Bijna de helft van alle websites heeft tegenwoordig WordPress als basis. Dat maakt dit ‘content management systeem’ bij uitstek aantrekkelijk voor hackers. 100 procent veiligheid is niet te doen, maar met vijf eenvoudig door te voeren beveiligingsmaatregelen is al veel te bereiken.

Toen WordPress in 2003 werd uitgebracht, was het vooral bedoeld om mensen zonder kennis van programmeren een ‘blog’ te laten maken. Maar tegenwoordig maken ook de grootste organisaties gebruik van het inmiddels populairste CMS. Volgens W3Tech, wordt WordPress inmiddels gebruikt door 65,2 procent van alle websites met een content management systeem. Dit is 42,4 procent van alle websites. Deze populariteit is mooi, maar brengt ook gevaren met zich mee. Doordat WordPress zoveel gebruikers heeft is het ook een aantrekkelijk doelwit voor mogelijke hackers en andere kwaadwillenden. Het is dus enorm belangrijk om de beveiliging van de WordPress-website op orde te hebben. Met vijf tips zijn het makkelijkste een aantal effectieve quick wins te bereiken.

Tip 1: Verander de admin-URL
WordPress maakt bij een nieuwe installatie een standaard URL aan waarmee de beheerder kan inloggen. Die is: domeinnaam.nl/wp-admin/. Voor hackers is dit vaak het eerste potentiële doelwit. Door deze URL te veranderen worden aanvallen al een stuk moeilijker gemaakt. De URL is in de code aan te passen, maar het kan ook met een plug-in zoals WPS hide login.

Tip 2: Neem betrouwbare hosting
Een goede webhoster voorkomt al veel potentiële aanvallen. Door op de server beveiligingsmaatregelen te nemen die bad-bots blokkeren, rechten & rollen goed te zetten, firewalls te installeren en actief te monitoren is een hoster preventief bezig op het vlak van beveiliging. Mocht er onverhoopt toch iets mis gaan, dan heeft een betrouwbare en goede webhoster ook een uitgekiende backup-strategie waar altijd gebruik van is te maken.

Tip 3: Update tijdig
De WordPress-core en de vele plug-ins die te installeren zijn, worden regelmatig voorzien van een update. De meestvoorkomende reden voor deze updates zijn de ontdekking van beveiligingslekken. Het is daarom belangrijk om, als er updates zijn, deze zo snel mogelijk te installeren. Let wel op: maak altijd even een back-up van de installatie/bestanden voor het geval de update niet goed gaat. Dan is een back-up altijd weer terug te zetten naar de laatst werkende installatie. Het gebeurt bijvoorbeeld wel eens dat plug-ins de nieuwste versie van WordPress nog niet ondersteunen, waardoor delen van de website niet meer werken.

Tip 4: Two factor authentication (2FA)
Two factor authentication (2FA) ook wel tweestaps-verificatie genoemd is echt aan te raden. Standaard logt de beheerder in met een gebruikersnaam en wachtwoord. Veel veiliger is het als ook nog een extra methode wordt toegepast. Hiervoor bestaan verschillende mogelijkheden. Tijdens het inloggen wordt bijvoorbeeld een SMS gestuurd met een inlogcode. Handiger nog is het gebruik van een authenticator app. Naast de gebruikersnaam en het wachtwoord moet dan ook een code worden ingevoerd, die elke minuut verandert.

Tip 5: Limit Login Attempts
De laatste goede methode is het beperken van het aantal pogingen dat iemand mag doen om in te loggen. Veel hackers proberen via zogenaamde ‘brute force’-aanvallen het wachtwoord te achterhalen. Dat gaat vooral makkelijk als ‘admin’ als gebruikersnaam wordt gebruikt. Zonder beperking van het aantal inlogpogingen, kunnen talloze wachtwoorden per seconde worden uitgeprobeerd. Door een inloglimiet in te stellen, bijvoorbeeld met de plug-in Limit Login Attempts Reloaded moet bijvoorbeeld na elke drie pogingen een minuut of langer worden gewacht.

Een website is nooit 100 procent veilig. Maar de grootste risico’s zijn eenvoudig af te dekken. Doe dit dan ook zeker, want een gehackte website kost enorm veel tijd (en geld) om te herstellen. Gebruik vooral je gezonde verstand en zorg dat alles netjes up-to-date is!