De eerste stappen naar een veilige WordPress website

Robin, 19 mei 2021

Het is echt zoiets waarvan de meeste website-eigenaren denken dat het hun nooit zal gebeuren. Maar je staat toch even met je mond vol tanden wanneer blijkt dat jij je eigen website niet meer in kan omdat deze gehackt is. In dit artikel vertellen we je de eerste stappen die jij vandaag nog kunt zetten om je WordPress website te beveiligen.

Wijzig de standaard login URL

Als iemand die al zo’n tien jaar met WordPress werkt heb ik de gewoonte ontwikkelt om bij zo’n beetje iedere nieuwe website waar ik kom, /wp-admin achter de URL te zetten.

Dat is namelijk de standaard manier om in te loggen op WordPress. En voor mij dus de manier om meteen te zien of het een WordPress website is.

Wanneer iemand dus kwaadschiks zou willen inloggen op jouw WordPress website zal hij of zij in eerste instantie dus even naar jouwwebsite.nl/wp-admin gaan om te kijken of je WordPress gebruikt.

Dan hoeft hij of zij enkel nog je e-mailadres en wachtwoord te raden.

Negen van de tien keer staat het e-mailadres dat gebruikt moet worden om in te loggen nog op de betreffende website ook.

Gelukkig is dit probleem vrij gemakkelijk op te lossen. Het enige dat je ervoor nodig hebt is de gratis WordPress plug-in WPS Hide Login.

Je zoekt via Plugins > Nieuwe Plugin naar WPS Hide Login en installeert en activeert de plugin. Vervolgens ga je naar de instellingen van de plugin en hier voer je jouw nieuwe, unieke login URL in.

Op zijn zachtst gezegd is het wel belangrijk dat je zorgt dat jij deze URL ergens noteert of goed onthoudt. Je kan voortaan dus niet meer via de standaard /wp-admin inloggen.

Maak gebruik van sterke wachtwoorden

Hallo123, w@chtwoord, je straatnaam, je geboortedatum en weet ik veel wat je nog meer kan verzinnen zijn geen goede wachtwoorden. De reden daarvoor is vrij simpel, jij hebt ‘m verzonnen, er zit een logica in.

De beste wachtwoorden bevatten geen logica. Het is eerder alsof je je kat over het toetsenbord laat lopen.

via GIPHY

Nu kan ik me voorstellen dat je vandaag de dag wat moeite gaat krijgen met het genereren en onthouden van deze wachtwoorden. Doe jezelf dat ook niet aan.

Maak gebruik van een Password Manager. Kijk bijvoorbeeld eens naar:

Bovenstaande diensten maken het makkelijk om snel veilige, sterke wachtwoorden te genereren en ze te bewaren.

Verwijder het .readme.html bestand

Wanneer je WordPress installeert plaats je allerlei bestanden op je server. Denk aan mappen als wp-content, plugins, wp-admin etc. Naast deze bestanden, die WordPress nodig heeft om jouw WordPress website aan de praat te krijgen, plaatst WordPress ook het bestand readme.html.

Dit bestand kun je zien als een soort Quick Start Guide die WordPress standaard levert bij de bestanden voor je WordPress installatie. Het doel is dan ook dat je dit bestand leest voor je echt aan de slag gaat met je website.

99 van de 100 keer wordt dit over het hoofd gezien en plaatsen we het met de andere bestanden op de server.

Het resultaat is dat er onder de URL jouwwebsite.nl/readme.html duidelijk te zien is dat jouw website is gemaakt met WordPress.

Knappe koppen kunnen er zelfs in terugzien met welke versie van WordPress je werkt.

Vergelijk het een beetje met een crimineel die wil inbreken in een huis. Wanneer hij weet wat voor deuren, kozijnen en sloten je gebruikt heeft hij een veel hogere kans om binnen te komen.

Gelukkig is ook hier de oplossing vrij simpel: verwijder het .readme.html bestand van je server.

Dit kun je doen door met behulp van SFTP en een FTP Client verbinding te maken met je website en het bestand te verwijderen of bijvoorbeeld door gebruik te maken van een filemanager en op die manier het bestand te verwijderen.

Stel Security Headers in

Security Headers zijn stukjes code die voor extra veiligheid zorgen. Toen ik dit voor het eerst hoorde dacht ik “Oké, waarom staat dit dan niet standaard in WordPress?”.

De reden daarvoor is vrij simpel. De Security Headers zijn afhankelijk van het gebruik van de website. Met andere woorden, sommige websites zijn wel gebaat bij de éne security header maar niet bij de ander en andersom.

We kennen de volgende Security Headers:

HTTP Strict Transport Security

Deze header, ook wel HSTS genoemd, vertelt browsers simpelweg dat jouw website via HTTPS geladen moet worden en niet (meer) via HTTP.

X-XSS Protection

Deze header zorgt ervoor dat er enkel scripts voor jouw eigen website op jouw website worden geladen.

X-Frame-Options

Deze header zorgt ervoor dat jouw website niet in een frame op een andere website ingeladen kan worden.

X-Content-Type-Options

Deze header voorkomt MIME-sniffing. Dit is het fenomeen waarbij kwaadwillende bijvoorbeeld virussen uploaden naar je website met een .jpg extensie.

In onderstaand artikel gaat Len dieper in op de Security Headers.

Wat in ieder geval goed is om te weten, is dat we onze klanten bij Savvii graag helpen om de Security Headers te implementeren. We hoeven daarvoor alleen te weten welke Security Headers, met welke instellingen en op welke domeinnaam je de Security Headers wil instellen.

Op securityheaders.com kun je gemakkelijk jouw URL invoeren en zie je direct welke Security Headers jouw website gebruikt.

Security Plus

Standaard hebben we bij Savvii, op serverniveau, al de nodige maatregelen getroffen voor de veiligheid van onze klanten. Maar wil je nog een stukje extra zekerheid wanneer het om de beveiliging van je WordPress website gaat? Dan adviseren we je gebruik te maken van ons Security Plus dienst.

Zo bevat het Security Plus pakket onder andere:

Malware scans
Malware is een ruim begrip. Het is software die met kwaadaardige bedoelingen wordt geschreven. Bijvoorbeeld een virus om een website plat te leggen of een zogenaamd Trojaans paard om een achterdeur in software te openen. Met Security Plus wordt er iedere drie uur, dus acht keer per dag, naar malware gezocht.

Emergency DDoS protection
Een DDoS (Distributed Denial of Service) aanval is een digitale aanval waarbij enorm veel verkeer naar een website wordt gestuurd met als doel de website onbruikbaar te maken voor gewone, menselijke, bezoekers. Dankzij de beveiliging van Security Plus is het mogelijk om zo’n DDoS aanval al bij de DNS tegen te gaan waardoor deze nep bezoekers dus niet worden doorgelaten naar je website en het gewone menselijke verkeer wel.

Server-side scanning door Sucuri
Sucuri controleert alle bestanden op de server voor tekenen van malware om eventuele achterdeurtjes, phising pagina’s, spam, DDoS scripts en dergelijke op te sporen.

Op savvii.com/security-plus-wordpress kun je terugvinden wat er allemaal nog meer aan extra veiligheid in het Security Plus pakket zit.

Conclusie

WordPress is, volgens ons, dé manier om een website te maken. En, net als met alles op het internet, doe je er goed aan om WordPress goed te beveiligen. Los van de standaardbeveiliging die Savvii levert adviseren we je om de standaard inlog URL te wijzigen, altijd sterke wachtwoorden te gebruiken, het readme.html bestand te verwijderen en de juiste Security Headers in te (laten) stellen.

Wil je echt zeker weten dat je goed zit qua veiligheid? Kijk dan eens naar onze Security Plus pakketten waardoor je de veiligheid van je WordPress website naar een volgend level brengt.

Laat een reactie achter