Onderhoud je website en hou hem veilig met deze vijf onderhoudtips

Timo, 19 december 2019

WordPress is het meestgebruikte contentmanagementsysteem. Door de gebruiksvriendelijkheid kan iedereen er in principe een website mee bouwen. Super fijn natuurlijk die gebruiksvriendelijkheid, maar de populariteit van het CMS brengt een aantal beveiligingsrisico’s met zich mee. Een lekke plug-in of verouderde WordPress core kan als ingang dienen voor hackers. Nalatigheid in websiteonderhoud is in dat geval vragen om problemen. 

Voorkom een lek met updates

Aan de basis van veel malware-infecties staat software die verouderd is. Denk aan de WordPress core, thema’s of plug-ins. Wanneer hackers een lek vinden gaan zij vervolgens op zoek naar alle websites die hetzelfde lek hebben om zo schadelijke malware te plaatsen. Uit onderzoek van beveiligingsplatform Sucuri blijkt dat 36.7% van de websites waarvoor een cleanupaanvraag gedaan werd, een verouderde WordPress core had.

Uit een survey van Wordfence, die gehouden werd onder website-eigenaren met geïnfecteerde websites, komt naar voren dat in 55.9%  van de gevallen een lekke plug-in de boosdoener was. Houd dus je WordPress core, thema (voor zover mogelijk) en plug-ins up-to-date. Zodra een lek gedetecteerd wordt, volgt meestal snel een patch waarbij het lek gedicht wordt. Hoe langer je wacht met updaten, hoe groter de kans dat je succesvol aangevallen wordt.

Scan je website op malware

Word je website geïnfecteerd met malware, dan is de kans groot dat je dit niet doorhebt. Malware nestelt zich vaak ongemerkt op een website waar het off-radar zijn ding doet. Zo kan jouw site, of server, gebruikt worden in een groter netwerk om DDoS-aanvallen uit te voeren. Lees meer over hoe hackers te werk gaan en wat hun beweegredenen zijn in onze blogpost over Security Plus. Om uit te zoeken of jouw website geïnfecteerd is, is het slim om regelmatig malware-scans uit te voeren. Er zijn verschillende plug-ins die hiervoor gebruikt kunnen worden. De Sucuri Security en Wordfence plug-in zijn hier voorbeelden van.

Wees voorzichtig met inloggegevens

Veel Malware heeft als functie om jouw website te infiltreren zodat daarna wachtwoordgegevens buit kunnen worden gemaakt. Het is slim om daarom met een two factor authentication (2FA) te werken. Wanneer jouw wachtwoord gekraakt wordt, kan men niet inloggen zonder de controle van een tweede apparaat. Dat apparaat (vaak je telefoon) heb je natuurlijk alleen zelf in handen. Ook is het slim om een account aan te maken bij een wachtwoordmanager. LastPass en 1password zijn voorbeelden hiervan. Met deze tools kun je automatisch sterke wachtwoorden aanmaken die in een kluis bewaard worden. Zo hoef je zelf, met een 2FA, alleen in te loggen op je account om al je wachtwoorden bij de hand te hebben.

Maak Back-ups

Voorkomen is beter dan genezen. Maar zelfs met de beste voorzorgsmaatregelen gaat het soms mis. Met een back-up in handen kun je jouw website terugzetten naar een eerdere ‘cleane’ versie. Zonder back-up heb je in dat geval vaak een probleem. Je zal de infectie moeten opsporen en je site moeten opschonen. Je kunt dit ook laten doen, dan gaat het je geld kosten. In het ergste geval krijg je hem niet schoon en moet je je website opnieuw opbouwen. Even de tijd nemen om een back-up in te stellen, voelt dan ineens niet meer als overbodig.

Kies de juiste hostingprovider

Goedkoop is vaak duurkoop in dit geval. Ga je voor het allergoedkoopste hostingpakket dan is de kans groot dat de beveiliging van jouw server niet optimaal is. Je wilt een hostingprovider die zijn servers up-to-date houdt en jouw website onderbrengt bij een datacenter waar ook de hardware op orde is. Daarnaast kun je ook nog kiezen voor managed hosting waarbij je in het websiteonderhoud en de beveiliging ondersteund wordt. Denk aan automatische back-ups, malwarescans en updates. Maar ook SSL-certificaten, de firewall, brute forse preventie enz. Het kost een hoop tijd om dit allemaal zelf in te stellen en bij te houden. Daarom loont het zich vaak om het uit handen te geven bij een managed hostingprovider.

Reageer