Hoe bescherm ik mijn WordPress website?
Leer in dit artikel hoe jij jouw WordPress website beter beschermt met de gratis plugin All In One WP Security & Firewall.
WordPress is het populairste Content Management Systeem en de motor achter zo’n 35% van alle websites wereldwijd. Mede omdat het zo’n enorm populair systeem is, is het ook een groot doelwit voor kwaadwillenden en om die reden is het belangrijk om je website up to date te houden en te beschermen.
Wil je meer te weten komen over het (automatisch) updaten van WordPress, de WordPress plugins en thema’s? Lees dan dit artikel.
Vermoed je dat je website gehackt is? Lees dan dit artikel waar we stap voor stap uitleggen wat je moet doen indien je WordPress website gehackt is.
Wil je weten welke vijf plugins je moet installeren om je WordPress beveiliging helemaal op orde te brengen? Lees dan dit artikel.
Keuze stress?!
Er zijn duizenden beveiligings plugins beschikbaar en je ziet al snel door de ?? het bos niet meer. Er zijn plugins met specifieke taken zoals het limiteren van het aantal log-in pogingen of het toevoegen van twee factor authenticatie én plugins die breder inzetbaar zijn en de beveiliging van je website op meerdere fronten verbeteren. In onderstaand artikel ligt de focus op één breed inzetbare plugin, in dit artikel vertellen wij je met welke vier andere plugins jij je WordPress beveiliging helemaal op orde kan brengen.
Een stabiele Basis: All In One WP Security & Firewall
Er zijn wat ons betreft drie plugins die met kop en schouders boven de rest uitspringen en je een stabiele basis geven om je WordPress website te beschermen:
All In One WP Security & Firewall (AIOWPS) | WordFence Security | Sucuri Security | |
Realtime scanner | ❌ | ✔️ | ✔️ |
Firewall | ✔️ | ✔️ | ✔️ |
Beveiligings tweaks | ✔️ | ✔️ | ❌ |
Cloud bescherming | ❌ | ❌ | ✔️ |
Prijs per jaar | gratis | gratis versie, daarna €80 | gratis basale versie, daarna €160 |
Alle drie de plugins zijn wat ons betreft een goede keuze maar onze voorkeur gaat uit naar AIOWPS ?.
All In One WP Security & Firewall, wat we vanaf nu dus AIOWPS noemen, bied enorm veel en is ook nog eens volledig gratis. Als ‘Real-time Firewall Rule Updates’ belangrijk voor je zijn kies dan voor de betaalde variant van de WordFence Security plugin. Wil je hulp kunnen inschakelen bij het verwijderen van malware en daarnaast ook nog bescherming tegen DDOS aanvallen, dan is de betaalde versie van de Sucuri Security plugin voor jou.
Aan de slag met AIOWPS
Zorg voordat je verder gaat dat je genoeg tijd hebt. Je gaat ongeveer een uur nodig hebben.
Installeer vervolgens de AIOWPS plugin in WordPress. Weet je niet precies hoe je een plugin installeert? Geen probleem, in dit artikel leggen we uit hoe je in minder dan twee minuten een plugin installeert.
Na installatie van de AIOWPS plugin is er in je WordPress dashboard een extra menu optie bijgekomen met de naam ‘WP Beveiliging’. Klik daarop om naar het AIOWPS dashboard te gaan, klik gerust even rond om jezelf met de plugin bekend te maken!
Erg tof aan AIOWPS is het dashboard met de verschillende metertjes en punten score die je precies vertellen of je qua beveiliging goed op weg bent! In onderstaande schermafbeelding is de beveiliging duidelijk nog niet op orde.
Wanneer je de plugin net geïnstalleerd hebt, heb je net als in ons voorbeeld hierboven, waarschijnlijk zo’n 40 van de 515 punten. Daar gaan we snel verandering in brengen! Na het doorlopen van onderstaande stappen zal je 420 van de 515 punten behaald hebben. Lukt het jou om een nog hogere score te halen?
Instellingen
Het is belangrijk dat je een back-up maakt van belangrijke gegevens voordat je verder gaat. Klik in het instellingen menu op de drie linkjes om de back-ups te maken.
- Maak een back-up van je database
- klik daarna op ‘Maak DB Backup’
- Maak een back-up van je .htaccess bestand
- klik daarna op ‘Back-up .htaccess bestand’
- Maak een back-up van je wp-config.php bestand
- klik daarna op ‘Backup wp-config.php bestand’
Ga pas verder nadat de backups gemaakt zijn!
Gebruikers accounts
Het hebben van een administrator gebruiker met de naam ‘admin’ is onveilig, wijzig de admin gebruikersnaam hier naar iets ingewikkelders.
-> 15 punten
Gebruiker login
Een van de manieren waarop hackers proberen websites te compromitteren is via een ‘Brute Force Login’ aanval. Dit is waar aanvallers herhaalde inlogpogingen gebruiken totdat ze een wachtwoord raden. Afgezien van het kiezen van sterke wachtwoorden is het controleren en blokkeren van IP-adressen die in korte tijd dit proberen een zeer goede manier om dit soort aanvallen te stoppen.
Vink ‘Gebruik login blokkade’ aan om deze beveiliging te activeren.
-> 20 punten
Gebruiker login -> Forceer gebruiker uitlog opties
Vink ‘Forceer gebruiker loguit’ aan om ervoor te zorgen dat een ingelogd administrator gebruiker na een bepaalde periode automatisch uitgelogd wordt.
-> 5 punten
Gebruiker registratie
Als jouw website bezoekers in staat stelt om een eigen account aan te maken via het WordPress registratie formulier, kun je spam of valse registraties minimaliseren door elke registratie handmatig goed te keuren. Met deze functie wordt automatisch een nieuw geregistreerde account ingesteld op “In behandeling” totdat de beheerder deze activeert. Ongewenste gebruikers kunnen daarom niet inloggen zonder je uitdrukkelijke toestemming.
Vink ‘Handmatig goedkeuren van nieuwe registraties aanzetten’ aan om deze beveiliging te activeren.
-> 20 punten
Gebruiker registratie -> Registratie-captcha
Vink ‘Captcha op registratiepagina instellen’ aan als je een captcha-formulier wilt weergeven op de WordPress registratiepagina (als je gebruikersregistratie toestaat) registraties door robots tegen te gaan.
-> 20 punten
Gebruiker registratie -> Registratie honeypot
Deze optie voegt een ‘honeypot’ veld toe op de WordPress registratie pagina. Een dergelijk veld is alleen zichtbaar voor robots en niet voor mensen. Omdat robots meestal elk veld in een formulier invullen zullen ze ook dit verborgen veld invullen en houden we hiermee registratie door robots nog verder tegen.
Vink ‘Gebruik honeypot op registratie pagina’ aan.
-> 10 punten
Database beveiliging
Het is belangrijk dat kwaadwillenden zich geen toegang tot de database van je website kunnen verschaffen. Een manier om een laag van bescherming voor de database toe te voegen is om de standaard WordPress tabel voorvoegsel te veranderen van “wp_” in iets dat moeilijker door hackers te raden is.
Vink ‘Nieuwe database prefix aanmaken’ aan om deze beveiliging te activeren.
-> 10 punten
Database beveiliging -> DB back-up
Het is verstandig om periodiek een back-up te maken van de WordPress database zodat deze beschikbaar is in het geval van problemen. Vink ‘Gebruik ingeplande Back-ups’ aan en stel ‘Back-up intervaltijd’ in op bijvoorbeeld 2 dagen. Vergeet ook niet om ‘Vink dit aan als je wilt dat het systeem aan jou het back-up bestand per e-mail stuurt nadat een DB back-up is uitgevoerd’ aan te vinken zodat je een e-mail ontvangt wanneer een back-up gemaakt is.
-> 20 punten
Bestand beveiliging
Het is belangrijk dat de lees en schrijf rechten voor alle bestanden en mappen goed ingesteld staan, zodat kwaadwillenden niet zomaar bestanden kunnen plaatsen of aanpassen.
Klik waar nodig op ‘Aangeraden Toestemming Instellen’.
-> 20 punten
Bestand beveiliging -> PHP bestand bewerken
Vink ‘PHP bestand bewerker uitzetten’ aan om de mogelijkheid uit te schakelen om PHP bestanden via het WordPress dashboard te bewerken.
-> 10 punten
Bestand beveiliging -> WP bestand toegang
Vink ‘Toegang tot WP bestand blokkeren’ aan om de toegang tot standaard voorbeeldbestanden van WordPress te blokkeren.
-> 10 punten
Firewall
Het hebben van een WAF (of Web Application Firewall) is belangrijk om met behulp van bepaalde algoritmes kwaadwillenden buiten de deur te houden.
Vink ‘Standaard Firewall Bescherming Gebruiken’, ‘Volledig blokkeren toegang tot XML-RPC’ en ‘Blokkeer de toegang tot debug. log bestand’ aan.
-> 40 punten
Firewall -> Extra Firewall regels
Om ervoor te zorgen dat kwaadwillenden niet alle bestanden binnen een media map kunnen zien of bijvoorbeeld via een proxy, reacties kunnen plaatsen vink je alle vinkjes op deze pagina aan: ‘Index weergaven uitschakelen’, ‘Trace and Track Uitzetten’, ‘Reactie Plaatsen Via Proxy Blokkeren’, ‘Ongeldige query tekenreeksen’ en ‘Geavanceerd karakter tekst filter’.
-> 55 punten
Firewall -> 6G Blacklist Firewall-regels
Jeff Starr ontwikkeld al jaren regels die door iedereen gratis gebruikt kunnen worden om malafide aanvragen, slechte robot(zoekmachines) en spam verwijzigingen te blokkeren.
Vink ‘6G Firewall Bescherming inschakelen’ aan om hiervan gebruik te maken.
-> 20 punten
Firewall -> Internet Bots
Een bot is een stukje software dat draait op het Internet en dat automatisch taken uitvoert. Bijvoorbeeld wanneer Google je pagina indexeert wordt gebruik gemaakt van automatische bots. Veel bots zijn legitiem en niet kwaadaardig, maar regelmatig kom je er een aantal tegen die proberen om legitieme bots zoals “Googlebot” te imiteren. In werkelijkheid hebben ze helemaal niets te maken met Google. Met deze functie kun je bots die zich voordoen als een Googlebot, maar eigenlijk niet zijn, blokkeren.
Vink ‘Blokkeer Namaak Googlebots’ aan
-> 5 punten
Firewall -> Hotlinks Voorkomen
Een Hotlink is wanneer iemand een afbeelding op hun site weergeeft die op jouw site staat door het toevoegen van een directe link naar de afbeelding op jouw server. Als je hier niet op zit te wachten vink je ‘Voorkom afbeelding hotlinken’ aan.
-> 10 punten
Firewall -> 404 Detectie
Er treedt een 404- fout (een “niet gevonden” pagina) op wanneer iemand probeert een niet-bestaande pagina op je website te openen. Meestal gebeuren de meeste 404- fouten vrij onschuldig wanneer bezoekers een adres verkeerd hebben getypt of een oude link naar een pagina hebben gebruikt die niet meer bestaat. In sommige gevallen kun je echter veel herhaalde 404 fouten vinden die zich in een relatief korte tijdspanne voordoen en van hetzelfde IP adres die allemaal proberen toegang te krijgen tot een verscheidenheid aan niet-bestaande pagina URL’s. Dergelijk gedrag kan betekenen dat een hacker om een sinistere reden een bepaalde pagina of URL probeert te vinden.
Vink ‘Schakel 404 IP detectie en vergrendeling in’ aan
-> 5 punten
Tijd voor koffie (of thee)
We zijn, qua punten, ongeveer halverwege. Neem even een momentje voor jezelf.
Wist je dat over de ontdekking van koffie verschillende legenden bestaan? Één hiervan gaat over een herder genaamd Kaldi. Hij zag dat zijn geiten na het eten van bepaalde bessen erg opgewonden werden. De herder plukte er een aantal van, kookte ze en verkreeg hierdoor een aftreksel met een tot dan toe onbekende geur. Die drank was bitter, maar gaf ook een gevoel van voldoening en helderheid van geest.
Brute Force
Met ‘Brute Force’ wordt bedoeld ‘veelvuldig en hardhandig proberen’. Zo kunnen kwaadwillenden bijvoorbeeld met behulp van Brute Force proberen een wachtwoord te raden door heel snel met heel veel verschillende wachtwoorden proberen in te loggen.
Brute Force -> Brute Force voorkomen met Cookies
Een effectieve manier om Brute Force tegen te gaan is het veranderen van de standaard WordPress login pagina URL.
Vink ‘Brute Force Aanvallen Voorkomen’ aan én vul bij ‘Geheim Woord’ iets in wat alleen voor jou of jullie makkelijk te onthouden is.
Nadat je geklikt hebt op ‘Instellingen Opslaan’ verschijnt een boodschap in beeld met de URL die je vanaf nu moet gebruiken om toegang te krijgen tot het WordPress Dashboard.
Let op: Sla deze link op in je bladwijzers! De link ziet er als volgt uit: https://www.janjansen.nl/?supergeheimwoord=1
-> 20 punten
Brute Force -> Login Captcha
Een ‘captcha’ is een woord wat ingevuld of een afbeelding die herkend moet worden en wordt gebruikt om robots buiten de deur te houden.
Vink ‘Captcha Gebruiken Op Login Pagina’, ‘Captcha Gebruiken Op Wachtwoord Vergeten Pagina’ en ‘Gebruik Captcha Op Eigen Login Formulieren’ aan.
-> 50 punten
Brute Force -> Login Whitelist
Het instellen van een ‘login whitelist’ is erg effectief omdat deze optie gebruikers de toegang tot het login scherm weigert voor alle IP adressen die niet ingevuld zijn.
Let op: Ga voorzichtig te werk en schakel dit niet in indien je niet zeker bent.
We raden aan om ‘IP Whitelist Gebruiken’ aan te vinken en ‘Jouw Huidige IP Adres’ te kopiëren naar het veld ‘Vul Whitelisted IP-adres in’.
Daarnaast raden we aan om tenminste een tweede ip adres toe te voegen, bijvoorbeeld van een collega.
Klik vervolgens op ‘Bewaar instelingen’ om de whitelist te activeren.
-> 15 punten
Brute Force -> Honeypot
Deze optie voegt een “honeypot” veld toe aan het WordPress login veld. Dit is alleen zichtbaar voor robots en niet voor mensen. Omdat robots meestal elk veld in een formulier invullen zullen ze ook het verborgen honeypot veld invullen.
Vink ‘Honeypot Gebruik Op De Login Pagina’ aan
-> 10 punten
SPAM voorkomen
SPAM voorkomen -> Reactie SPAM
Vink ‘Schakel Captcha op opmerkingen formulier in’ en ‘Block Spambots voor het plaatsen van commentaar’ in om spam commentaar op je website pagina’s tegen te gaan.
-> 30 punten
Scanner
Vink ‘Automatische detectie van bestandswijzigingen inschakelen’ aan om periodiek alle bestanden te scannen op wijzigingen. Als ‘Scan Tijdinterval’ kun je bijvoorbeeld 2 dagen instellen. Vink ook ‘Vink dit aan als je een e-mail wil ontvangen als een bestand is veranderd’ aan zodat je per e-mail geïnformeerd wordt wanneer een bestand gewijzigd is.
Vervolg stappen
Je WordPress website heeft qua beveiliging nu een hele goede basis! Als je gelijk door wilt pakken raden wij de volgende twee artikelen aan:
- Schakel met behulp van dit artikel automatische updates in voor WordPress, de WordPress plugins en je thema.
- En in dit artikel vind je de vijf plugins die je nodig hebt om je beveiliging helemaal op orde te maken.