Er zijn miljoenen websites in de wereld die draaien op WordPress. En terecht: het cms is gemakkelijk te gebruiken, flexibel én gratis. De keerzijde is dat het een gewild doelwit is voor hackers. Wat kun je doen om indringers buiten de deur te houden?
De reden dat WordPress websites zo gewild zijn bij hackers, is niet alleen vanwege het feit dat er zoveel in de wereld zijn. Ben je eenmaal binnen, dan kun je vrijwel alles doen wat je maar wilt: gebruikersinformatie achterhalen, wachtwoorden stelen of veranderen, maar vooral louche software installeren, in de vorm van plugins of zelfs aangepaste PHP-code. Gelukkig kun je zelf van alles doen om te voorkomen dat het zover komt. Veel dingen kun je handmatig instellen, en voor andere maatregelen kun je een plugin installeren.
1. Gebruik geen gemakkelijke inloggegevens
Laten we bij het begin beginnen, de manier waarop je zelf bij de achterkant van WordPress inlogt. Een hacker zal daar ook proberen binnen te komen. Het eerste wat je moet doen, is het beheerdersaccount een andere naam te geven dan het standaard ‘admin’. Gebruik ook niet je e-mailadres daarvoor, want dat is vaak gewoon op de site te vinden. Liefst gebruik je een willekeurige reeks tekens voor zowel inlognaam als wachtwoord. Ja, dat is lastig te onthouden, maar heb je al eens gedacht aan het gebruiken van een wachtwoordmanager, bijvoorbeeld 1Password? Daarin kun je inloggegevens van alle websites opslaan, zodat je nog maar één wachtwoord hoeft te onthouden. Wil je het helemaal goed doen, dan kun je ‘tweefactor authenticatie’ gaan gebruiken. Naast een naam en wachtwoord, moeten gebruikers dan een eenmalige code invullen die bijvoorbeeld naar hun mobiele telefoon wordt gestuurd.
2. Houd je beheerdersaccount voor jezelf
Geef nooit, maar dan ook nooit, je beheerdersgegevens aan iemand anders, ook niet aan mensen die een eigen account hebben voor jouw WordPress. Nóg beter is om ook voor jezelf voor dagelijkse veranderingen – blogposts, nieuws – een eigen account aan te maken, zonder beheerdersrechten. Gebruik het beheerdersaccount alleen om echt administratieve zaken te doen, zoals gebruikers aanmaken. Je kunt door middel van ‘rollen’ aangeven welke rechten gebruikers hebben. Beperk ook het aantal keren dat iemand mag proberen in te loggen. Dat voorkomt dat hackers je website met ‘brute kracht’ aanvallen.
3. Installeer op tijd updates
Zorg ervoor dat je op tijd updates installeert, zowel van WordPress zelf als van de plugins. Vaak bevatten deze nieuwe veiligheidsmaatregelen tegen pas ontdekte bedreigingen. WordPress staat standaard ingesteld dat kleine updates automatisch worden geïnstalleerd. Grote updates (met nieuwe functionaliteiten) moet je altijd handmatig installeren.
4. Bescherm WordPress systeembestanden
De motor van de WordPress-omgeving bestaat uit bestanden met daarin programmeercode in de taal PHP. Deze bestanden kun je standaard binnen WordPress bewerken. Het is een goed idee om die mogelijkheid uit te schakelen. Dat doe je door in het bestand ‘wp-config.php’ de volgende regels op te nemen:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Het bestand wp-config.php staat op de server bij je hosting provider, en dat kun je aanpassen met behulp van een FTP-client. Tegelijk met de gegevens van je hosting-omgeving, heb je daarvoor ook inloggegevens gekregen van je provider.
5. Bescherm de database
De kroonjuwelen van jouw WordPress-site – alle informatie, blogs, pagina’s – zijn opgeslagen in een database op de server waar ook jouw website staat. Je kunt er niet zomaar bij, ook niet via FTP, maar hackers weten de weg wel degelijk te vinden als het moet. Wanneer je WordPress installeert, maakt het cms daarin tabellen aan om de informatie op te kunnen slaan. Standaard heeft elke tabel een naam die begint met ‘wp_’. Dat maakt het voor hackers eenvoudig om te raden wat de naam is van een specifieke tabel waar ze geïnteresseerd in zouden kunnen zijn. Achteraf veranderen is lastig, maar niet onmogelijk. Laat dat liever aan een expert over. Bij het installeren van je site kun je wel zelf een andere naam verzinnen.
Zoals gezegd, veel dingen kun je zelf. Voor tweefactor authenticatie, het beperken van het aantal inlogpogingen, het aanpassen van wp-config.php zijn plugins te vinden.
Dit artikel kwam tot stand in samenwerking met Argeweb.