Ik maak websites die zelf bij te houden zijn.

Geplaatst: 5 jaar geleden

WordPress beter beveiligen

Een artikel over hoe je wordpress beter kan beveiligen.

WordPress is een groot CMS dat veel wordt bijgewerkt. Nadeel van zijn grootte is dat hij erg aantrekkelijk is voor “hackers”. We willen natuurlijk geen vreemden toegang geven tot ons systeem. Een poosje terug kreeg ik van een grote klant de vraag of er een paar zaken aangepast konden worden op zijn website, hij had namelijk last van aanvallen op zijn server. Ik kwam de volgende plugin tegen die ik graag met jullie wil delen.

 

Better WP Security

Een plugin die vrij eenvoudig zelf in te stellen is. Je kan hem vinden via deze link, maar je kan hem ook gewoon zoeken via “Plugins”. Als je hem niet kan vinden heeft dat te maken dat ze hun naam hebben veranderd, zoek dan even op “iThemes Security”.

Na de installatie kan je de plugin benaderen via het kopje “Security” aan de linkerkant. De plugin vraagt als eerste of je een back-up wil maken van je database. Uiteraard is dit verstandig om te doen. De volgende stap is het beveiligen van de site zelf. De voorkeur zal in de meeste gevallen uit gaan naar de keuze “Secure My Site From Basic Attacks”.

One Click Protection

Deze optie is de makkelijkste manier om zelf zonder enige kennis je Website veiliger te maken. Zoals hier onder te zien is, is de website in dit voorbeeld nog niet geoptimaliseerd. Het mooiste is om alle punten in het groen te krijgen, echter is dit niet voor elke website nodig. Ik neem de belangrijkste zaken door.

Aan de hand van een paar simpele stappen kan jij je WordPress website beveiligen

Op naar de verbetering

De belangrijkste punten om een Brute-force aanval tegen te gaan (in mijn ogen de meest voorkomende manier van “hacken” van WordPress Websites) is door de punten 4,5,6 en 14 aan te pakken. Ik neem ze voor de zekerheid toch samen even door.

4. Het “admin” account bestaat nog steeds

Voor hackers is het makkelijk om na te gaan dat de meeste WordPress Websites het “admin” account gebruiken. Een brute force (of dictionary¬† attack) wil eigenlijk zeggen dat de hacker constant probeert om het wachtwoord te “gokken”. Omdat hij er vrij zeker van kan zijn dat “admin” de gebruikersnaam is, maakt dit hem makkelijker. We kunnen dit oplossen door op “Click here to fix” te drukken. In het volgende overzicht kunnen we direct een andere gebruikersnaam invullen.

5. Er bestaat nog steeds een gebruiker met ID 1

In een database wordt informatie opgeslagen aan de hand van een nummer. Zo ook een gebruikersnaam. Zoals we bij het vorige punt al zagen is het erg logisch dat een “admin” een beheerdersaccount is. Hetzelfde geldt voor een ID met het nummer 1. Dit is het eerste aangemaakte account en dat is uiteraard een administrator. Ook dit probleem is makkelijk op te lossen door zelf een ander ID in te vullen.

6. Je database gebruikt wp_ als voorzetsel

De wordpress database wordt standaard geinstalleerd met “wp_” als voorzetsel. Dit maakt het makkelijk voor de hacker, om misbruik te maken van bepaalde lekken. Ook dit puntje kunnen we makkelijk oplossen en zorgt er voor dat onze website voor de “hacker” er steeds minder uit ziet als een standaard WordPress Website.

14. Je installatie kijkt niet of er bestanden worden aangepast

Stel dat een hacker een lek heeft gevonden in jouw website, kan hij deze misbruiken door wijzigingen te maken aan je huidige bestanden. Het is dus erg fijn als je op de hoogte gebracht kan worden als dit het geval is. Bij de opties van deze fix kan je instellen wanneer een verandering optreed.

Is mijn website nu echt veilig?

Heb je de smaak te pakken? Werk dan alle punten lekker af. Zo blijft er een maar een kleine kans dat jouw website “gehackt” kan worden. Zorg dat je updates netjes bijgehouden worden (WordPress, Thema en Plugins). Let er op dat betaalde thema’s die gratis aangeboden worden vaak vol zitten met lekken die misbruikt kunnen worden.

Ik wil mijn website laten onderzoeken!

Je hebt jouw website met alle punten bijgewerkt en je wil zien of je dat goed hebt gedaan of durf je het zelf niet aan? ElementMedia kan dit ook voor jouw website realiseren. Neem contact op voor de mogelijkheden.

Mijn WordPress website is gehackt.

Ik heb dit bij nog geen enkele klant mee mogen maken, maar bij geval van “hacks” kan ElementMedia ook helpen, ook als je geen bestaande klant bent.


Some HTML is OK