Van WordPress-kern-, thema- en plug-inveiligheid tot best practices voor gebruikersnaam en wachtwoord en databaseback-ups.
Andere onderwerpen om te overwegen zijn onder meer:
- gelaagde beveiligingsmaatregelen zoals het .htaccess-bestand gebruiken om functies in of uit te schakelen
- bestandsrechten beperken
- zwarte lijst en witte lijst IP’s
- bestandsbewerking uitschakelen
- HTTPS gebruiken
WordPress-beveiliging
Als u een grote handelssite runt en deze wordt gehackt, kunt u waardevolle klanten en natuurlijk geld verliezen. Webhosts schorten waarschijnlijk accounts op die zijn gehackt en uw site offline halen. U wilt uw tijd niet verspillen aan het opknappen van een site na hacks of het betalen van hosting wanneer uw site niet beschikbaar is.
Waarom is WordPress zo succesvol?
WordPress is ’s werelds populairste contentmanagementsysteem en drijft nu 20% van alle websites aan. Het succes is te danken aan de intuïtieve interface en het feit dat het gratis en open source is. De functies bieden eindeloze opties voor het uitbreiden van de functionaliteit door toevoeging van plug-ins en de mogelijkheid om uw site aan te passen met thema’s en widgets. Met duizenden betaalde en gratis thema’s en plug-ins die beschikbaar zijn op internet, is de mogelijkheid om een site te maken die zowel functioneel als uniek is, vrijwel onbeperkt.
Waarom wordt WordPress blootgesteld aan aanvallen?
Deze zelfde functies zijn de meest voorkomende manieren waarop we onze sites blootstellen aan aanvallen. Omdat WordPress open source is, kan iedereen gemakkelijk de kerncode verkennen of een van de meest populaire thema’s en plug-ins voor hacks doorzoeken. Dit zijn items van WordPress waar je geen controle over hebt.
Uw host- en WordPress-hacks
Tenzij u veel geld betaalt om uw eigen server voor webhosting te hebben, heeft u ook geen controle over de hostingomgeving waarop uw website wordt uitgevoerd.
Brute aanval
Een brute force-aanval is ook iets waar je geen controle over hebt. Hoewel je ze niet altijd kunt stoppen, kun je maatregelen nemen om de schade te beperken en het moeilijk maken voor iemand om je site met succes te hacken. Zelfs bij techreuzen als Microsoft, Apple en Amazon is de beveiliging geschonden. Geen enkele site, WordPress of anderszins, is volledig veilig. Wat u moet doen, is herkennen waar zwakheden bestaan en extra verdedigingslagen creëren om uw inhoud te beschermen in het geval dat uw site wordt gehackt. Gebruik zoveel mogelijk algemene oplossingen om de verzwakking van uw site door menselijke fouten te beheersen.
Een brute force-aanval kan maanden duren en duizenden servers over de hele wereld zijn erbij betrokken. Alle hostingproviders die WordPress aanbieden zijn potentiële doelwitten. Hackers gebruiken gecompromitteerde servers en pc’s om beheerderspanelen van websites te hacken door hosts met “admin” als accountnaam en zwakke wachtwoorden te misbruiken die worden opgelost door brute force-aanvalsmethoden.
4 Kwetsbaarheidspunten
1. inbreuken op de hostbeveiliging
2. geen gegevens WordPress-kern
3. onveilige plug-ins en thema’s
4. brute force-aanvallen
Het goed beheren van uw WordPress-aangedreven site is de meest waardevolle beveiligingstool die voor u beschikbaar is.
- snelheid
- opties
- Diensten
- veiligheid
- back-upoplossingen
- controle
- server type
- prijs punt
Als u WordPress kiest om uw site van stroom te voorzien, betekent dit dat WordPress de basis is van alles op uw site. Het feit dat het gratis en open source is, heeft veel voordelen. Maar bij elke update worden de exploits van de vorige versie openbaar gemaakt, waardoor eerdere versies vatbaarder worden voor hacking. Door gebruik te maken van back-beveiliging door middel van obscuriteitstactieken, kunt u het versienummer van uw WordPress-installatie verwijderen of verbergen voor weergave. U kunt zelfs een eenvoudigere oplossing kiezen met plug-ins om het versienummer te verbergen. Dit kan een bot ervan weerhouden om zich aan uw site te hechten, maar dit lost geen gaten in oudere versies van WordPress op. Alleen door uw WordPress-installatie bij te werken wanneer nieuwere versies beschikbaar komen, worden de gepubliceerde exploits verwijderd.
Het updaten van WordPress is eenvoudig (sinds versie 3.7 is uitgebracht met automatische updates)
In eerdere versies van WordPress zou een nieuwe versiebanner in uw dashboard worden weergegeven wanneer er een update beschikbaar is. Nu worden WordPress-installaties automatisch bijgewerkt naar nieuwe secundaire versies zonder dat u een vinger hoeft op te tillen. Kleinere versies zijn meestal bedoeld voor beveiligingsupdates. U zult echter nog steeds moeten updaten naar nieuwe hoofdversies.
WordPress updaten
- Eerste dingen eerst! Maak een back-up van uw WordPress.
- Dashboard
- Updates
De grootste bedreiging voor uw site
De snelste manier om uw site in gevaar te brengen, is door slechte, kwaadwillig gecodeerde of verouderde thema’s of plug-ins van niet-vertrouwde ontwikkelaars of sites toe te voegen. Vanwege het open source karakter van WordPress worden veel thema’s of plug-ins gedistribueerd onder een GPL- of GPN-licentie (General Public License). Het is dus gemakkelijk om thema’s en plug-ins te splitsen en opnieuw te distribueren op gratis WordPress-thema- en plug-insites met de toevoeging van verborgen of kwaadaardige code. Deze code kan zo simpel zijn als het blootstellen van een virus of zo ernstig als het blootstellen van uw bezoekers aan identiteitsdiefstal.
Voordat u een gratis thema of plug-in downloadt:
- Onderzoek de auteur en download alleen van de auteurssite of de WordPress-depository
- Vraag advies op WordPress.org/support
- Als je gratis gaat gebruiken vertrouwd plug-ins of thema’s, controleer dan de compatibiliteitslijst met versienummers en controleer of de plug-in of het thema nog steeds wordt ondersteund en bijgewerkt. Veel thema’s of plug-ins ontvangen traag updates of worden gewoon verlaten.
- Als je het niet gebruikt, verlies het dan. Als u geen thema of plug-in gebruikt, verwijdert u deze.
- Gebruik betaalde ondersteunde thema’s en plug-ins (niet gratis).
De ervaring leert dat bijna alle WordPress-aanvallen kunnen worden verdedigd en verdedigd door simpelweg veilige, up-to-date en vertrouwde plug-ins en thema’s te gebruiken.
