Beveilig je WordPress website
WordPress is het meest gebruikte CMS, maar dat maakt het ook kwetsbaar. Leer hier enkele basisbeveiligingen om je WordPress website te beveiligen.
Volgens de meest recente cijfers (november 2022) van W3Techs werkt maar liefst 43,1% van alle websites op WordPress. Dat is gi-gan-tisch. WordPress is ontstaan in 2003 en heeft sindsdien een transformatie gekend van enkel gebruik voor blogging tot een platform voor het bouwen van volledige websites. De keerzijde van die grote bekendheid maakt natuurlijk ook dat WordPress websites een geliefkoosd doelwit zijn voor hackers.
Een basisinstallatie van WordPress is op zich al relatief veilig. Maar alles kan beter. In een reeks van blogartikelen nemen we je mee in de beveiliging van jouw WordPress website. Sommige aanpassingen kan je zelf zonder technische kennis doen. Voor andere aanpassingen moet je beroep doen op je webhosting provider of een persoon die technisch onderlegd is om onder de motorkap technische aanpassingen uit te voeren.
In deze blogpost bespreken we enkele basisbeveiligingen.
Gebruik een SSL-certificaat
Een SSL/TLS-certificaat (te herkennen aan de ‘s’ in https://) zorgt ervoor dat de verbinding tussen de webbrowser van de bezoeker en jouw website veilig verloopt. De informatie wordt versleuteld verzonden zodat de gegevens niet onderschept kunnen worden.
Er zijn drie soorten SSL-certificaten: Organization Validation (OV), Extended Validation (EV) en Domain Validation (DV) certificaten. In deze blogpost gaan we niet in de diepte in op de verschillen - houd onze blog in de gaten voor een volgende blogpost daarover. Er is een enorm verschil in prijs tussen OV, EV en DV certificaten - tot honderden en zelfs duizenden euro’s per jaar. Maar vanuit technisch standpunt gezien zijn ze alle drie even veilig, want er wordt exact dezelfde techniek gebruikt voor OV, EV en DV certificaten.
Er zijn ook organisaties die gratis certificaten uitgeven, zoals Let’s Encrypt. Zijn die dan minder veilig? Neen. Waar schuilt het addertje? Nergens. Let’s Encrypt is ontstaan in 2014 en wordt gesponsord door grote spelers zoals Mozilla, Cisco, Amazon, Google enzovoort.
De kans is groot dat jouw webhosting provider gratis SSL-certificaten van bijvoorbeeld Let’s Encrypt aanbiedt. Maak daar gebruik van. Ze maken je website direct veel veiliger. En het komt je SEO ten goede, want Google geeft websites met een SSL-certificaat een hogere ranking.
Houd je WordPress installatie up-to-date
WordPress bestaat uit verschillende onderdelen. Zo is er de WordPress core (de basisbestanden van WordPress), de WordPress themes (de thema’s, gemaakt door WordPress of derden) en de WordPress plugins (wat extra functionaliteit toevoegt, gemaakt door WordPress of door derden).
Al deze onderdelen worden vaak bijgewerkt. Soms bevatten updates alleen maar functionele aanpassingen, maar vaak ook oplossingen voor bugs die veiligheidsproblemen veroorzaakten. Daarom is het van belang om updates zo spoedig mogelijk te installeren. Updates zorgen dus niet enkel voor extra functionaliteit, maar ook voor een veiligere installatie.
Installeer alleen plugins en thema’s die je ook werkelijk gebruikt. Gebruik je een bepaalde plugin niet meer? Verwijder hem dan. Zo kan deze plugin alvast niet uitgebuit worden om je website te hacken.
Manueel updaten
Als je op je WordPress administrator dashboard inlogt, dan zie je een melding van het aantal updates die er beschikbaar zijn. Door te klikken op ‘Dashboard > Updates’ kan je WordPress core, thema’s en plugins manueel bijwerken.
Automatisch updaten
Wil je niet dagelijks of wekelijks tijd vrijmaken om de updates manueel te installeren, dan kan je ook automatische updates inschakelen. Let wel op: als er iets fout gaat tijdens het automatisch updaten, dan moet je alsnog manueel ingrijpen. Ons advies? Schakel automatische updates in. Het is beter dat je website tijdig een technisch probleem heeft dan dat je website gehacked wordt doordat je installatie niet up-to-date was.
WordPress zal twee keer per dag controleren of er updates beschikbaar zijn.
Automatische update van WordPress core
Navigeer naar ‘Dashboard > Updates’. Controleer hier of WordPress al automatische updates ingeschakeld heeft. Je kan er ook voor kiezen om nieuwe WordPress versies automatisch te installeren.
Automatische updates van plugins
Navigeer naar ‘Plugins’. Achter iedere plugin klik je op Auto-updates inschakelen’.
Automatische updates van thema’s
Niet ieder thema kan automatisch geupdate worden, dit is afhankelijk hoe de ontwikkelaar van het thema zijn thema geprogrammeerd heeft. Dus het kan zijn dat je voor jouw thema geen automatische updates kan installeren.
Navigeer naar ‘Weergave > Thema’s’ en klik op ‘Themadetails’ van van je thema. Klik op ‘Auto-updates inschakelen’.
Web Application Firewall
Een Web Application Firewall (WAF) maakt geen rechtstreeks onderdeel uit van je WordPress, maar wel van de webserver waarop je WordPress installatie draait. Een WAF detecteert en voorkomt specifieke aanvallen op je WordPress. Net zoals een firewall op je computer, maar dan speciaal ontworpen voor webapplicaties. Een WAF beveiligt je onder andere op het vlak van DDoS en brute force aanvallen, spam, malware SQL injectie enzovoort.
Een WAF kan je niet zelf installeren, dat is de taak van je webhoster. Heb je toegang tot het webhosting controlepaneel van je webhosting (zoals Plesk, cPanel of DirectAdmin), dan kan je wel zelf controleren of zij WAF aanbieden en of dit ingeschakeld is.
Beveilig je webhosting account
Je WordPress website draait op de webserver van je webhosting provider. Vaak voorzien zij een webhosting account waarop je zelf kan inloggen om bv. e-mailaccounts aan te maken, je DNS-records te beheren, databases aan te maken, enzovoort. Hackers kunnen eenvoudig je webhosting achterhalen en proberen om via dat account binnen te geraken. Zorg er dus voor dat je dit account beveiligt met een sterk wachtwoord - en liefst ook met tweestapsverificatie.
Heb je ook een FTP-account via je webhosting provider om gemakkelijk bestanden te uploaden? Zorg dan ook dat je daarvoor een sterk wachtwoord gebruikt. Gebruik ook nooit een onveilige FTP verbinding, maar gebruik altijd FTPS of SFTP. Je webhosting provider kan je al deze informatie perfect bezorgen en je daarin ondersteunen.
Maak regelmatig back-ups
Neen, back-ups maken je WordPress installatie niet veilig. Maar geen enkele website is 100% veilig. Dat bewijst de vele hacks van overheidswebsites; waar men toch wel zeer sterk inzet op veiligheid. Als je website ooit het slachtoffer wordt van hacking, dan kan je op je back-up terugvallen om je vernielde website terug online te plaatsen.
Ook het maken van back-ups is een taak van je webhosting provider. Idealiter maken zij dagelijks een back-up en bewaren zij die veilig op een externe locatie. Wil je back-ups zelf in de hand houden, dan kan je beroep doen op een van de vele back-up plugins en bijvoorbeeld dagelijks automatisch een back-up bewaren in je Google Drive of Dropbox account.
WordPress hosting bij Nexxwave
Ben je op zoek naar een webhosting gespecialiseerd in WordPress? Dan kunnen wij je helpen. Wij maken dagelijks externe back-ups en voorzien een Web Application Firewall. Bovendien maken we het eenvoudig om met enkele klikken de veiligheid van je WordPress website op meer dan 15 vlakken op punt te stellen.
Het is zelfs mogelijk om via ‘Smart Updates’ updates je WordPress website eerst door middel van artificiële intelligentie te laten testen in een testomgeving voordat de updates op je live-website toegepast wordt. Volledig automatisch.