WordPress-hack voorkomen

WordPress les met Mitchell #1
Door Mitchell Bakker, specialist online media

Dat we bij Yourstyledesign gek zijn op WordPress, wist u al (lees ook het blogartikel van Bjorn). Het gebruik van WordPress als website-cms kent veel voordelen zoals:

  • Gebruiksvriendelijkheid: iedereen kan ermee werken
  • Functionaliteit: alles is mogelijk qua webfunctionaliteit en hier wordt wereldwijd aan gewerkt
  • Snelheid van doorontwikkeling: de ontwikkeling van WordPress staat nooit stil
  • Professionele plug-ins en thema’s bieden eindeloze mogelijkheden voor webbouwers

Er zit echter ook een keerzijde aan de populariteit van WordPress: steeds meer websites worden gehackt en dit kan vervelende gevolgen hebben voor uw bedrijf. Een belangrijk onderwerp waar Mitchell de komende tijd in drie artikelen aandacht aan gaat besteden.


Lees nu deel 1 van WordPress les met Mitchell 😉

5 tips om een WordPress-hack te voorkomen

Vanwege de vele WordPress websites (50+ miljoen) wereldwijd is WordPress een populair doelwit van hacks en malware-injecties. Een hacker kan met een script tientallen websites tegelijk platleggen of beïnvloeden, vaak omdat deze sites dezelfde verouderde plug-ins of WordPress-versie gebruiken.

Graag geef ik u 5 technische tips waarmee u zorgt dat 90 % van de hacks voorkomen wordt. Voorkomen is immers nog altijd beter dan genezen. Let op! dit is niet de manier om een hack op te lossen, daarover meer in een van de volgende blogs.

Tip 1: WP-config instellen

Zorg er standaard voor dat databasenamen en wachtwoorden sterk zijn en dat de Salt Keys gegenereerd zijn. Via het wp-config-bestand kunt u veel WordPress-standaarden herschrijven of aanpassen. U kunt ook de standaard upload-locatie aanpassen, de databasetabel prefix wijzigen, bestanden niet schrijfbaar maken of de log-in-locatie veranderen.

Enkele voorbeelden:

  • Automatisch updaten van WordPress core:
    define( ‘WP_AUTO_UPDATE_CORE’, true );
  • Automatisch updaten van plugins
    add_filter( ‘auto_update_plugin’, ‘__return_true’ );
  • Uploads-locatie wijzigen naar /bestanden (vergeet de bestandenmap niet aan te maken op de server)
    define( ‘UPLOADS’, ”.’bestanden’ );
  • Bestanden kunnen vanuit WordPress niet meer aangepast of herschreven worden.
    define(‘DISALLOW_FILE_EDIT’, true);

Er zijn uiteraard meer mogelijkheden. Deze zijn te vinden via Google door te zoeken naar wp-config tweaks for WordPress.
Yourstyledesign-wordpress-blog-security

Tip 2: Htaccess-bestand & ftp-bestandsrechten

De map/bestandsrechten en het Htaccess-bestand zijn naast het wp-config.php bestand belangrijk. Maprechten horen standaard op 755 ingesteld te staan en bestanden op 644. Sommige hostingpartijen wijken af van deze standaard maprechten. Ga niet zomaar zelf maprechten wijzigen (overleg eerst met de hostingpartij), dit kan er namelijk voor zorgen dat een plug-in of thema niet aangeroepen wordt.

Goed om te weten: sommige hostingpartijen wijken af van standaard maprechten

Via het Htaccess-bestand kunt u gebruikers uitsluiten of juist toegang geven tot bepaalde bestanden of de website.

Toegang beperken
Beveilig de wp-config-file op de server. Hierin staat alle belangrijke informatie van uw WordPress website. Met deze code beperkt u de toegang tot het wp-config-bestand:
# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

Bestandsrechten
De wp-content-map bevat alle bestanden van een WordPress-website. Gebruikers zouden alleen standaardbestanden zoals afbeeldingen (.jpeg, .gif, .png), Javascript (.js), CSS (.css), PDF(.pdf) en XML (.xml) moeten kunnen aanroepen. Om dit in te stellen, kunt u de volgende code gebruiken:
Order deny,allow
Deny from all
<Files ~ “.(xml|css|jpe?g|png|gif|js\pdf)$”>
Allow from all
</Files>
# deny access to wp admin order deny,allow allow from xx.xx.xx.xx # This is your static IP deny from all

Tip 3: WordPress themes, plug-ins-gebruik & updates

Als u een populaire WordPress-plug-in of thema gebruikt, is het verstandig om minimaal een keer per drie maanden updates aan uw WordPress-installatie uit te voeren. Dit geldt zowel bij gebruik van betaalde, als bij gebruik van gratis thema’s en plug-ins. In nieuwere versies van WordPress worden namelijk meestal de bekende ‘lekken’ gedicht.

Als een site of plug-in jaren niet wordt geüpdatet, is de kans groot dat de site met malware wordt besmet. Een robot of script bekend met een lek, vindt eenvoudig een ‘backdoor’ of ingang in de website en voert daarna vaak een mySql-injectie uit of haalt een een website uit de lucht.

Handig! Maak voordat u een update uitvoert altijd een back-up en test deze indien mogelijk lokaal of op een testlocatie van de server. Bij het updaten van thema’s en plug-ins is het mogelijk dat functionaliteiten verloren gaan of niet meer werken met nieuwe versies van bijvoorbeeld WordPress.

Yourstyledesign-wordpress-blog-hacked

Tip 4: WordPress gebruikeraccounts & log-in

Gebruik bij voorkeur sterke, random gegenereerde wachtwoorden met minimaal 24 verschillende type karakters voor uw WordPress-websites (u vindt hier voor een voorbeeld van een goede wachtwoordgenerator). En zorg dat andere admin gebruikers binnen WordPress dit ook doen.

Slechte wachtwoorden staat wereldwijd in de top 5 van hack-oorzaken. Veelal achterhalen hackers deze wachtwoorden door Brute-force attacks (sterke computers, die in een mum van tijd duizenden combinaties van wachtwoorden met een WordPress user account uitvoeren).

Ook het login gedeelte van WordPress kunt u afschermen met Google reCaptcha om een groot deel van de hackpogingen uit te schakelen. Als beheerder van een webshop of een platform met gebruikers is het aan te raden om sterke wachtwoorden te verplichten. Daarnaast zijn er mogelijkheden als limit login attempts, de wp-admin url veranderen en two-factor login.

5. SSL & website firewall

SSL-verbinding of -certificaat
Met een SSL certificaat zorgt u ervoor dat gegevens van gebruikers en/of bezoekers over een beveiligde (encrypted) verbinding verzonden worden naar de server. Google Chrome geeft tegenwoordig standaard linksbovenin aan of een website een SSL-verbinding heeft of niet.

Website firewall
Een firewall tussen het websiteverkeer en de website plaatsen, kan veel problemen wegnemen. Zo worden DDoS-aanvallen, Brute Force-aanvallen en hackerbots gefilterd van de echte bezoekers. Hierdoor wordt de server minder belast (dataverkeer) en aangevallen (DDoS, scripts en Bots). Meer informatie vindt u op de website van Sucuri Firewall.

Meer WordPress les met Mitchell?

Houd onze blogsite in de gaten voor meer met WordPress les met Mitchell! Tot die tijd vragen over het voorkomen van een WordPress-hack? Neem gerust contact op, wij helpen u graag verder!


geschreven door
Mitchell Bakker
mitchell@yourstyledesign.nl

Kennis Secties

  • Grafisch (10)
  • Marketing (8)
  • Optimalisatie (3)
  • Projecten (2)
  • Strategie (14)
  • Websites (9)
  • Wordpress plugins (1)