Website laten maken
Overzicht
Geschreven door Finn Ruijter, 26 maart 2024

WordPress beveiligen: 12 tips om hackers tegen te houden

Meer dan 40% van alle websites op het internet draaien op WordPress. Om die reden is het dus een populair doelwit voor hackers. Voor sommige bedrijven leeft er niet veel klantendata in de WordPress website. Voor e-commerce- en recruitmentwebsites is dat wel anders.

Hoe maak je WordPress veilig? Dat houdt wel wat meer in dan alleen het gebruik van een complex wachtwoord of het updaten van een verouderde versie. We vertellen je meer over de verschillende aanvallen die het meest voorkomen en hoe je je er makkelijk tegen kan beschermen.

Goede WordPress beveiliging is belangrijk

Een sterke beveiliging is belangrijk om je website en de data van je klanten te beschermen tegen ongeautoriseerde toegang en datalekken. Het laatste wat je wilt, is dat je klantendata op straat ligt. Het toepassen van een goede beveiliging op je WordPress website bespaart jullie als bedrijf veel gedoe.

Als een WordPress-bureau werken wij dagelijks aan 250+ websites van onze klanten. Bij het overnemen van websites komen we vaak dingen tegen die een risico vormen. We zien helaas vaak dat de WordPress beveiliging niet altijd op orde is. Maar, de meeste hacks kunnen goed worden voorkomen!

Hoe kan mijn WordPress-website gehackt worden?

Hackers gebruiken verschillende manieren zoals brute force aanvallen, SQL-injecties en cross-site scripting om zwakke plekken in je website te exploiteren. Deze fouten kunnen ontstaan doordat je website vanaf het begin niet goed is gebouwd, plug-ins en thema’s die niet goed worden bijgewerkt of een slechte hosting. Door te begrijpen hoe deze aanvallen in de basis werken, kun je je beter beschermen. Het beveiligen van je WordPress is bij website eigenaren vaak een ondergeschoven kindje.

Maar hoe beveilig ik mijn WordPress website dan? Nou, zo:

1. Kies een goede hostingpartij

Onveilige hosting kan, zonder dat je het doorhebt, al veel problemen opleveren. Het is belangrijk dat goede hosting jouw website beschermt. Sommige hostingpartijen hebben websites op dezelfde server niet goed van elkaar gescheiden. Als één website gehackt wordt, kunnen alle andere ook in gevaar komen.

Neem als voorbeeld een WordPress hostingpartij zoals Kinsta. De infrastructuur van hen maakt gebruik van alle WordPress standaarden. Alle websites hebben een eigen afgesloten container. Hierdoor is je data privé en niet gedeeld met andere websites.

Een andere optie is om een echt WordPress bureau te kiezen dat de hosting voor jou configureert, beveiligt en beheert. Vraag hier dus ook naar bij het kiezen van jouw nieuwe partij. Wij hebben een checklist gemaakt hoe je een partij kan kiezen die het beste bij jou past.

Kinsta hosting infrastructuur - wordpress website goede beveiliging

2. Sterke wachtwoorden, losse accounts en tweefactorauthenticatie

Dit is een van de meest gemaakte fouten in het beveiligen van je WordPress website. Tevens ook van andere soorten software. Let op een aantal punten als je een administrator account aanmaakt:

  • Maak voor alle gebruikers losse accounts aan.

  • Zorg voor unieke gebruikersnamen (geen ‘admin’, ‘administrator’ of ‘wordpress’).

  • Gebruik een sterke wachtwoorden. Om ze niet te vergeten, kun je ze opslaan in een wachtwoordkluis zoals 1Password.

  • Geef geen onnodige rechten aan gebruikers. Plaatst iemand alleen pagina’s en blogs, overweeg dan een lagere rol te geven.

Daarnaast is er nog een goede extra beveiliging die toegevoegd kan worden. Je kent het wel: 2FA oftewel tweefactorauthenticatie. Naast je wachtwoord, vraagt het systeem om een tweede code of bewijs dat alleen jij hebt. Dit kan een code zijn die naar je telefoon (Google Authenticator) wordt gestuurd of een code gegenereerd door een app. Het zorgt ervoor dat zelfs als iemand je wachtwoord heeft, ze nog steeds niet zomaar in je account kunnen komen. Zo maak je het hackers moeilijker.

Er zijn best wat gratis plug-ins beschikbaar die dit voor je op kunnen lossen. Wordfence Security heeft een uitgebreidere gratis plugin beschikbaar die je hierbij helpt. Google Authenticator kan hiermee verbonden worden.

Wordfence security 2fa gebruiken om voor wordpress beveiligen

3. Gebruik altijd de nieuwste versie van het CMS, plug ins en thema’s

WordPress beveiligen hoeft niet altijd moeilijk te zijn. Je kunt jouw CMS automatisch of handmatig updaten. Beide opties zijn binnen WordPress beschikbaar. Het gebruiken van de nieuwste versie van WordPress, inclusief de laatste updates voor plugins en thema’s, is enorm belangrijk. Het maakt je website veiliger, maar ook nog eens sneller. WordPress wordt vaak bijgewerkt om nieuwe functies toe te voegen, problemen op te lossen en de veiligheid te verbeteren. Als je website up-to-date is, werkt alles beter en heb je toegang tot de nieuwste mogelijkheden.

Oude versies kunnen zwakke plekken hebben waar hackers gebruik van kunnen maken. Als er een lek is worden deze openbaar gemaakt zodat iedereen hiervan op de hoogte is. Op de website WPScan zie je een overzicht van alle bekende kwetsbaarheden in plugins en thema’s. Zij hebben meer dan 49.000 kwetsbaarheden online staan. Deze bron van informatie maakt het echter voor hackers ook makkelijk om zwakheden te vinden. Door alles bij te werken, maak je het voor hen moeilijker om binnen te komen. Zo blijft jouw website veilig, snel en up-to-date met de laatste internetontwikkelingen.

Wpscan helpt een wordpress site bij het vinden van zwakheden

4. Maak back-ups van je website

Back-ups zijn simpelweg een kopie van alles rondom je website. Op dit moment doet WordPress het niet zelf. Als er iets misgaat, bijvoorbeeld als je website gehackt wordt of als je per ongeluk iets belangrijks verwijdert, dan kun je met die kopie je website meteen weer herstellen. Zo raak je niets kwijt.

Het klinkt misschien ingewikkeld, maar bij veel hostingpartijen zit dit er standaard ingebakken. Het is slim om regelmatig, bijvoorbeeld elke week of elke maand, nieuwe back-ups te maken. Wij doen dit dagelijks, maar voor sommige klanten is dit zelfs ieder uur. Voornamelijk bij e-commerce en community websites is dit erg handig om achter de hand te hebben. Dan weet je zeker dat je altijd een recente kopie hebt, voor als er iets gebeurt. Zo blijft je website altijd beschermd en kun je zonder problemen updates door blijven voeren!

Een goede WordPress plug in om in je website te installeren is UpdraftPlus. Deze plug in doet dit in WordPress zelf en kan je back up naar verschillende locaties uploaden. Er verschijnen regelmatig updates voor deze plug in waardoor er meerdere functies worden toegevoegd. Wij gebruiken deze ook om een back up naar Google Cloud te uploaden.

Updraftplus maakt een back up

5. Noem de login pagina niet “wp-admin”

Bijna alle WordPress websites hebben ‘wp-admin’ als inlogpagina om in het CMS te komen. Dat is niet erg, mits de juiste beveiliging is toegepast. Als je hier geen extra maatregelen voor hebt genomen, is het beter om de URL te wijzigen. Met een WordPress plug-in zoals Wordfence Security zou je dit snel kunnen ondervangen.

Als je de naam van de inlogpagina verandert, wordt het moeilijker voor hackers om jouw website te vinden en aan te vallen. Het is net alsof je je huis een geheime ingang geeft die alleen jij kent. Door een unieke naam te kiezen voor je inlogpagina, zorg je voor extra bescherming.

Wordpress site admin beveiliging

6. Limiteer het aantal login pogingen

Bij een brute force-aanval proberen hackers met veelvuldige wachtwoordpogingen toegang te krijgen tot websites, waaronder WordPress-sites. Bij zo’n aanval probeert iemand heel veel verschillende wachtwoorden uit om te raden wat jouw wachtwoord is. Dit doen ze automatisch met programma’s die heel snel achterelkaar veel mogelijke wachtwoorden invoeren.

Het beperken van het aantal keer dat iemand kan proberen in te loggen op je WordPress-website voorkomt dit. Het betekent dat je instelt hoe vaak iemand mag proberen in te loggen. Als iemand te vaak het verkeerde wachtwoord probeert, kan hij tijdelijk niet meer proberen in te loggen.

Je kunt deze beperking instellen met behulp van plugins. Er zijn verschillende plugins beschikbaar die dit voor jou kunnen doen. Ze zijn vaak makkelijk in te stellen. Als je klant bent bij 2manydots zit dit standaard in je WordPress omgeving.

7. Gebruik extra beveiliging zoals Cloudflare

Het gebruiken van extra beveiliging voor je website zoals Cloudflare of Fastly is goed te doen. Cloudflare is een dienst die helpt je website sneller te maken en te beschermen tegen aanvallen van buitenaf, zoals hackers. Het zet een soort extra laag tussen de bezoeker en jullie webserver. Dit zorgt ervoor dat het IP-adres van je server wordt afgeschermd. Als iemand jouw website wil bezoeken gaat dat eerst via Cloudflare. Zij kijken dan of het veilig is. Als het een goede bezoeker is, zoals een potentiële klant, dan kan die snel jouw website op. Maar als het iemand is die jouw website kwaad wil doen, houdt Cloudflare dit tegen. Daarnaast leveren zij ook stukjes code vanaf hun eigen server aan om de website sneller te maken. Bij alle websites van 2manydots is dit automatisch geactiveerd en wordt het IP-adres afgeschermd.

In het gratis pakket beschermen ze je onder andere tegen DDoS-aanvallen. Dit zijn aanvallen waarbij een website wordt overspoeld met heel veel verkeer tegelijk, waardoor de website heel traag wordt of zelfs helemaal niet meer werkt. Cloudflare kan dit soort aanvallen herkennen en stoppen voordat ze jouw website bereiken. Ze hebben zelf een WordPress plugin om de beveiliging te verbeteren.

Naast bescherming tegen DDoS-aanvallen, helpt Cloudflare ook om je website sneller te maken. Ze hebben overal ter wereld computers staan die een kopie van jouw website kunnen bewaren. Als iemand jouw website wil bezoeken, krijgen ze de pagina te zien van de dichtstbijzijnde computer. Dit betekent dat jouw website sneller laadt voor bezoekers, waar ze ook zijn.

Cloudflare ddos protection osi layers outline. Wordpress beveiligen: 12 tips om hackers tegen te houden

8. Zorg voor een SSL certificaat

Onderdeel van een goede beveiliging in je WordPress website is natuurlijk een SSL-certificaat. Tegenwoordig is de kans klein dat je dit niet al hebt, aangezien alle moderne browsers dit forceren. Dit zorgt ervoor dat de gegevens veilig zijn tussen het de bezoeker en jouw webserver. Het is als een slot op je website dat helpt om informatie veilig en versleuteld te versturen. Veel hostingproviders geven je gratis een SSL-certificaat, echter kun je ook een uitgebreide kopen. Dit is echter niet vereist.

Om je website veilig te maken, moet je eerst het SSL-certificaat activeren bij je hostingbedrijf. Daarna stel je je WordPress-site in om altijd ‘https’ te gebruiken. Dit betekent dat je in de instellingen van je website de link verandert naar een veilige link. Soms moet je ook zorgen dat alle bezoekers automatisch naar de veilige versie van je site gaan, echter doet jouw hosting dit vaak zelf.

Is dit nog niet gedaan? Dan kun je dit in je WordPress site doen met de ‘Really Simple SSL‘ plugin. Installeren, activeren en klaar!

Wordpress site plugin om https te activeren

9. Security plugins

Om je WordPress site nog veiliger te maken, kun je ook beveiligingsplugins gebruiken. Deze plugins helpen je om je website te beschermen tegen kwaadwillende en andere online gevaren. Ze kijken of er zwakke plekken zijn op je site en fixen die, zoals het afschermen van je ‘wp admin’ omgeving. Ook kunnen ze je waarschuwen als er iets niet klopt, zodat je snel kunt handelen om problemen te voorkomen.

Er zijn veel verschillende beveiligingsplugins, en sommige zijn gratis. Een bekende plugin is Wordfence Security. Deze plugin controleert je website op virussen en blokkeert aanvallen van buitenaf. Het is slim om een beetje onderzoek te doen en een plugin te kiezen die past bij wat je nodig hebt. Dit ligt natuurlijk ook sterk aan je budget. Als je een groter budget hebt kunnen zij zelfs garant staan voor de veiligheid van je website of helpen als het is gehackt.

Wordfence security

10. WordPress versienummer verbergen

Jouw WordPress site heeft een bepaald versienummer. Hieruit kan je halen of je website, plugins en thema’s lang niet meer zijn bijgewerkt. Hackers gebruiken deze informatie om zwakke plekken in bepaalde versies van WordPress te vinden en gericht aan te vallen. Door het versienummer niet zichtbaar te maken, maak je het hen moeilijker om je website als doelwit te kiezen.

Je kunt het WordPress versienummer op verschillende manieren verbergen. Een eenvoudige manier is door een klein stukje code toe te voegen aan het bestand functions.php van je thema. Let wel op: mocht je je thema bijwerken dan wordt dit overschreven. Dit zorgt ervoor dat het versienummer niet meer zichtbaar is in de broncode van je pagina’s. Op de website van WPBeginner vind je meer informatie en uitgebreide informatie. Het kan eventueel ook in een WordPress plugin zoals Wordfence Security.

11. Schakel de openbare API van WordPress uit

Het uitschakelen van de openbare API van WordPress, bekend als de REST API, kan een goede extra manier zijn. De REST API maakt het mogelijk voor externe diensten om met je WordPress site te praten, wat heel handig kan zijn, maar het kan ook een potentieel risico vormen als het niet goed beveiligd wordt.

Als je de REST API niet gebruikt of als je de toegang tot bepaalde delen ervan wilt beperken, kun je dit doen door enkele wijzigingen aan te brengen in het htaccess-bestand van je website of door specifieke plugins te gebruiken die deze functionaliteit bieden. Bijvoorbeeld, je kunt regels toevoegen aan je htaccess-bestand om de toegang tot de REST API te beperken tot alleen ingelogde gebruikers, of je kunt zelfs alle externe toegang blokkeren.

Let wel goed op wat je doet. Sommige plug-ins zijn afhankelijk van de REST API. Schakel je deze uit? Dan kan ik dit proberen veroorzaken. Test dit dus altijd eerst goed op een staging omgeving, of laat een specialist hiernaar kijken.

12. Oude PHP versies

PHP is een programmeertaal die gebruikt wordt om websites te bouwen en te laten werken. WordPress, het systeem waarmee je je website maakt, is helemaal geschreven in PHP. Dat betekent dat elke keer als iemand je website bezoekt, de server PHP gebruikt om de pagina’s op te bouwen en te laten zien. Zie het als de motor achter je website. Daarom is PHP zo belangrijk voor WordPress: zonder PHP werkt je site niet. Gebruikmaken van oude PHP-versies is riskant voor je WordPress site omdat je belangrijke updates mist, waardoor je site kwetsbaar wordt voor aanvallen. Bovendien kunnen oude versies je site trager maken, wat niet prettig is voor je bezoekers.

Natuurlijk is simpele manier om om meteen de PHP-versie te updaten naar de nieuwste versie. Meestal kan dit in het portaal bij je hostingprovider. Het is heel belangrijk dat je eerst controleert of je thema’s en plugins compatibel zijn met de nieuwe PHP-versie om problemen te voorkomen. Doe dit op een staging. Je bent niet de eerste de fout maakt om dit meteen te doen. Een kleine fout kan de hele website offline halen.

Benieuwd of jouw site goed beveiligd is? Laat ons een Pentest uitvoeren!

WordPress beveiligen bevat nog veel meer…

Dit zijn slechts 12 van de vele tips om je site te beveiligen, maar het implementeren van deze stappen gaat al een wereld van verschil maken. Misschien kunnen bovenstaande stappen overweldigend lijken, maar als WordPress-only bureau staan we klaar als je vragen hebt. Ook als je wil dat we meekijken hoe veilig je site is.

Iedere week houden we iedereen op de hoogte met de laatste ontwikkelingen in online marketing. Beveiliging speelt hierin ook een grote rol. Meld je aan voor 2md Pulse. Van marketingprofessionals, andere bureaus, partners en soms wat input van onszelf. Iedere woensdag in je mailbox!