Inleiding
Meer dan 28 miljoen live websites gebruiken nu WordPress. Hoewel het geweldig is om deel uit te maken van zo’n grote en actieve gemeenschap, maakt deze populariteit het platform een belangrijk doelwit voor kwaadwillende hackers.
Gelukkig kun je je site veel minder kwetsbaar maken voor aanvallen door enkele eenvoudige beveiligingstactieken te implementeren en regelmatig te controleren. Dit kan je helpen voorkomen dat je klanten, verkeer, inkomsten of vertrouwelijke informatie verliest als gevolg van een vermijdbare beveiligingsinbreuk.
In dit bericht bespreken we waarom het beschermen van je WordPress-site belangrijker is dan ooit. Vervolgens delen we een aantal van onze beste tips voor het verbeteren van de beveiliging van je site. Laten we beginnen!
1. Controle SSL certificaat en configuratie instellingen
Je kunt vanuit het cPanel account gemakkelijk en snel een SSL certificaat installeren onder het kopje ‘Let’s Encrypt. Voor extra veiligheid kan je ook een Sectigo certificaat via ons afnemen voor 18 euro per jaar, deze kan je bestellen vanuit het klantenpaneel.
Nadat je dit gedaan hebt is het echter handig om ook nog een stukje code toe te voegen aan het .htacces bestand welke je in de public_html van je website terugvind. Met onderstaande code zal het verbinden met SSL altijd geforceerd worden om zo te voorkomen dat dit mis gaat:
RewriteEngine on
RewriteRule ^.well-known - [L]
RewriteEngine on
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
2. Bescherm de database tegen SQL injectie aanvallen
Een hacker kan proberen toegang te krijgen tot je WordPress-account door kwaadaardige SQL-query’s in uw MySQL-database te injecteren. Hackers kunnen deze SQL-injectie-aanvallen lanceren via elke inhoud die gebruikersinvoer accepteert. Dit omvat veel nietjes op de website, zoals commentaar secties en contactformulieren.
Aangezien MySQL kwetsbaar is voor injectieaanvallen, is het belangrijk om je database up-to-date te houden. Het is ook belangrijk om de MySQL-database te beschermen met een sterk wachtwoord dat geen verbinding heeft met uw website, bedrijf of als individu. Hier kan het helpen om een wachtwoord generator te gebruiken, zoals bijvoorbeeld Strong Random Password Generator of LastPass.
Tot slot kan het ook nog helpen om binnen het cPanel account onder ‘Databases’ de database naam unieker te maken en ook anders te laten zijn als de database gebruiker, hiermee zou het al weer iets lastiger worden voor een hacker om alle gegevens te verkrijgen of weten.
3. Verwijder de WordPress thema editor
Standaard kun je je thema wijzigen met behulp van de ingebouwde thema-editor van WordPress. Hoewel dit handig is voor het maken van aangepaste thema’s, is het ook een manier voor hackers om schadelijke code in de website te injecteren.
Als je de thema-editor niet nodig hebt, kun je overwegen deze uit te schakelen. Hiervoor moet je de code van uw website bewerken, dus we raden aan een snapshot back-up te maken voordat je doorgaat. Dit kan binnen cPanel onder JetBackup.
Om de editor uit te schakelen, moet je verbinding maken met de server via een FTP-client of vanuit cPanel in de File Manager. Je kunt dan het wp-config.php- bestand openen en het volgende toevoegen na de regel met de tekst “Dat is alles, stop met bewerken! Veel plezier met publiceren”:
define( 'DISALLOW_FILE_EDIT', true );
Sla de wijzigingen op en de thema-editor verdwijnt van het WordPress-dashboard. Als je de thema-editor op enig moment moet herstellen, maak je eenvoudig verbinding met de server via FTP en verwijdert je de regel DISALLOW_FILE_EDIT- code.
4. Gebruik plugins en thema's veilig
WordPress heeft enorme mappen met thema’s en plug-ins die je kunnen helpen bij het maken van prachtige, veelzijdige websites. Deze extensies van derden kunnen je site echter ook kwetsbaar maken voor aanvallen. In 2019 was 97,2 procent van de WordPress-kwetsbaarheden gerelateerd aan plug-ins.
Om je website te helpen beschermen, moet je alleen plug-ins van betrouwbare bronnen installeren. Waar mogelijk raden we aan om de officiële WordPress Plugin Repository te gebruiken, omdat deze strikte beveiligingsrichtlijnen heeft. Als alternatief kan je ook betaalde plugins met gecontroleerde ontwikkelaars op websites als bijvoorbeeld CodeCanyon.
We raden ook aan om de beoordelingen van de software te controleren, met name de meest recente. Een golf van negatieve opmerkingen kan wijzen op een beveiligingsprobleem met de nieuwste release.
Thema’s en plug-ins voegen ook code toe aan je site, die kwetsbaarheden kan bevatten. Een verantwoordelijke ontwikkelaar zal hard werken om eventuele mazen in de beveiliging te dichten die in hun thema of plug-in zijn ontdekt, en zal vaak een update uitbrengen die een oplossing bevat voor recent ontdekte kwetsbaarheden. Om deze reden is het belangrijk om je thema’s en plug-ins up-to-date te houden.
Uit onderzoek blijkt dat circa 87% van de sites wordt gehackt vanwege verouderde software. Om dit risico te minimaliseren is het belangrijk updates te installeren zodra ze beschikbaar zijn, hiervoor kan je eventueel ook het onderhoud aan Hoasted uitbesteden.
Op een gegeven moment heb je misschien niet langer een bepaald thema of bepaalde plug-in nodig. Als u de software in kwestie gewoon deactiveert, kunnen hackers mogelijk nog steeds de code ervan misbruiken. Hackers richten zich bijvoorbeeld vaak op individuele PHP-bestanden binnen een specifieke plug-in.
Als u het thema of de plug-in gewoon deactiveert, blijven die PHP-bestanden toegankelijk en kunnen ze dus nog steeds worden misbruikt. Dit betekent dat het cruciaal is om extensies te verwijderen die u niet langer nodig heeft.
5. Overweeg XML-RPC uit te schakelen
Pingbacks zijn een manier om andere websites op de hoogte te stellen dat je naar hun inhoud hebt gelinkt, en vice versa. Standaard zijn ze ingeschakeld in WordPress. Hoewel deze functie het gemakkelijker kan maken om te reageren op opmerkingen waarin de site wordt genoemd, kan het de website ook kwetsbaarder maken voor DDoS-aanvallen.
WordPress-pingbacks worden mogelijk gemaakt door de XML-RPC-interface . Een aanvaller kan deze functie echter gebruiken om je site te bombarderen met pingbacks. Dit kan de server overbelasten en je site zelfs offline halen. Om deze reden kun je overwegen de XML-RPC-interface uit te schakelen met behulp van de REST XML-RPC Data Checker .
Als u besluit om pingbacks uit te schakelen, installeer en activeer deze plug-in dan in je WordPress-dashboard. Navigeer vervolgens naar Instellingen > REST XML-RPC Data Checker . Selecteer vervolgens het tabblad XML-RPC en kies XML-RPC API-interface uitschakelen.
Nu hoef je alleen de wijzigingen op te slaan en pingbacks worden uitgeschakeld voor je website. Als je geen plug-in wilt gebruiken, kan je alle inkomende XML-RPC-verzoeken blokkeren voordat ze aan uw site worden doorgegeven.
Conclusie
Als een van ’s werelds meest populaire Content Management Systemen, zijn hackers altijd gretig om kwetsbaarheden in WordPress-thema’s, plug-ins en core te ontdekken. Als een kwaadwillende derde partij erin slaagt een beveiligingslek te identificeren, kunnen ze deze mogelijk gebruiken om aanvallen uit te voeren op miljoenen WordPress-websites, waaronder die van jou.
Door enkele eenvoudige veiligheidsmaatregelen te volgen, kun je je site onmiddellijk minder kwetsbaar maken voor aanvallen. Het is belangrijk om met de basis te beginnen door al uw thema’s en plug-ins zorgvuldig te controleren en een SSL-certificaat te installeren. Als je eenmaal een sterke basis hebt, raden we je aan om daarna pas eventuele optionele en geavanceerdere beveiligingstactieken te verkennen.
Zit je nog met vragen naar aanleiding van deze blog dan wel over iets geheel anders? Neem gerust contact met ons op of plan een terugbel verzoek in. Wij zullen je op werkdagen en tijdens kantoor uren dan doorgaans binnen een half uur bij je terugkomen!