar ze willen ook graag dat jij de betaalde variant van hun security plugin aanschaft. En als het dan lijkt alsof de plugin niks doet en alles op je website in orde is.

 

Alle tips op een rijtje

Hieronder zet ik al mijn tips even kort op een rijtje, zodat het voor jou makkelijker wordt om jouw website goed beveiligd te houden:

  • Zorg voor sterke wachtwoorden en goede gebruikersnamen.
  • Gebruik geen plugins met slechte reviews of die nauwelijks geüpdatet worden, update plugins daarnaast regelmatig.
  • Host je website bij een kwalitatieve hosting partij en niet bij een budget partij, zorg daarnaast voor een goede PHP versie en een werkend SSL certificaat bij deze partij.
  • Maak regelmatig back-ups van je website, het liefst automatisch door je hostingpartij.
  • Vervang de standaard inlog URL voor je website en zorg voor een maximaal aantal toegestane inlogpogingen.
  • Gebruik alleen een security plugin als het echt niet anders kan; als je al mijn voorgaande tips toepast dan is een security plugin vaak overbodig.

 

Hetty van der Wal

Hetty van der Wal

Mijn naam is Hetty van der Wal en ik woon samen met mijn vriend in het mooie Groningen. Al sinds mijn 8e heb ik een fascinatie voor websites en alles wat hierbij komt kijken. Als klein meisje was ik dus een echte computeraar in plaats van een buitenspeler.

Tegenwoordig help ik ondernemers en kleine bedrijven met het opzetten, inrichten en optimaliseren van hun online thuisbasis. Want die website… Ja, dat is echt jouw eigen unieke plekje op het internet! En als professioneel webdesigner ben ik de go-to-person voor al je website gerelateerde vragen en struggles.

Ik hoop met mijn kennis en expertise onze online wereld voor jou leuker, makkelijker en toegankelijker te maken. Op die manier kun jij digitaal stralen en je focussen op wat jij het liefste doet. En zo wordt onze online wereld elke dag een stukje mooier!