WordPress & veiligheid

Steeds meer organisaties kiezen voor WordPress als CMS voor hun website. Niet zo gek want WordPress is open source software die zich makkelijk laat installeren en eenvoudig is in gebruik. Daarbij komt dat je de website in een handomdraai kan uitbreiden met allerlei functionaliteiten door plugins te installeren. Dat klinkt geweldig, maar is het ook veilig?

In dit artikel ga ik in op de veiligheidsrisico’s van het gebruik van WordPress. Ook geef ik een aantal tips hoe je jouw WordPress website veiliger kan maken. Inmiddels maakt een flink percentage van de websites op het internet gebruik van WordPress. Een deel van die websites wordt beheerd door functionele gebruikers. Dat wil zeggen dat de verdieping van het kennisniveau van deze gebruikers zich beperkt tot wat nodig is om de website regelmatig van nieuwe content te voorzien. Daar is WordPress in de basis ook voor bedoeld. Echter is WordPress, juist door haar grote gebruikersaantallen, een aantrekkelijk CMS geworden voor hackers…

Waarom zou iemand mijn website willen hacken?

Wanneer ik wel eens klanten spreek over website-onderhoud en beveiliging, krijg ik regelmatig de vraag waarom iemand nu juist zijn of haar website zou willen hacken. Er zijn verschillende redenen.

  • Men kan uit zijn op credit card gegevens
  • Men wil je website gebruiken om een DDOS aanval uit te voeren op een andere website
  • Malware installeren om zo de computers van bezoekers te infecteren
  • Voor de lol door zogeheten script kiddies

Hackers maken gebruik van software die automatisch het web afspeurt naar websites waar de beveiliging niet goed geregeld is. De schade die een hack aanricht kan enorm oplopen.

Is WordPress dan zo onveilig?

Nee! WordPress is in de basis zeer veilig maar door zijn populariteit ook een aantrekkelijk doelwit. Eén van de dingen die WordPress zo geweldig maakt is dat de open source software kan rekenen op een zeer grote en toegewijde community. Deze community bestaat uit mensen die bijdragen om de software nog beter, leuker en veiliger te maken.

Een keerzijde is dat het bijdragen aan de community vrijblijvend is dat en iemand zijn commitment aan de door hem ontwikkelde producten (met name thema’s en plugins) voor WordPress zonder kennisgeving kan stoppen. Hierdoor kunnen deze plugins en/of thema’s verouderen en kwetsbaar worden. Ook is niet elke programmeur even goed. Slecht geprogrammeerde plugins zijn vaak niet veilig.

Tips om je WordPress website veiliger te maken

  • Update je WordPress website, thema’s en plugins altijd zo snel mogelijk naar de laatste versie.
  • Pas op met gratis verkrijgbare thema’s en plugins. Vooral wanneer deze thema’s of plugins normaal gesproken geld kosten. Het komt vaak genoeg voor dat er kwaadaardige code aan premium thema’s en plugins wordt toegevoegd, welke vervolgens gratis beschikbaar worden gesteld.
  • Download gratis thema’s en plugins bij voorkeur vanaf de officiële WordPress website.
  • Verwijder plugins en thema’s die je niet gebruikt. Bewaar wel het laatste standaard thema van WordPress als backup voor je huidige thema.
  • Zorg voor een veilige en betrouwbare hosting partner. Gratis of zeer goedkope webhosting is niet veilig.
  • Maak regelmatig een backup van je website en sowieso voordat je je website gaat updaten.
  • Gebruik geen “admin” als gebruikersnaam voor je WordPress website.
  • Gebruik een complex wachtwoord of een wachtwoordzin.
  • Verander je wachtwoord regelmatig.
  • Gebruik 2FA.
  • Beperk de bestandsrechten voor mappen standaard naar 644.
  • Verberg je wp-config.php en .htaccess bestanden.
  • Verberg je WordPress versie.
  • Rapporteer problemen altijd direct aan de beheerder van je website, de ontwikkelaar van een thema of plugin of aan wordpress.org.

Het is dus altijd een goed idee om je WordPress installatie goed te beveiligen. Hieronder noem ik een aantal aandachtspunten die je op weg helpen. 

Tools die je WordPress website veiliger maken

Gelukkig bestaan er plugins die zich gespecialiseerd hebben in het veiliger maken van WordPress. Hieronder som ik er een aantal op. Klik op de link om er meer over te weten te komen. De plugins zelf zijn open source waarvan sommige ontwikkelaars ook een premium variant beschikbaar hebben.

WordFence
iThemes Security
Block Bad Queries (BBQ)
Theme Check
WPS Hide login
Two Factor

Sitediagnose

Sinds WordPress 5.2 is er een site diagnose beschikbaar in het dashboard van je WordPress installatie. Deze tool geeft informatie over de algehele conditie van je website.