WordPress website beveiligen: een complete handleiding (2022)

WordPress website beveiligen

WordPress beveiliging is iets waar veel WordPress gebruikers weinig tot niet over nadenken.

“Waarom zou iemand mijn site willen hacken, zo groot en belangrijk ben ik toch niet?”

Een gedachte als deze slaat helaas de plank mis. De meeste hacks zijn geen persoonlijke aanvallen maar anonieme, geautomatiseerde scripts die niets geven om het belang van je site.

Hierom is WordPress website beveiliging voor iedereen van belang. Dit artikel vertelt je alles wat je moet weten over de kwetsbare punten die in WordPress zitten en wat je kan doen om je site zo goed mogelijk te beveiligen.

Waarom WordPress beveiliging belangrijk is

WordPress is de meest populaire CMS ter wereld. Meer dan een derde van het internet draait op WordPress, en in vergelijking met andere content management systemen zijn er een veelvoud van themes en plugins voor beschikbaar.

Maar hoge bomen vangen veel wind. Dankzij de populariteit van WordPress is het een populair doelwit voor hackers. Elke dag worden er meer dan 100.000 websites gehackt. Het leeuwendeel hiervan bestaat uit WordPress websites.

Gehackte sites per dag

Een voorbeeld, in december 2021 werden er binnen 36 uur 1,6 miljoen WordPress sites geraakt door 13,7 miljoen aanvallen. En dat waren alleen maar sites waar de beveiliging plugin WordFence op geïnstalleerd was.

Is WordPress überhaupt wel veilig om te gebruiken?

Als je dit zo leest vraag je je misschien af of WordPress eigenlijk wel een veilige keuze kan zijn voor je site. Vooral voor bedrijfswebsites.

Het antwoord is: ja. WordPress is in de kern een zeer veilig platform. Het WordPress beveiligingsteam bestaat uit grofweg 50 experts waaronder lead developers en beveiliging onderzoekers. WordPress wordt gebruikt door talloze enorme bedrijven, waaronder sites die met zeer gevoelige data omgaan. Met andere woorden, er staat op het spel voor dit soort partijen.

Dit is hoe het zit met de veiligheid van WordPress: de meerderheid van alle succesvolle WordPress hacks is te wijten aan nalatigheid van de gebruiker. En dat is precies waarom ik dit artikel in het leven heb geroepen.

Feit is dat dingen die verbonden met het internet zijn nooit compleet veilig kunnen zijn. De gehackte site statistieken van WordPress ogen misschien buitensporig hoog, maar bedenk je dat WordPress dan ook wordt gebruikt door een immens aantal gebruikers.

Dit is wat er kan gebeuren wanneer je site wordt gehackt

Dit zijn een paar mogelijke ellendige gevolgen van een gehackte site:

  • Er wordt malware op je site geïnstalleerd die je bezoekers kan infecteren
  • Je persoonlijke informatie kan gestolen worden
  • Je site kan gaan doorlinken naar de duisterste krochten van het internet
  • Je verliest Google rankings en inkomen

Geen van deze gevolgen klinkt aantrekkelijk, toch?

Vooral als je een zakelijk belang met je site gemoeid is, is het daarom cruciaal om je WordPress site zo goed mogelijk te beveiligen.

16 tips om je WordPress website te beveiligen

We beginnen in dit onderdeel met de tips die de grootste impact hebben op de beveiliging van je WordPress site. Door de eerste 5 tips te volgen ben je al beter beveiligd dan 99% van alle WordPress sites.

Volg de rest van de tips ook, en de kans dat je site ooit gehackt gaat worden zal praktisch verwaarloosbaar zijn.  

1. Bescherm je computer

Dit is iets waar de meeste mensen niet direct aan zullen denken als het gaat om WordPress beveiliging.

Wanneer je computer geïnfecteerd is met malware of een virus, kan dit overslaan naar je website wanneer je op je dashboard inlogt of bestanden upload.

Zorg daarom dat je op openbare WiFi netwerken altijd een VPN gebruikt, de software van je computer up-to-date houdt (zoals je OS) en je periodiek virus scans draait.

2. Kies webhosting die investeert in beveiliging

WordPress beveiliging speelt zich niet zich niet alleen af op website niveau: het is even belangrijk dat de server waar je site op staat ook goed beveiligd is. Dit is de verantwoordelijkheid van je hosting provider.

Sommige hosting providers staan berucht om hoeveel van de sites die ze onderbrengen worden gehackt. De grootste boosdoeners op dit vlak zijn partijen zoals GoDaddy, Bluehost en Hostgator. Providers zoals deze investeren mondjesmaat in hun beveiliging en zullen wanneer je site gehackt wordt, je vaak honderden euro’s vragen om dit weer op te lossen.

Een goede hosting provider gebruikt een veilige PHP-versie, houdt hun MySQL en Apache up-to-date, gebruikt firewalls en houdt hun systemen 24/7 in de gaten.

Daarnaast bieden dergelijke webhosts standaard automatische dagelijkse backups aan bij al hun hosting pakketten en draaien ze malware scans.

Een van de veiligste webhosts van Nederland is Cloud86. Je kunt meer over hen lezen in onze review.

En dit zijn een paar van de veiligste internationale WordPress hosting providers die je kunt kiezen:

  • Kinsta. Voor serieuze bedrijfswebsites voor wie website veiligheid extreem belangrijk is, er eigenlijk geen betere hosting provider dan Kinsta. Hun servers zijn 100% geoptimaliseerd voor WordPress (je kunt er alleen WordPress sites op installeren) en ze investeren meer in veiligheid dan praktisch iedere andere webhost. Kies voor Kinsta en de meeste beveiliging tips hieronder worden al automatisch voor je toegepast. Lees meer over Kinsta in onze review.
  • SiteGround. SiteGround is een beetje meer DIY op het gebied van beveiliging, maar het scheelt niet extreem veel. De provider maakt onder andere gebruik van hoogwaardige IDS/ISP systemen om kwaadaardige bots en aanvallers te blokkeren en heeft ModSecurity geïnstalleerd op al hun gedeelde servers. Lees meer over SiteGround in onze review.
Kinsta beveiliging

3. Gebruik sterke en unieke wachtwoorden bij iedere ingang van je site

Je WordPress website heeft talloze ingangen met inlognamen en wachtwoorden. Zorg dat je voor al deze ingangen sterke wachtwoorden gebruikt en dat ze allemaal verschillend van elkaar zijn. Zorg dat je dit doet voor:

  • Je WordPress dashboard
  • Je hosting account
  • Email adres
  • FTP accounts
  • Themes en plugins (wanneer van toepassing)
  • Alle andere dingen die met je site verbonden zijn

Zorg er hiernaast voor dat je je wachtwoorden met enige regelmaat veranderd.

Dit is iets wat je zelf kunt doen. Maar ikzelf laat m’n Chrome browser sterke wachtwoorden voor me genereren en opslaan voor iedere online account die ik heb om tijd te besparen. Je kunt ook een externe wachtwoord manager gebruiken zoals LastPass.

4. Hou alle software van je WordPress site ten alle tijden up-to-date

Als onderdeel van je WordPress onderhoud is het belangrijk dat je software altijd up-to-date is. Denk hier aan WordPress zelf, je WordPress theme en je plugins.

WordPress updates

In het algemeen – niet alleen met WordPress – ben je gevoelig voor malware en hacks wanneer achterhaalde software gebruikt.  

Je kunt automatische updates instellen voor WordPress (hoewel dit afhangt van je hosting provider), je theme en je plugins, zodat je hier zelf niet aan hoeft te denken.

Let op, door dit te doen loop je wel een (klein) risico dat er iets breekt op je site zonder dat je het door hebt. Hierom kiezen sommige mensen er voor om hun WordPress gerelateerde updates handmatig uit te voeren.

Zorg er ook voor dat je themes en plugins die je niet gebruikt van je site verwijderd.

5. Gebruik een beveiliging plugin

Er zijn een aantal WordPress beveiliging plugins waarmee je veel van de dingen die ik je aanraad in deze handleiding automatisch kunt laten doen.

Voor Start24 gebruiken wij SG Security. Andere goede opties zijn:

Je hebt maar een van deze plugins nodig. Ze doen grotendeels hetzelfde maar verschillen nét een beetje qua features. Ik raad je aan ze allemaal te onderzoeken om te kijken wat het beste past bij jouw kennis level en behoeftes.

6. Beperk gebruikers toegang

Als je WordPress website meerdere gebruikers heeft, zorg dan dat iedereen een rol krijgt toegewezen die niet meer toegang geeft dan ze nodig hebben.

WordPress biedt verschillende rollen aan, waaronder die van Super Admin, Administrator, Editor en Author. Je wilt bijvoorbeeld niet dat iemand die alleen artikelen publiceert op je site admin rechten heeft.

Als een gebruiker tijdelijk bepaalde toegang moet krijgen, zorg dan dat je daarna hun rol weer aanpast naar hun oude rol onder Users/Gebruikers in je WordPress dashboard.

Gebruiker rol aanpassen WordPress

Zorg dat je tot slot ook gebruikers verwijderd niet meer aan je site werken. Doe een periodieke check als je site veel verschillende gebruikers heeft.

7. Zorg dat je nooit “admin” als inlognaam gebruikt

WordPress stelt standaard “admin” in als gebruikersnaam. Als dit bij jou het geval is, pas dit dan zo snel mogelijk aan. Omdat veel mensen dit nooit veranderen, is “admin” vaak de eerste gebruikersnaam die hackers proberen bij een brute force login poging. Wanneer ze de loginnaam hebben, hoeven ze alleen nog het wachtwoord uit te vogelen.

8. Plaats berichten als contributor of editor

Overweeg om WordPress berichten te plaatsen als Contributor of Editor – niet als Administrator. WordPress maakt meestal automatisch auteurspagina’s aan. Dit ziet er meestal zo uit: jouwsite.nl/auteur/naamauteur.

Het probleem hiervan is dat dit de wat gemotiveerdere hackers een deel van je login informatie laat weten omdat de login naam van de auteur zich in de URL bevindt. Net als met de vorige tip, hebben ze nu alleen nog maar je wachtwoord nodig. Hierom is het beter dat auteurs op je site geen administrator rechten hebben.

9. Gebruik een SSL-certificaat

Je ziet de meeste websites tegenwoordig een SSL-certificaat gebruiken. Een SSL-certificaat zorgt ervoor dat je site loopt via HTTPS (Hyper Text Transfer Protocol Secure). Dit mechanisme zorgt ervoor dat je browser of web app veilig verbinding kan maken met een website.

Gelukkig bieden de meeste hosting providers een gratis SSL-certificaat aan via Let’s Encrypt.

Dit zijn een paar redenen waarom je een SSL-certificaat wilt gebruiken:

  • Veiligheid. De voornaamste reden is de extra beveiliging die je krijgt. SSL zorgt ervoor dat hackers geen gevoelige gegevens, zoals login-gegevens, kunnen bemachtigen via je site.
  • SEO. Al sinds 2014 is HTTPS een ranking signaal binnen Google. Hoewel het niet heel zwaar weegt, wil je als webmaster waarschijnlijk ieder voordeel kunnen aangrijpen wat er is.
  • Chrome waarschuwingen. Sinds 2018 waarschuwt Chrome bezoekers wanneer een site niet beveiligd is via HTTPS. Je kunt er op rekenen dat veel bezoekers die deze waarschuwing zien van je site weg zullen klikken.
  • Vertrouwen. Bezoekers rekenen erop een slotje in hun URL-balk te zien wanneer ze je site bezoeken. Het is standaard. Iedere legitieme site heeft het.

10. Twee-staps authenticatie 

Met twee-staps authenticatie (two factor authentication) zorg je ervoor dat zelfs derden met je logingegevens niet je site kunnen binnentreden. Ze zullen namelijk eerst een bevestigingscode via je telefoon moeten inzien.

Je kunt dit onder andere via de Two Factor Authentication plugin op je WordPress site installeren.

11. Vergrendel de WordPress admin 

Security by obscurity is een slimme manier om je online systemen te beveiligen. Het gaat er met deze strategie om dat je de werking van deze systemen zoveel mogelijk uit het zicht houdt.

Standaard kun je op iedere WordPress site de inlogpagina vinden door /wp-admin.php achter de URL te zetten. Dit weet uiteraard iedere hacker, script en bot ter wereld. Door het wijzigen hiervan maak je de kans dat je een doelwit wordt van een hack-aanval een stuk kleiner.

Je kunt dit doen via een gratis plugin zoals WPS Hide.

12. Gebruik de nieuwste PHP-versie 

PHP vormt de fundering van je WordPress site. Hierom is het cruciaal dat een van de nieuwere PHP-versies op je server geïnstalleerd staat. Elke belangrijke PHP release wordt voor 2 tot 3 jaar ondersteunt. Daarna houdt het onderhoud op en kunnen er beveiligingslekken gaan ontstaan.

Volgens de real-time WordPress statistieken pagina gebruikt meer dan 7% van alle WordPress sites PHP 5.6 of lager. PHP 5.6 stamt uit 2014 (!). PHP 7.0, wat niet veel nieuwer is, wordt ook nog door 3% van alle WordPress sites gebruikt.

PHP versies gebruikt door WordPress sites

Door in te loggen op je hosting dashboard kun je zien op welke PHP-versie jouw site draait.

PHP instellen webhosting

Naast dat een nieuwere PHP-versie bijdraagt aan de veiligheid van je site, draait je site er ook sneller door.

13. WordPress backups  

De maatregelen die ik in dit artikel opsom maken je site een stuk veiliger. Toch is je site nooit 100% veilig. Hierom is het belangrijk backups van je site te maken (het liefst dagelijks).

Het goede nieuws is dat veel webhosts dit automatisch voor je doen op dagelijkse basis, en deze backups tussen de twee weken en 30 dagen opslaan. Ook kun je met veel webhosts periodiek handmatig een backup maken. Zie voor voorbeelden van dit soort hosts de tweede tip in dit artikel.

Echter is het nooit verstandig slechts op één plek backups te hebben staan. Hoewel de kans miniem is, is het mogelijk dat je host je backups kwijt raakt. Gebruik hierom ook een (gratis) WordPress backup plugin als extra backup maatregel.

14. WordPress versie verbergen

Hier is wederom een tip die het security by obscurity principe volgt. Als iemand ziet dat je een achterhaalde WordPress versie gebruikt, kan dit als uitnodiging voor een aanval dienen.

Je WordPress versie is standaard te zien in de code van je site. Het beste is natuurlijk om altijd te zorgen dat je WordPress installatie gewoon altijd up-to-date is.

Maar mocht je je site niet-frequent updaten en geen automatische updates aan hebben staan, verberg je WordPress versie nummer dan via een app zoals het eerder genoemde SG Optimizer.

15. Beveiliging tegen DDoS-aanvallen

Bij een DDoS-aanval worden meerdere systemen ingezet (een botnet) om een enkel systeem aan te vallen. Hiermee wordt geprobeerd een DoS (Denial of Service) op te zetten. Wat er gebeurd is dat je site wordt overspoeld met nep-verkeer.  

Door een succesvolle DDoS-aanval zal je site offline gaan. Daarmee verschilt het van een malware aanval of virus.

Met een DDoS-aanval identificeert een aanvaller meestal een specifiek doelwit. Het idee is dat een site die offline is leidt tot gedolven inkomsten en reputatieverlies.

Sommige webhosts, zoals het eerder genoemde Kinsta en SiteGound, bieden een ingebouwde DDoS-bescherming via Cloudflare.

Biedt jouw host dit niet, schaf dan zelf een externe dienst aan zoals Cloudflare of Sucuri om je site te beschermen.

16. Gebruik alleen themes en plugins van betrouwbare bronnen

Wanneer je een WordPress theme van een dienst als ThemeForest gebruikt, weet je niet echt wat je krijgt. Vaak is het een hobbyist die als éénpitter een stel themes in elkaar zet. Mogelijk worden die na een paar jaar niet meer ge-update.

Vanaf dat moment kunnen ze vroeg of laat kwetsbaarheden gaan vertonen die hackers kunnen exploiteren.

Hetzelfde geldt voor plugins.

Wapen je hier tegen door betrouwbare themes en plugins te gebruiken. Om je op weg te helpen, bekijk ons overzicht van beste WordPress themes. Achter deze themes zitten betrouwbare teams, en ze worden gebruikt door vele duizenden mensen.

Voor plugins, kijk altijd naar hoe regelmatig ze ge-update worden en wie erachter zit. Voelt het een beetje shady, gebruik de plugin dan niet.   

Grotere kans op cyber aanvallen door Rusland-Ukraine oorlog

Verschillende nieuwsbronnen waarschuwen voor een toenemend aantal cyber-aanvallen sinds de invasie van Rusland in Ukraine. Hieronder vallen DDoS-aanvallen, bots en malware verspreiding.

Dit maakt het extra belangrijk om zo snel mogelijk in de beveiliging van je WordPress website te investeren.  

Samenvatting

Je kunt je WordPress site op talloze manieren beveiligen. Dit zijn de belangrijkste:

  1. Beveilig je computer
  2. Kies de juiste hosting
  3. Gebruik sterke en unieke wachtwoorden (zowel bij je server als bij je WordPress dashboard)
  4. Hou de software van je site up-to-date
  5. Gebruik een beveiliging plugin

Hiermee is je WordPress al veiliger dan 99% van alle WordPress sites op het wereldwijde web. Volg de rest van de tips in dit artikel, en de kans op malware of een ander probleem wordt al helemaal minuscuul.

Heb je nog vragen over het beveiligen van je WordPress site? Laat dan hieronder een bericht achter.  

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.