Je hebt ontzettend hard aan jouw website gewerkt; WordPress geïnstalleerd, een gaaf thema gekozen, de nodige plug-ins toegevoegd en de site gevuld met content. Hoe zonde is het dan om het risico om gehackt te worden onnodig groter te houden dan nodig.
De beveiliging van een website is wat men vaak uitstelt omdat het geen direct resultaat oplevert. Het is aan de buitenkant niet altijd zichtbaar en zolang er niks gebeurd, ook niet nodig. Tenminste, dat denken de meeste. Totdat de website een keer gehackt wordt.
Oops… En nu? Dat willen we voorkomen.
Eerder dit jaar geschreven we over de eerste stappen naar een veilige WordPress website. Deze blog is aan aanvulling op de 5 stappen die in de andere blog beschreven zijn. Na het implementeren van alle stappen is jouw WordPress website zowel van voor als achter dichtgetimmerd. Voel je niet verplicht om alle manieren door te voeren. Maar onthoudt wel; hoe meer stappen je neemt om jouw website te beveiligen, hoe kleiner de kans dat jouw website in de verkeerde handen terechtkomt.
10 manieren op jouw WordPress website effectief te beveiligen
We zouden liegen als we zouden zeggen dat er een magische knop is die je kunt indrukken om jouw website tegen alle bedreigingen te beschermen. Zelfs na het implementeren van alle onderstaande tips, inclusief die uit de andere blog, bestaat er nog steeds een kans dat jouw site gevaar loopt.
Hackers zijn goed in wat ze doen. Net als wij. Je moet ze gewoon verslaan in hun spel. Daarvoor moet je niet alleen een plan A hebben, maar ook plan B.
Onderneem actie voordat het te laat is. Maak niet de fout om pas aan de beveiliging van jouw WordPress website te denken als het te laat is.
1. Kies een kwalitatieve hostingpartij
Waarom is het kiezen van een kwalitatieve hostingpartij belangrijk? Laten we het in perspectief brengen. Je kunt jouw hostingpartij zien als de straat van jouw website op het internet – het is de plaats waar jouw website woont. En het gebouw waar jouw website woont is het hostingpakket dat je kiest; hoe groter en mooier het gebouw, hoe groter het hostingpakket.
Als je zelf een huis gaat kopen of huren wil je ook dat de fundering goed is, het huis goed geïsoleerd is en een prettige omgeving is om te wonen. Hetzelfde geldt voor jouw website. De hostingpartij die je kiest moet de meest betrouwbare en efficiënte omgeving bieden die je kunt wensen.
De hostingpartij is namelijk van grote invloed op hoe goed jouw website presteert, hoe betrouwbaar deze is, hoe groot deze kan groeien en hoe goed deze scoort in de zoekmachines. Ook biedt een goede host handige features, uitstekende support en service die is afgestemd op het door jou gekozen platform.
Bij Savvii ben je aan het goede adres voor WordPress. Onze in-house experts weten alle ins- en outs van WordPress en ons platform is speciaal geoptimaliseerd om de beste performance te realiseren.
Maar naast goede service, ondersteuning, features, snelheid en een hoop andere extra’s, kon je waarschijnlijk al raden dat een hostingpartij ook aanzienlijke impact heeft op de beveiliging van jouw website. Een goede host biedt:
- Service, software en tools voortdurend updaten om te reageren op de nieuwste bedreigingen en mogelijke beveiligingsinbreuken te elimineren.
- Vaak verschillende gerichte beveiligingsfeatures, zoals SSL/TLS-certificaten en DDoS-bescherming. En een Web Application Firewall (WAF), die je helpt bij het bewaken en blokkeren van ernstige bedreigingen voor jouw site.
- Dagelijkse back-ups van jouw site, dus als je gehackt bent, kun je gemakkelijk terugkeren naar een stabiele, vorige versie.
- Betrouwbare, 24/7 (emergency) support, zodat er altijd iemand is die je kan helpen als je een beveiligingsprobleem tegenkomt.
Dit zijn een aantal punten om rekening mee te houden bij het kiezen van een hostingpartij. Het is zeker te adviseren om te kiezen voor een partij die alle functies biedt die je nodig hebt, plus een reputatie heeft dat ze waarmaken wat ze beloven.
Savvii is high-end managed hostingpartij die snelle, betrouwbare en bovenal veilige hosting levert. We specialiseren ons in de drie flavours WordPress, Magento en Shopware. Ingericht om de beste prestaties uit jouw applicatie te halen. Voor WordPress ben je bij ons aan het goede adres, maar ook voor Magento en Shopware.
Kies je voor Savvii? Dan profiteer je van een gratis SSL/TLS-certificaat, een speciaal voor WordPress geconfigureerde omgeving jouw WordPress website supersnel en veilig maakt. Je profiteert van back-ups, 24/7 emergency support van WordPress-experts en vele andere extra’s die jouw website sneller, stabieler en veiliger maken – zonder extra kosten. Bij Savvii kun je erop vertrouwen dat jouw WordPress website in goede handen is.
2. Schakel jouw site over naar HTTPS
HTTPS staat voor HyperText Transfer Protocol Secure – een veiligere versie van HTTP. Zonder al te technisch te worden beveiligd HTTPS de gegevens die worden overgedragen tussen browser en website. Wanneer een bezoeker jouw website bezoekt, wordt alle inhoud van de website via dit protocol naar de locatie van de bezoeker verzonden. Beschikt een website niet over SSL, dan krijg je de welbekende ‘Je verbinding met deze site is niet veilig’ melding. Uit eigen ervaring weet je vast dat je dan niet doorklikt naar de desbetreffende website. Ook jouw bezoekers zullen afhaken. Dat willen we voorkomen.
In het verleden werd HTTPS voornamelijk ingezet voor sites die privacygevoelige klantinformatie verwerken, zoals betaalgegevens. Het wordt sinds een aantal jaar steeds gebruikelijker voor alle sites, en wordt in veel gevallen zelfs gratis aangeboden. Een gratis HTTPS verbinding gaat vaak onder de naam Let’s Encrypt of AutoSSL.
Om jouw site van HTTP naar HTTPS te schakelen, heb je een SSL/TLS-certificaat nodig. Dit geeft aan browsers door dat jouw website legitiem is en de gegevens correct versleuteld zijn.
Bij Savvii installeren we standaard Let’s Encrypt op iedere website die we hosten. Elke site heeft daarmee een beveiligde verbinding. Let’s Encrypt is vanuit de basis een prima SSL/TLS-certificaat. Echter, wanneer je jouw website serieus neemt adviseren we een betaald certificaat.
Nu hoor ik je denken; waarom zou ik betalen voor een SSL/TLS-certificaat als ik een gratis certificaat krijg. Zoals hierboven beschreven is een gratis certificaat eenvoudig te verkrijgen zonder tegenprestatie, maar kent de nodige beperkingen. Een betaald SSL/TLS-certificaat kan een website op een hoger niveau beschermen en beveiligen.
Lees alles over de voor- en nadelen in ons blog “Wat is een SSL-certificaat en welke bast het best bij jouw website“.
3. Kies voor sterke wachtwoorden
Dit is een “no s***, Sherlock”-suggestie, maar vergis je niet hoe vaak men voor een simpel wachtwoord kiest. Er bestaat niet voor niets een dag die is vernoemd naar het controleren en veranderen van wachtwoorden: ‘Nationale Check Je Wachtwoord Dag’. Deze dag is in het leven geroepen om men ervan bewust te maken van hoe belangrijk een sterk wachtwoord is. Kies jouw wachtwoord daarom zorgvuldig en sla deze goed op.
Tegenwoordig worden sterke wachtwoorden aanbevolen waardoor men minder snel voor een makkelijk te kraken wachtwoord kiest. Echter, wanneer je niet over een kluis geschikt waarin je wachtwoorden kunt slaan, kiest men toch weer snel voor het oude vertrouwde; want dat sterke wachtwoord kan ik toch niet onthouden.
Kies daarom voor tools als LastPass of 1Password om jouw wachtwoorden op een veilige, centrale plek op te slaan. Zo weet je zeker dat jouw wachtwoorden veilig zijn en je deze te allen tijde kunt raadplegen.
4. Maak gebruik van een Web Application Firewall (WAF)
Als je zelf een computer bezit ben je vast bekend met het concept van een firewall – een programma dat helpt bij het blokkeren van allerlei soorten aanvallen. Een Web Application Firewall (WAF) is eigenlijk een getunede firewall; deze firewall is speciaal ontworpen voor websites en servers. Het kan websites, groepen sites en servers beschermen tegen bedreigingen. Een WAF vormt dus een soort van muur tussen jouw website en de rest van het web. Een firewall bewaakt inkomende activiteiten, detecteert aanvallen, malware en andere ongewenste gebeurtenissen en blokkeert alles wat het als een risico beschouwt.
In veel gevallen, zeker wanneer je kiest voor managed hosting, plaats de hostingpartij deze muur voor jou. Dit zorgt er niet alleen voor dat jouw website veilig, ook neemt de firewall een hoop extra werk weg.
5. Implementeer Two-factor authentication
Het kan niet anders dat ook jij hiermee wordt platgebombardeerd; two-factor authentication. Elke tool, website, programma of software pusht deze manier van beveiligen. De naam zegt wat het doet; authenticatie in twee stappen. Het kost wat meer tijd om in te loggen, maar brengt een stabiele beschermlaag aan om hackers buiten de deur te houden.
Zoals met veel WordPress-functies, is two-factor authentication eenvoudig toe te voegen door middel van een plug-in. Two Factor Authentication is een solide keuze – gemaakt door betrouwbare ontwikkelaars.
Een andere optie is de Two-Factor plug-in, die bekend staat om zijn betrouwbaarheid. De plug-in is gebouwd door bekende WordPress developers. Zoals bij elke plug-in kost het even om te ondervinden hoe alles in zijn werk gaat, maar it gets the job done en is zeer veilig.
6. Voeg zorgvuldig plug-ins en thema’s toe (en wacht niet te lang met updaten)
WordPress is een geweldig platform vanwege de grote community, beschikbaarheid van thema’s en plug-ins. Wil je een nieuwe functie toevoegen aan jouw website? Jij bedenkt het en er bestaat wel een plug-in die dat voor je kan realiseren.
Helaas is het installeren van een plug-in of thema niet altijd zonder risico.
Plug-ins en thema’s worden namelijk niet altijd door WordPress ontwikkeld maar grotendeels door externe partijen. Hierdoor kan het voorkomen dat een ontwikkelaar niet voorzichtig genoeg is; onbetrouwbaar, onveilig of gewoonweg niet goed werkt. Maak de keuze voor een plug-in of thema voorzichtig, doordacht en zorg dat je zeker weet dat het een solide optie is die jouw site niet schaadt of problemen veroorzaakt.
Tot slot doe je er goed aan om de plug-ins en thema’s up-to-date te houden om ervoor te zorgen dat ze goed samenwerken en beveiligd zijn. Dit is gelukkig vrij simpel; je hoeft enkel jouw WordPress dashboard te bezoeken, te klikken op plug-ins, selecteer die met een melding en klik op update nu. Je kunt de plug-ins ook in een batch bijwerken door ze allemaal te selecteren en volgens op de update-knop te drukken. Dit kunnen we echter niet adviseren. Mocht één plug-in problemen veroorzaken, dan is het lastig om te achterhalen welke.
Host je bij Savvii? Dan zorgen we voor jou. Ieder pakket bij Savvii beschikt over automatische updates. Wat betekent dat voor jou?
Dit betekent dat je geen core- en plugin-updates meer hoeft te doen. In ons control panel heb je namelijk de mogelijkheid om automatische WordPress core- en/of plugin-updates aan te zetten. Wij voeren de updates dan voor je uit en controleren je site. Gaat er iets mis? Dan zetten we de back-up terug die we net gemaakt hebben en brengen we je op de hoogte.
7. Configureer de map- en bestandsrechten
Bij tip 7 gaan we iets verder de techniek in.
Alle plug-ins, thema’s, bestanden en gegevens op jouw WordPress website worden opgeslagen in mappen en bestanden. Elke map en bestand krijgt een machtigingsniveau toegewezen; dit bepaalt wie het bestand of de map kan bekijken, bewerken en/of uitvoeren. De bestandsmachtigingen worden weergeven door een driecijferig nummer waarbij elk cijfer een betekenis heeft.
Het eerste cijfer staat voor de individuele gebruiker (eigenaar van de website), het tweede cijfer voor de groep (bijvoorbeeld leden van jouw website) en het derde cijfer voor de rest van de wereld. De nummers variëren van 0 tot 7 en betekenen het volgende:
- 0 : Heeft geen toegang tot het bestand.
- 1 : Kan het bestand alleen uitvoeren.
- 2 : Kan het bestand bewerken.
- 3 : Kan het bestand bewerken en uitvoeren.
- 4 : Kan het bestand lezen.
- 5 : Kan het bestand lezen en uitvoeren.
- 6 : Kan het bestand lezen en bewerken.
- 7 : Kan het bestand lezen, bewerken en uitvoeren.
Als een bestand een machtigingsniveau van bijvoorbeeld 740 krijgt, betekent dit dat de gebruiker het bestand kan lezen, bewerken en uitvoeren, de groep het bestand kan lezen en iedereen buiten de gebruiker en groep geen toegang heeft.
WordPress adviseert om mappen in te stellen met een 755 machtigingsniveau en bestanden op 644. Je kunt je vrij veilig aan deze richtlijnen houden, hoewel je elke gewenste combinatie kunt instellen. Houd er wel rekening mee dat je het beste zo min mogelijk mensen toegang kunt geven.
Opmerking: controleer bij het aanbrengen van wijzigingen goed of je de juiste cijfers hebt ingevoerd. Een verkeerde keuze kan grote gevolgen hebben voor jouw website.
8. Bewaak het aantal accounts op jouw site en houdt deze laag
Beheer jij en jij alleen jouw WordPress-site, dan hoef je je geen zorgen te maken over deze stap. Door het aantal accounts zo laag mogelijk te houden, of zelfs te beperken tot alleen jezelf, ben je de enige persoon die wijzigingen kan aanbrengen. Daardoor weet je precies wat er zich afspeelt.
Deze tactiek noemen we ook wel: ‘’me, myself and I’.
Vaak zien we dat men andere mensen toevoegen en het aantal gebruikers steeds meer toeneemt. Dit kan verschillende redenen hebben; andere auteurs laten bijdragen, mensen nodig om de inhoud te bewerken of nieuwe functies toe te voegen. In veel gevallen is dit heel nuttig en soms zelfs noodzakelijk, als jouw bedrijf groeit is het haast onmogelijk om alles zelf te doen. Het is echter ook een veiligheidsrisico.
Hoe meer mensen je op jouw site toelaat, hoe groter de kans dat iemand een fat-finger-fout maakt. Het klinkt kinderachtig maar het gaat vaak genoeg fout. Probeer het aantal gebruikers zo laag mogelijk te houden zonder de groei te beperken. Let ook goed om de rollen die worden toegewezen. Iemand die enkel content schrijft heeft geen toegang nodig tot de hele website.
9. Houdt een oogje in het zeil
Je kent het vast wel: meerdere gebruikers op jouw website. Je neemt een nieuwe medewerker aan, nieuwe developer of iemand die gastblogs schrijft, iedereen heeft een account nodig om zijn of haar plasje op jouw website te doen. Iedere gebruiker heeft toegang tot jouw website en de mogelijkheid om aanpassingen te maken op basis van de toegezegde rechten.
Zoals net al aangegeven is het geen verkeerde keuze om de lijst met gebruikers eens in de zoveel tijd een opfrisbeurt te geven. Maakt men nog gebruik van jouw website? Nee? Verwijderen dat account dan. Hoe minder mensen toegang hebben, hoe kleiner de kans dat er dingen gebeuren die niet zouden moeten gebeuren.
Buiten dat je het aantal gebruikers zo laag mogelijk wilt houden, is er nog een quick win om op de hoogte te zijn van wat zich allemaal afspeelt op de achtergrond. Je kunt namelijk de activiteiten volgen. Zo kun je precies zien waar en wanneer andere gebruikers een wijziging aanbrengen. Wanneer er een vreemde wijziging is aangebracht is het fijn als je kunt achterhalen wie er achter die activiteit zat. Dit kun je afdekken met een plug-in.
Als je een hands-off aanpak wilt, doet Simple History zijn naam eer aan door een gestroomlijnd, gemakkelijk te begrijpen logboek te maken van belangrijke wijzigingen en gebeurtenissen op jouw site.
10. Maak regelmatig back-ups
De laatste maar niet minst belangrijke tip is regelmatig een back-up van jouw website maken, ongeacht het CMS. Alleen op veiligheid letten is niet genoeg, je moet je voorbereiden om het ergste.
Wanneer jouw website gehackt wordt of crasht is het maken van een back-up als mosterd na de maaltijd. Een goede hostingpartij maakt standaard dagelijks back-ups van jouw website, database, media-folder enzovoort. Bij Savvii beschikt ieder hostingpakket over dagelijkse back-ups. Deze back-ups bewaren we 14 dagen offsite. Heb je om wat voor reden dan ook een back-up nodig? Dan kun je eenvoudig aangeven welk onderdeel van jouw site je wilt terugzetten, of gewoon de hele website.
Toch adviseren we om zelf ook wekelijks, maandelijks of periodiek back-ups te maken. Wil je graag terug naar een oudere versie van jouw website, bijvoorbeeld van één maand geleden. Dan kunnen we jou daar niet bij helpen, maar jij jezelf wel.
Beter voorkomen dan genezen
Deze 10 beveiligingstips helpen om de beveiliging van jouw WordPress website op te krikken. Sommige zijn eenvoudig, andere zijn van invloed om jouw hele site, zoals het overschakelen naar HTTPs of het toevoegen van een SSL-certificaat. Wijzigingen die gelden voor de hele website vragen om extra aandacht of hulp van je hoster.
Zorg er vooral voor dat jouw website op streng beveiligde WordPress-hosting draait. Onze hosting is specifiek ontworpen voor WordPress. Kies voor premium managed WordPress hosting, dan weet je zeker dat jouw website aan de serverkant volledig is dichtgetimmerd.
En als je ooit een beveiligingsprobleem tegenkomt, hebben we je gedekt met automatische dagelijkse back-ups, een dagelijkse malwarescan, automatische updates en ons ondersteuningsteam van WordPress-experts!
Reactie achterlaten