WordPress beveiligen

17 Oct 2020

WordPress beveiligen

WordPress wordt steeds populairder. Begin 2013 draait maar liefst 60% van de nieuwe websites in de Verenigde Staten op WordPress. Die populariteit is vooral te danken aan het feit dat WordPress heel makkelijk in gebruik is. De drempel is dusdanig laag dat vrijwel iedereen heel gemakkelijk een eigen website kan maken en onderhouden.

Dat WordPress veel wordt gebruikt brengt echter ook het nadeel met zich mee dat hackers WordPress-websites ook steeds interessanter gaan vinden. Zo is het van WordPress-websites algemeen bekend dat er ingelogd kan worden op http://www.jouwdomein.nl/wp-admin/. Ook algemeen bekend is de standaard gebruikersnaam van het beheerder-account; admin.

Een hacker is met deze informatie al op de helft; ze weten waar er kan worden ingelogd en ze weten dat 60% van de WordPress-websites een beheerdersaccount hebben met als gebruikersnaam “admin”.
Dat WordPress veel gebruikt wordt door beginnende ondernemers en mensen met minder verstand van internet betekent ook dat die vaak een “zwak” wachtwoord kiezen. Het ergste voorbeeld is “qwerty” (van links naar rechts; de eerste zes letters op ieder Westers toetsenbord).

Géén admin-account gebruiken voor de beheerder

Een eerste stap naar een veiligere WordPress-website is dus om géén beheerders-account te hebben dat ”admin” als gebruikersnaam heeft.

Kies voor een gebruikersnaam met een speciaal teken er in. Beter nog is een “passname”; een gebruikersnaam die meer op een wachtwoord lijkt dan op een gebruikersnaam. Een goed voorbeeld is “H[ZV.AmX1v“. Kies vervolgens een wachtwoord met minimaal 15 tekens en met genoeg speciale tekens er in verwerkt. Ook hoofdletters en kleine letters afwisselen zorgt voor meer veiligheid.


Tip: Je mag tegenwoordig ook “spaties” gebruiken in je wachtwoorden.

Limit Login Attempts

De plugin “Limit Login Attempts” zorgt ervoor dat een gebruiker minstens een half uur niet meer kan inloggen wanneer het wachtwoord drie keer verkeerd is ingevoerd.

Vervelend als je zelf het wachtwoord per ongeluk drie keer verkeerd intoetst, maar heel handig wanneer een hacker dat doet.

De hacker ziet zelf niet dat hij niet meer kan inloggen; hij kan het blijven proberen maar zélfs wanneer hij het juiste wachtwoord invult komt hij er niet in. Hier zit ook juist de kracht van deze plugin; de hacker of “robot” heeft geen idee dat hij tevergeefs probeert in te loggen.
 

Maak backups

Ook belangrijk is om regelmatig backups te maken van je website én database. Dit doe je via je hostingprovider óf je gebruikt een Applications Installer zoals Installatron. Wanneer je WordPress hebt geïnstalleerd met Installatron is het direct ook mogelijk om backups te maken met Installatron. Doe dit wekelijks.