25 tips voor een veilige WordPress website
Wil jij dat jouw WordPress website veilig online is? Wij hebben een lijst met 25 tips voor je gemaakt om als checklist te gebruiken. Heb je hier vragen over? Stuur ons een berichtje!
1. Houdt WordPress Core, Plugins en Themes up-to-date
Eén van de meest voor de hand liggende, maar de allerbelangrijkste. Zorg dat jouw WordPress installatie, plugins en templates regelmatig geüpdatet worden.
2. Forceer een strikt gebruikersnamen en wachtwoord beleid
Zorg er voor dat gebruikersnamen niet gemakkelijk geraden kunnen worden. Gebruik bijvoorbeeld niet ‘admin’ als accountnaam. En forceer sterke wachtwoorden via een security-plugin.
3. Schakel 2-Factor authenticatie in
Dit lijkt misschien overkill, maar zorgt er voor dat jouw gebruikers altijd moeten inloggen met een tweede authenticatiemethode. Dit kan een link via e-mail zijn of via een app als Google Authenticator.
4. Beperk inlogpogingen
Door inlogpogingen te beperken, zorg je er voor dat er geen brute-force aanvallen op jouw website uitgevoerd kunnen worden via de gebruikersauthenticatie.
5. Scherm de wp-admin af op basis van IP
Door de backend af te schermen voor alle ip-adressen behalve de ip-adressen van de admins, zorg je er voor dat er geen ongewenste personen in de wp-admin kunnen komen.
6. Enable user logging and monitoring
Door bij te houden wat gebruikers op jouw website doen, kun je snel inspelen op onregelmatigheden op jouw website.
7. Installeer een security plugin
Via een WordPress security plugin kun je allerlei beveiligingsverbeteringen voor jouw website automatisch laten doorvoeren.
8. Een Web Application Firewall gebruiken
Een web application Firewall houdt aanvallen van buitenaf tegen. Het is iets anders dan de firewall op jouw server & zorgt voor extra veiligheid.
9. Installeer een SSL certificaat
Een SSL certificaat zorgt er voor dat alle verkeer tussen jouw website & de eindgebruiker versleuteld is.
10. Gebruik een Content Delivery Network (CDN)
Het gebruik van een CDN kan de snelheid van je site verbeteren & zorgt voor minder kwetsbaarheid voor DDOS aanvallen.
11. Gebruik SFTP in plaats van FTP
Verbindt je via FTP op jouw webserver? Zorg dan dat je dit via SFTP doet. SFTP staat voor Secure File Transfer Protocol en is inherent veiliger dan FTP.
12. Monitor en update jouw PHP versie
PHP is de programmeertaal waar wordpress voornamelijk op draait. PHP regelmatig geüpdatet & oudere versies worden na verloop van tijd niet ondersteund.
13. Maak regelmatig backups van jouw website
Met backups voorkom je dataverlies in het geval van een hack of problemen met jouw website. Backup jouw website regelmatig om altijd terug te kunnen vallen op een vorige versie.
14. Houdt backups gescheiden van je website server
Het komt nogal eens voor dat backups op dezelfde plek als jouw website worden bewaard. Wanneer de server crasht, kunnen daarmee ook al jouw backups verdwijnen. Zorg dus dat je de backups extern opslaat.
15. Verander de standaard WordPress database prefix
De standaard database prefix is wp_. Als je deze niet wijzigt, maak je je website kwetsbaarder voor SQL injectie aanvallen.
16. Wijzig de inloglinks voor wp-admin en wp-login.php
Door de login links van wp-admin te wijzigen voorkom je dat bots proberen in te loggen via de standaard links.
17. Beveilig jouw wp-config.php bestand
Het wp-config.php bestand bevat alle gevoelige informatie over jouw website, zoals de database wachtwoorden. Door dit bestand af te schermen van de buitenwereld, zorg je er voor dat de kans kleiner wordt dat deze gegevens misbruikt kunnen worden.
18. Zet bestandsbewerking uit
WordPress heeft een ingebouwde bestandsbewerker. Wanneer een ongewenste gebruiker toegang krijgt tot jouw website, kan deze alle bestanden van plugsin & templates aanpassen.
19. Schakel de toegang tot XML-RPC uit
XML-RPC werd voorheen door WordPress gebruikt om vanaf afstand posts te plaatsen en bewerkingen op de website uit te voeren. Het wordt nu meestal niet meer gebruikt. Het is wel een veel-gebruikte ingang voor aanvallen op jouw website.
20. Schakel directory listing uit
Afhankelijke van jouw server-instellingen, kan het mogelijk zijn om bestandsmappen op jouw server te browsen door naar een link op jouw website te gaan: https://jouwdomein.nl/wp-includes.
Wanneer je deze link niet kunt benaderen, staat dit waarschijnlijk goed ingesteld.
21. Schakel PHP error reporting uit
Soms kan het zijn, wanneer je een WordPress website bezoekt, dat je meldingen te zien krijgt die je niet moet zien. Om er voor te zorgen dat dit niet gebeurt, moet PHP Error Reporting uitgeschakeld zijn.
22. Schakel WordPress versie-meldingen uit
Wanneer jouw WordPress versie uitgelezen kan worden, geeft dit ongewenste gebruikers mogelijk extra informatie over jouw gebruikte WordPress versie. Hierbij geldt: Hoe minder informatie, hoe beter.
23. Schakel security headers in
Security headers zorgen er voor dat aanvallen zoals click jacking of code injectie voorkomen worden. Je kunt de volgende headers instellen:
- Content-Security-Policy (CSP)
- X-Frame-Options
- Scrict-Transport-Security (HSTS)
- X-Content-Type-Option
24. Voer code-reviews door
Gebruik je custom code op jouw website? Zorg er dan voor dat je een developer deze laat controleren op mogelijke beveiligingslekken.
25. Volg een security training
Het kan leerzaam zijn om een training op het gebied van cyberveiligheid te volgen. Zeker als het gaat om het toepassen van best-practices, kan dit zeer nuttig zijn.
Disclaimer: Bovenstaande tips zorgen niet gegarandeerd voor een veilige website. Laat daarom altijd een check doen door een professional.