25 tips voor een veilige WordPress website

Wil jij dat jouw WordPress website veilig online is? Wij hebben een lijst met 25 tips voor je gemaakt om als checklist te gebruiken. Heb je hier vragen over? Stuur ons een berichtje!

1. Houdt WordPress Core, Plugins en Themes up-to-date

Eén van de meest voor de hand liggende, maar de allerbelangrijkste. Zorg dat jouw WordPress installatie, plugins en templates regelmatig geüpdatet worden.

2. Forceer een strikt gebruikersnamen en wachtwoord beleid

Zorg er voor dat gebruikersnamen niet gemakkelijk geraden kunnen worden. Gebruik bijvoorbeeld niet ‘admin’ als accountnaam. En forceer sterke wachtwoorden via een security-plugin.

3. Schakel 2-Factor authenticatie in

Dit lijkt misschien overkill, maar zorgt er voor dat jouw gebruikers altijd moeten inloggen met een tweede authenticatiemethode. Dit kan een link via e-mail zijn of via een app als Google Authenticator.

4. Beperk inlogpogingen

Door inlogpogingen te beperken, zorg je er voor dat er geen brute-force aanvallen op jouw website uitgevoerd kunnen worden via de gebruikersauthenticatie.

5. Scherm de wp-admin af op basis van IP

Door de backend af te schermen voor alle ip-adressen behalve de ip-adressen van de admins, zorg je er voor dat er geen ongewenste personen in de wp-admin kunnen komen.

6. Enable user logging and monitoring

Door bij te houden wat gebruikers op jouw website doen, kun je snel inspelen op onregelmatigheden op jouw website.

7. Installeer een security plugin

Via een WordPress security plugin kun je allerlei beveiligingsverbeteringen voor jouw website automatisch laten doorvoeren.

8. Een Web Application Firewall gebruiken

Een web application Firewall houdt aanvallen van buitenaf tegen. Het is iets anders dan de firewall op jouw server & zorgt voor extra veiligheid.

9. Installeer een SSL certificaat

Een SSL certificaat zorgt er voor dat alle verkeer tussen jouw website & de eindgebruiker versleuteld is.

10. Gebruik een Content Delivery Network (CDN)

Het gebruik van een CDN kan de snelheid van je site verbeteren & zorgt voor minder kwetsbaarheid voor DDOS aanvallen.

11. Gebruik SFTP in plaats van FTP

Verbindt je via FTP op jouw webserver? Zorg dan dat je dit via SFTP doet. SFTP staat voor Secure File Transfer Protocol en is inherent veiliger dan FTP.

12. Monitor en update jouw PHP versie

PHP is de programmeertaal waar wordpress voornamelijk op draait. PHP regelmatig geüpdatet & oudere versies worden na verloop van tijd niet ondersteund.

13. Maak regelmatig backups van jouw website

Met backups voorkom je dataverlies in het geval van een hack of problemen met jouw website. Backup jouw website regelmatig om altijd terug te kunnen vallen op een vorige versie.

14. Houdt backups gescheiden van je website server

Het komt nogal eens voor dat backups op dezelfde plek als jouw website worden bewaard. Wanneer de server crasht, kunnen daarmee ook al jouw backups verdwijnen. Zorg dus dat je de backups extern opslaat.

15. Verander de standaard WordPress database prefix

De standaard database prefix is wp_. Als je deze niet wijzigt, maak je je website kwetsbaarder voor SQL injectie aanvallen.

16. Wijzig de inloglinks voor wp-admin en wp-login.php

Door de login links van wp-admin te wijzigen voorkom je dat bots proberen in te loggen via de standaard links.

17. Beveilig jouw wp-config.php bestand

Het wp-config.php bestand bevat alle gevoelige informatie over jouw website, zoals de database wachtwoorden. Door dit bestand af te schermen van de buitenwereld, zorg je er voor dat de kans kleiner wordt dat deze gegevens misbruikt kunnen worden.

18. Zet bestandsbewerking uit

WordPress heeft een ingebouwde bestandsbewerker. Wanneer een ongewenste gebruiker toegang krijgt tot jouw website, kan deze alle bestanden van plugsin & templates aanpassen.

19. Schakel de toegang tot XML-RPC uit

XML-RPC werd voorheen door WordPress gebruikt om vanaf afstand posts te plaatsen en bewerkingen op de website uit te voeren. Het wordt nu meestal niet meer gebruikt. Het is wel een veel-gebruikte ingang voor aanvallen op jouw website.

20. Schakel directory listing uit

Afhankelijke van jouw server-instellingen, kan het mogelijk zijn om bestandsmappen op jouw server te browsen door naar een link op jouw website te gaan: https://jouwdomein.nl/wp-includes.
Wanneer je deze link niet kunt benaderen, staat dit waarschijnlijk goed ingesteld.

21. Schakel PHP error reporting uit

Soms kan het zijn, wanneer je een WordPress website bezoekt, dat je meldingen te zien krijgt die je niet moet zien. Om er voor te zorgen dat dit niet gebeurt, moet PHP Error Reporting uitgeschakeld zijn.

22. Schakel WordPress versie-meldingen uit

Wanneer jouw WordPress versie uitgelezen kan worden, geeft dit ongewenste gebruikers mogelijk extra informatie over jouw gebruikte WordPress versie. Hierbij geldt: Hoe minder informatie, hoe beter.

23. Schakel security headers in

Security headers zorgen er voor dat aanvallen zoals click jacking of code injectie voorkomen worden. Je kunt de volgende headers instellen:

  • Content-Security-Policy (CSP)
  • X-Frame-Options
  • Scrict-Transport-Security (HSTS)
  • X-Content-Type-Option

24. Voer code-reviews door

Gebruik je custom code op jouw website? Zorg er dan voor dat je een developer deze laat controleren op mogelijke beveiligingslekken.

25. Volg een security training

Het kan leerzaam zijn om een training op het gebied van cyberveiligheid te volgen. Zeker als het gaat om het toepassen van best-practices, kan dit zeer nuttig zijn.

 

Disclaimer: Bovenstaande tips zorgen niet gegarandeerd voor een veilige website. Laat daarom altijd een check doen door een professional.

Benieuwd hoe jouw website scoort?
Laat een security check doen voor €99,-

Ik wil graag een security check!
© Copyright 2024 Wilje Online & Design - kvk: 70392935 | Algemene voorwaarden | Privacyverklaring | AVG – Verwerkersovereenkomst