Veiligheid WordPress

Wat is WordPress?

WordPress is een Content Management System (CMS) welke wordt gebruikt om websites te beheren. Omdat WordPress veel wordt gebruikt en open source is, is het kwetsbaar voor (geautomatiseerde) aanvallen van buitenaf. Derden kunnen proberen uw site op deze manier te gebruiken voor het plaatsen van links om hun eigen Google rankings te verhogen of spam en virussen te verspreiden. Het is daarom belangrijk dat u, als u WordPress gebruikt, extra maatregelen neemt om uw website te beschermen tegen deze aanvallen.

De admin-omgeving beschermen met een .htaccess bestand

U kunt uw WordPress wp-admin pagina beschermen met een .htaccess bestand. Met dit bestand kunt u de toegang tot uw wp-admin pagina beperken tot gebruikers vanaf een vertrouwd IP adres. U kunt een .htaccess bestand aanmaken in kladblok en de volgende inhoud plaatsen:

order deny,allow
deny from all
allow from 213.133.47.254

Zoals u hier ziet, zal uw administratiepagina alleen op te vragen zijn vanaf het IP-adres 213.133.47.254. Om uzelf weer toegang te verschaffen zult u het .htaccess-bestand moeten aanpassen. U moet het .htaccess-bestand bewerken en uw eigen IP adres invullen, waarna u het .htaccess-bestand weer terugplaatst op dezelfde plek in uw FTP account.

Als u niet weet welk IP adres u moet invullen, kunt u uw IP adres vinden op onder andere http://www.watismijnip.nl. U vindt uw eigen IP boven aan de pagina:

veiligheid wordpress

Benadert u uw admin-pagina vanaf meerdere verschillende locaties? Het is mogelijk om meer dan één IP-adres in het bestand op te nemen, gescheiden door een spatie.

Bijvoorbeeld:

order deny,allow
deny from all
allow from 213.133.47.254 1.1.1.1 2.2.2.2 3.3.3.3

Na het aanpassen en uploaden van uw .htaccess-bestand kunt u weer op uw administratiepagina inloggen.

U kunt het bestand ook afsluiten met behulp van een extra wachtwoord. Voor het afsluiten van mappen kunt u bij Unix pakketten gebruik maken van de informatie en de invulvelden op:

www.<domein>/cgi-bin/htaccess.cgi

Als de beveiliging niet juist wordt doorgevoerd of wordt verwijderd, dan loopt uw website gevaar en bestaat het risico dat wij genoodzaakt zijn uw website te blokkeren.

Inlognaam, wachtwoord en table prefix bij installatie

Wanneer u een WordPress website aanmaakt, wordt bij de installatie automatisch de inlognaam admin meegegeven. Het is raadzaam om dit direct te wijzigen omdat hackers bij hun inlogpogingen vaak proberen om met deze inlognaam in te loggen. Kies daarbij direct voor een sterk wachtwoord. Een sterk wachtwoord bevat kleine letters, hoofdletters en speciale karakters.

Alle tabellen in de database bij een WordPress-website bevatten standaard de prefix (toevoeging) wp_ en dat weten kwaadwillenden. Pas dit bij de installatie direct aan, omdat een aanpassing nadat de website is geïnstalleerd veel lastiger door te voeren is.

Uitkijken met plugins

Een van de grote voordelen van het gebruik van WordPress is de flexibiliteit met thema’s en plugins. Zo kunt u met weinig technische kennis toch een website zelf onderhouden. Let er wel op dat u niet zomaar plugins installeert. Bedenk voordat u een nieuwe plugin installeert eerst altijd of het probleem dat u probeert op te lossen, ook te verhelpen is zonder plugin. Is dat niet mogelijk, download plugins dan altijd vanaf de officiële WordPress plugin website. Vermijd torrents, deze bevatten vaak schadelijke bestanden. Let bij de keuze voor de plugin op een aantal zaken:

  • Wanneer is de laatste update geweest? Een plugin die niet of nauwelijks onderhouden wordt kan beter niet gebruikt worden. WordPress – en het internet in het algemeen – is continu aan ontwikkeling onderhevig. Het komt daarom voor dat plugins onveilig worden en kwaadwillenden zich via een lekke plugin toegang verschaffen tot uw website.
  • Hoe wordt de plugin door anderen gewaardeerd? Plugins kunnen een waardering krijgen – van 1 tot 5 sterren – van gebruikers. Indien een lage rating staat bij een plugin, mankeert er vaak iets, is hij lastig in gebruik of enkel voor een hele specifieke toepassing geschikt.
  • Op hoeveel websites is de plugin actief? Een indicator van een goede plugin is dat veel andere gebruikers deze ook actief gebruiken op hun website.

Valt een plugin in positieve zin op omdat hij vaak gebruikt wordt, regelmatig updates krijgt en hoog wordt gewaardeerd door andere gebruiker? Dan is het vaak geen probleem om de plugin in gebruik te nemen. Valt een van bovenstaande zaken in minder positieve zin op? Bekijk dan goed of u het verstandig acht om deze te gebruiken. Lees voor de zekerheid de inhoud van de reviews van anderen en kijk ook op de support-pagina of de developer antwoord geeft op vragen.

Gebruik two-factor authentication

Met gestolen of onderschepte inloggegevens wordt vaak ‘ingebroken’ op systemen. Criminelen gebruik social engineering (je voordoen als iemand anders), phishing, malware en andere methodes om gebruikersnamen en wachtwoorden te achterhalen.

Om dit probleem tegen te gaan kan two-factor authentication ingezet worden. Met deze techniek wordt naast de gebruikelijke inloggegevens nog een andere code gegenereerd, via een app of sms, die ook ingevuld moet worden. Banken gebruiken deze methode ook, wanneer je een betaling doet via internetbankieren. Dit is een effectief middel om criminelen op afstand te houden.

Met de Google Authenticator for WordPress plugin kunt u gratis gebruik maken van two-factor authentication voor uw website. Een app op uw telefoon geeft u een extra inlogcode die u moet invoeren voor u succesvol ingelogd bent.

Update plugins en thema’s

Het klinkt wellicht als een open deur, maar veel website-eigenaren installeren WordPress eenmaal, configureren hun website en loggen vervolgens nooit meer in op de omgeving. WordPress is software en software moet onderhouden worden. Er komen updates beschikbaar voor extra functionaliteit, verhoogde mate van security of omdat er ‘gaten’ in de software zitten; code die niet goed geschreven is waardoor anderen er misbruik van kunnen maken. Dit kon op moment van schrijven wellicht goed geweest zijn, maar door nieuwe inzichten achterhaald zijn.

Zorg ervoor dat u plugins updatet wanneer deze beschikbaar komen. Er zijn gratis monitoringtools beschikbaar die u waarschuwen wanneer er nieuwe updates zijn en waarmee u met één klik alle updates direct doorvoert. In zo’n tool kunt u al uw omgevingen beheren waardoor het niet meer nodig is voor iedere WordPress website apart in te loggen.

Security door Internedservices

Op onze shared-hosting omgeving hebben wij een mechanisme geïmplementeerd die mislukte login-pogingen naar WordPress sites kan detecteren. Als wij een IP-adres verdacht vaak een mislukte inlog poging zien doen, dan blokkeren wij dat IP-adres gedurende een bepaalde periode onze servers. Op die manier houden wij dagelijks tienduizenden pogingen per uur tegen. Daarnaast blokkeren wij veel gebruikte scripts die gebruikt worden om sites geautomatiseerd te hacken.