Negen tips om je WordPress website beter te beveiligen

1. Als je een ondernemer of marketeer op het internet bent en een eigen website hebt, is de kans groot dat je daar WordPress voor gebruikt – of WooCommerce, in het geval van een webshop. Dit zijn de meest gebruikte content management platformen op het internet.

Als je het nieuws een beetje hebt gevolgd, weet je dat websites continu worden aangevallen. DDoS-aanvallen, phishing, malware: criminelen gebruiken allerlei technieken om bedrijven te beschadigen. Hoewel de meeste hostingproviders al uitgebreide maatregelen nemen om te zorgen dat je websites veilig zijn, is er ook veel dat je zelf kunt doen. Op het internet staan honderden artikelen met tips en tricks om je op weg te helpen.

Als jij een WordPress website hebt, is dit artikel voor jou bedoeld. Het bevat negen nuttige tips die je helpen om de veiligheid van je WordPress website te verbeteren.

Tip 1: Zorg dat de WordPress Core altijd geüpdatet is

Het komt heel zelden voor, maar af en toe worden er kwetsbaarheden ontdekt in WordPress zelf. Zorg er daarom voor dat je altijd de laatste minor releases van WordPress core draait. Dat kan door middel van de auto-update instellingen van WordPress zelf of door dit in te stellen in je control panel.

Tip 2: Zet pingbacks en trackbacks uit

Pingbacks en trackbacks zijn notificaties van andere sites die je melden dat ze naar jouw site linken. Dit wordt echter vaak gebruikt om te spammen. Ga in de wp-admin naar Instellingen > Reacties en vink ‘Sta linkmeldingen van andere blogs toe (pingbacks en trackbacks) op nieuwe artikelen’ uit.

Tip 3: Zet XML-RPC uit

XML-RPC gebruik je om data uit te wisselen tussen wp-admin en je website. Als je dit niet gebruikt, is het beter om XML-RPC uit te zetten. Het is namelijk een duidelijke aanvalsvector, omdat via XML-RPC gemakkelijk en snel inlogpogingen gedaan worden. Je lost dit zelf op via .htaccess (bij gebruik van Apache) door deze code toe te voegen:

# Block WordPress xmlrpc.php requests??order deny,allow?deny from all?allow from 123.123.123.123?

Heb je twijfels? Wij kunnen je hier verder bij helpen.

Tip 4: Blokkeer toegang tot de WordPress API

Blokkeer de toegang uiteraard alleen als je hem niet gebruikt. Gebruik je de API wel, werk dan met IP-whitelisting op de API. Het is belangrijk deze actie uit te voeren, omdat via de API onder andere belangrijke informatie zoals gebruikersnamen (via de slug van de author) op te halen is.

Tip 5: Zet gebruikersregistratie uit

Veel bots maken WordPress gebruikers aan om mee te spammen. Is het voor jouw site niet nodig dat bezoekers zelf een gebruikersaccount kunnen aanmaken? Zet deze optie dan uit via ‘Instellingen > Algemeen’ door het vinkje bij ‘Iedereen kan registreren’ uit te zetten.

Tip 6: Zet file editing uit

Mocht iemand onverhoopt toegang hebben gekregen tot je wp-admin, dan kan deze indringer veel kwaad doen met de ingebouwde file editing functie. Zet deze functie uit door in de wp-config de volgende regel toe te voegen:

define('DISALLOW_FILE_EDIT', true);

Tip 7: Gebruik geen ‘admin’ als gebruikersnaam

In een ‘brute force attack’ probeert een aanvaller zowel je gebruikersnaam als je wachtwoord te achterhalen. Aangezien ‘admin’ de standaard gebruikersnaam is bij een nieuwe WordPress installatie, betekent dit in de praktijk dat een aanvaller alleen nog maar het wachtwoord hoeft te raden om toegang te krijgen tot een website.
Door eerst een nieuwe administrator gebruiker met een unieke gebruikersnaam aan te maken en daarna de gebruiker met de gebruikersnaam ‘admin’ te verwijderen, maak je het risico op een succesvolle brute force attack kleiner.

Tip 8: Gebruik verschillende gebruikers voor site beheer en het publiceren van content

Via de API en via de URL van de author page is het mogelijk om een gebruikersnaam te achterhalen. Daarom is het verstandig om twee accounts te gebruiken voor mensen die zowel de site beheren als content schrijven. Gebruik een account met een zo laag mogelijk rechtenniveau voor de content. Op die manier kan een aanvaller niet veel schade aanrichten als het hem toch lukt om in te loggen als die gebruiker.

Tip 9: Gebruik unieke salts en keys

In de wp-config.php moet je unieke en lange waarden opgeven voor salts en keys. Dat zorgt ervoor dat de data die in cookies worden opgeslagen nog beter encrypted zijn. Gebruik de salt en key generator van WordPress zelf om kant-en-klare waarden te generen die je direct in je wp-config.php kunt plakken.

Bonustip: Gebruik een uniek en sterk wachtwoord
Je hebt deze tip vast al veel vaker gehoord. Toch zijn de meeste wachtwoorden nog altijd niet sterk genoeg.

Gebruik altijd een sterk wachtwoord!
Het proberen te ‘brute forcen’ op wachtwoorden is een van de meest voorkomende manieren om een site aan te vallen. Zorg ervoor dat je wachtwoord óf lang en willekeurig is óf gebruik een lange passphrase.

Een passphrase is een wachtwoord dat bestaat uit meerdere willekeurige woorden of namen achter elkaar. Hierdoor onthoud je het beter. Het gebruik van een passwordmanager als 1Password of LastPass helpt je om voor elk account een ander wachtwoord te gebruiken, terwijl je toch maar één wachtwoord zelf hoeft te onthouden.
Zorg er ook voor dat je je wachtwoorden nooit hergebruikt. Als je dat wel doet, kan je eigen website gehackt worden omdat je wachtwoord bij het hacken van een andere site ontdekt is.

Dit waren negen tips om je WordPress website beter te beveiligen. Er zijn natuurlijk nog meer manieren om het internet veiliger te maken, maar deze tips zijn alvast een goed begin. Je kunt ook onze checklist met nog meer tips downloaden. Als je zelf nog tips hebt, laat het ons weten via de comments of via social media!

Robert-Jan Budding - Robert-Jan is senior international marketer bij Savvii. Zijn interesses richten zich op technologie en digitale strategieën. Daardoor houd hij ervan bedrijven te laten groeien door gebruik te maken van de laatste technieken en schrijft daarover.