Website laten maken
Overzicht
Geschreven door Finn Ruijter, 16 april 2021

Onze veiligheidsmaatregelen voor elke WordPress-website

De beveiliging van websites is al jaren een hot topic. Vandaag de dag zijn datalekken en privacyschendingen nog altijd aan de orde bij allerlei soorten bedrijven en organisaties. Het is van cruciaal belang voor jullie bedrijf, klanten en de integriteit van het merk om de website te beschermen tegen aanvallers. Wij doen veel achter de schermen op gebied van privacy en beveiliging, om jullie website zo goed mogelijk te beschermen.

Waarom wij beveiliging serieus nemen

Vrijwel iedere website verzameld gegevens en data van bezoekers. Dit is voor hackers interessant, omdat zij met deze informatie bijvoorbeeld fraude kunnen plegen of data kunnen doorverkopen. Met de verschuiving van offline naar online is het voor iedereen van belang om websites goed te beveiligen. Een DDoS-aanval kan iedereen overkomen. Een datalek kan grote, negatieve gevolgen hebben voor zowel bedrijven als gebruikers. Om die reden nemen wij de beveiliging van WordPress-websites heel serieus. Maar hoe pakken we dat aan? De juiste hosting is een goed begin.

Waarom onze hosting goed is

Professionele hosting is essentieel voor een goedwerkende website. Dit zorgt ervoor dat een website niet snel storingen ervaart en goed beveiligd is. Daarnaast is het van belang om gebruik te maken van stabiele plug-ins die altijd werken. Niet alle plugins zijn geschikt: openbaar beschikbare plugins zijn niet altijd de meest veilige modules. Wij installeren en beheren de juiste plug-ins en voeren onderhoud uit voor een stabiele WordPress-website met de beste hosting.

2manydots werkt samen met professionele WordPress-hosts. Die zijn geoptimaliseerd voor websites met veel verkeer of plotselinge bezoekerpieken. Kleine WordPress-updates voeren ze automatisch door, back-ups worden dagelijks gemaakt en DDoS-aanvallen worden in de kiem gesmoord. Alles staat in het teken van een goede performance. Koppel dat aan een grote schaalbaarheid en jullie site staat als een huis.

Wij kunnen jullie snel en effectief helpen met een WordPress website, door middel van stabiele hosting en professionele plugins, zonder gebruik van allerlei rare add-ons. Zo zijn we partner van de WordPress-host WP Engine. Zij bieden allerlei beveiligingsoplossingen voor jullie WordPress-website. We zetten de maatregelen op een rij.

Beperken van ongeautoriseerde schrijvers op de server

Wat moet je doen als een plug-in met kwetsbare code is geïnstalleerd? Zo’n plug-in probeert mogelijk bestanden naar de server te schrijven, wat interessant kan zijn voor aanvallers. Indien er misbruik wordt gemaakt van een plug-in, kan dit in een vicieuze cirkel doorgaan totdat een site volledig onbruikbaar is. WP Engine beperkt de schrijfmogelijkheden naar de server. Dat betekent dat alleen geautoriseerde gebruikers bestanden naar de server kunnen schrijven, waardoor de omvang van de schade wordt beperkt.

Veelvoorkomende beveiligingsproblemen

Sommige gebruikers weten misschien dat het XMLRPC.php-bestand op uw WordPress-site bestaat om externe apps te helpen WordPress-berichten te plaatsen. Helaas zijn sommige aanvallers op de hoogte van dit bestand en proberen ze het te misbruiken door valse POST-verzoeken aan deze service te doen. Dat betekent dat aanvallers kunnen proberen jullie website te hacken met dit bestand. Gelukkig blokkeert WP Engine dit soort aanvallen. WP Engine detecteert automatisch kwaadaardige verzoeken die misbruik proberen te maken van XMLRPC.php-bestanden.

Database insluiting

De beste werkwijze bij het ontwikkelen van een WordPress-website is om alle afzonderlijke gebruikers van de WordPress-sites te beheren. Dit is een ‘insluitingsstrategie’ die stelt dat als een database gecompromitteerd raakt, de anderen geen risico lopen. Maar het beheren van veel gebruikersnamen, wachtwoorden en sleutels kan verwarrend en frustrerend zijn. WP Engine onderhoudt afzonderlijke databases en gebruikers voor alle sites. We onderhouden alle beveiligingsaspecten van gebruikers en wachtwoorden om het jullie gemakkelijk te maken. Een WP Engine-site wordt automatisch verbonden met de juiste database, net als een WP Engine-gebruikersportal.

Ongeautoriseerde configuratiewijzigingen

Enkele van de belangrijkste instellingen op de website worden beheerd door een beperkt aantal configuratiebestanden. Die bestanden mogen nooit toegankelijk of erger nog, bewerkbaar zijn voor de buitenwereld. Wie toegang krijgt tot deze gevoelige bestanden, moet een weloverwogen keuze zijn. WP Engine beschermt de configuratiebestanden en uploads op de website. Er wordt automatisch beveiliging op serverniveau geplaatst.

Zwakke wachtwoorden tegengaan

Sitebeheerders dragen de verantwoordelijkheid om ervoor te zorgen dat alle gebruikers op hun sites veilige wachtwoorden gebruiken. Ervoor zorgen dat gebruikers veilige en unieke gebruikersnamen en wachtwoorden kiezen, kan een hele klus op zich zijn. We maken het gemakkelijk. WP Engine vereist dat alle beheerders, auteurs en editors sterke wachtwoorden gebruiken.

Versleuteling van gebruikersgegevens

Om privacyredenen moeten gebruikersgegevens versleuteld worden. Dit gaat om alle gegevens die gebruikers invoeren of achterlaten wanneer zij op jullie website zijn geweest. Denk bijvoorbeeld aan het invullen van een formulier, het aanmaken van een profiel, het plaatsen van reacties of het invullen van persoonlijke gegevens bij het afrekenen: je bent verantwoordelijk voor het veiligstellen van deze gegevens. WP Engine verzorgt SSL-certificaten die een versleutelingslaag bieden en voor beveiliging zorgt. Gebruikersgegevens die op jullie website worden ingevoerd, zijn daardoor niet kwetsbaar.

Versleuteling van bestanden

Bij het verplaatseen of versturen van bestanden komen beveiligingsrisico’s kijken. Als die bestanden niet gecodeerd zijn, kan iedereen die op het netwerk toegang heeft tot de bestanden van die privésite meekijken. Wij zorgen voor beveiliging van bestanden. WP Engine dwingt veilige bestandsoverdrachten af. We gebruiken Secure File Transfer Protocol (SFTP) voor alle lokale verbindingen met jullie websites. Dat betekent dat gegevens zowel bij het uploaden als downloaden van inhoud van en naar de website worden gecodeerd.

Ongeldige login pogingen

Wanneer een aanvaller een website met brute kracht probeert te forceren, betekent dit dat hij herhaaldelijk gebruikersnaam en wachtwoordcombinaties probeert, totdat hij er een vindt die werkt. Je denkt misschien dat het eeuwen zou duren voordat deze methode werkt, maar niets is minder waar. Een bot die brute force-methoden gebruikt, kan binnen enkele seconden duizenden combinaties proberen. WP Engine blokkeert daarom brute force-inlogpogingen. Het systeem identificeert wanneer een inlogpoging niet afkomstig is van een echte gebruiker en geeft een leeg antwoord terug.

Tegengaan van spambots

Bots kunnen lastig zijn om op te sporen. Het zijn geautomatiseerde apparaten die zijn geprogrammeerd om sites te raken voor een aantal doeleinden. Ze kunnen voor jullie onzichtbaar zijn omdat deze apparaten geen JavaScript laden, inclusief Google Analytics-scripts. Sommige bots zijn specifiek gericht op spamsites met extra verkeer. WP Engine blokkeert bots die zich misdragen. Slecht gedrag wordt geïdentificeerd en geblokkeerd, zodat jij dat niet hoeft te doen.

Veilige back-ups

Wat als jullie site een kwetsbaarheid in de code bevat en deze gehackt, beschadigd of erger is? In het geval van een datalek, is het goed om te weten wat de mogelijkheden zijn. Maak je niet regelmatig back-ups van de website, dan is het probleem vaak groter. WP Engine maakt nachtelijke back-ups van de website. Een gehackte website kun je vervolgens geheel of gedeeltelijk herstellen met een enkele klik in het gebruikersportal. Dit is niet alleen handig in het geval van beveiligingsproblemen, maar ook bij een ander soort fout. In alle gevallen kun je een website snel en gemakkelijk herstellen naar een back-up.