You are currently viewing WordPress-beveiliging of hoe u uw WordPress-inlogpagina kunt beveiligen ?

WordPress-beveiliging of hoe u uw WordPress-inlogpagina kunt beveiligen ?

Veel website-eigenaren klagen over de veiligheid van WordPress. Het komt erop neer dat WordPress een open source CMS is en kwetsbaar is voor allerlei soorten aanvallen. Is dat zo? En zo ja, hoe beveilig je je WordPress-website?

Gelukkig is deze veronderstelling grotendeels onjuist. Soms zijn WordPress-sites zelfs behoorlijk goed beschermd tegen aanvallen. En soms omgekeerd zijn ze gemakkelijk te hacken. Maar het is niet altijd de schuld van WordPress.

Waarom? Omdat het meestal de gebruiker is die verantwoordelijk is voor het feit dat zijn site wordt gehackt. Er zijn enkele principes die u als website-eigenaar moet volgen. De belangrijkste vraag is dus: wat te doen om te voorkomen dat je WordPress-site wordt gehackt?

Laten we een paar beveiligingstips voor WordPress-sites bekijken die u zullen helpen de meest voorkomende website-aanvallen tegen te gaan. Door ze te volgen, verkleint u de kans op een succesvolle aanval op uw site aanzienlijk.

Sectie 1: Uw WordPress-site beveiligen door de inlogpagina te beschermen en brute force-aanvallen te voorkomen

We kennen allemaal de standaard WordPress-inlogpagina-URL. Vanaf hier is de backend van een website toegankelijk, en dit is de reden waarom het vaakst wordt geprobeerd om te worden gehackt. Voeg gewoon /wp-login.php of /wp-admin/ toe aan het einde van de domeinnaam en u weet het beheerdersadres van de site al.

We raden aan om de URL van de WordPress admin-aanmeldingspagina en de authenticatiemethode te wijzigen. Dit is wat u moet doen wanneer u uw site voor de eerste keer instelt.

Laten we een paar tips bekijken voor het beveiligen van uw WordPress-inlogpagina:

1. Bulkautorisatieverzoeken blokkeren en bots verbieden

De functie van het blokkeren van mislukte inlogpogingen kan het probleem van voortdurende brute force-pogingen oplossen – het hacken van een site door een wachtwoord te raden. Telkens wanneer er een hackpoging is met herhaalde verkeerde wachtwoorden, wordt de site geblokkeerd voor het IP-adres van de hacker en krijgt u een melding van ongeautoriseerde actie.

De iThemes Security plugin is een van de beste plug-ins om u te helpen de beveiligingsinstellingen op uw website aan te passen. Inclusief in de plug-in-instellingen, kunt u een bepaald aantal mislukte inlogpogingen specificeren voordat de plug-in het IP-adres van de aanvaller blokkeert.

2. Twee-factor-authenticatie gebruiken

Een andere goede beveiligingsmaatregel is om een ​​2-factor authenticatie (2FA)-module op de inlogpagina van het beheerderspaneel van de site op te nemen. In dit geval moet u om in te loggen twee soorten gegevens gebruiken. De website-eigenaar kan kiezen welke componenten hij wil gebruiken. Dit kan een gewoon wachtwoord zijn, gevolgd door een beveiligingsvraag, een toegangscode, een reeks tekens of de meer populaire Google Authenticator -app , die een toegangscode naar uw telefoon stuurt. Op deze manier kan alleen de persoon met uw telefoon (u) uw website betreden.

Met de plug-in Google Authenticator kunt u met slechts een paar klikken tweefactorauthenticatie op WordPress instellen.

3. Gebruik je e-mailadres om in te loggen

Standaard moet u uw gebruikersnaam en wachtwoord invoeren om in te loggen op WordPress. Het gebruik van e-mail in plaats van gebruikersaanmelding is veiliger. De redenen hiervoor liggen voor de hand – een gebruikersnaam is gemakkelijker te raden dan een e-mail. U dient zich ervan bewust te zijn dat een WordPress-gebruikersaccount wordt aangemaakt met een uniek e-mailadres en dat u hiermee uw inlog-e-mailadres kunt gebruiken.

4. Wijzig de URL van de autorisatiepagina op uw WordPress-site

Het wijzigen van uw inlog-URL is een van de gemakkelijkste manieren om uw site te beschermen tegen het raden van wachtwoorden. Standaard is de WordPress-inlogpagina eenvoudig toegankelijk via  wp-login.phpof toegevoegd  wp-admin aan de hoofd-URL van de site.

Wanneer hackers de directe URL van uw inlogpagina weten, zullen ze proberen uw login en wachtwoord bruut te forceren om in het beheerdersgedeelte te komen. Dit wordt meestal gedaan met behulp van GWDb (Guess Work Database, d.w.z. een database van veronderstelde gebruikersnamen en wachtwoorden, bijv. gebruikersnaam  adminen wachtwoord:  p@ssword … met miljoenen van dergelijke combinaties).

Op dit moment hebben we de inlogpogingen van gebruikers al beperkt en gebruikersnamen vervangen door e-mail. Nu kunnen we de URL van de inlogpagina vervangen en 99% van de aanvallen op het raden van wachtwoorden verwijderen.

Deze kleine truc voorkomt dat onbevoegde gebruikers toegang krijgen tot de inlogpagina. Dit kan alleen worden gedaan door iemand aan wie je het adres van de inlogpagina hebt gegeven. Nogmaals, de iThemes Security-plug-in kan u helpen bij het wijzigen van inlog-URL’s. Soortgelijk:

  • Verander het adres  wp-login.php bijvoorbeeld in een unieke naammy_new_login
  • Verander  /wp-admin/ bijvoorbeeld het adres in een ander adresmy_new_admin
  • Verander  /wp-login.php?action=register
    bijvoorbeeld het adres in een ander adresmy_new_registeration

5. Gebruik complexe wachtwoorden

Maak sterke wachtwoorden en verander ze regelmatig. Maak ze complexer door hoofdletters en kleine letters en cijfers en speciale tekens toe te voegen. Sommigen gebruiken lange zinnen als wachtwoord omdat ze moeilijk te raden zijn, maar gemakkelijker te onthouden dan een reeks willekeurige cijfers en letters.

LastPass is een van de gemakkelijkste manieren om uw wachtwoorden te beheren. Het genereert niet alleen veilige wachtwoorden, maar slaat ze ook op in een browserextensie, zodat u ze niet hoeft te onthouden.

6. Automatisch uitloggen voor inactieve gebruikers

Ingelogde gebruikers die uw site open laten, kunnen een ernstig veiligheidsrisico vormen. Elke buitenstaander kan hiervan profiteren en uw site schaden door naar het beheerderspaneel te gaan. Dit kan worden voorkomen door een automatische afmelding te configureren na een periode van inactiviteit van de gebruiker.

Deze functie kan worden geconfigureerd met behulp van de BulletProof – plugin . Met deze plug-in kunt u individuele tijd instellen voor gebruikersaccounts, waarna ze automatisch uitloggen.

Sectie 2: Uw WordPress-site beveiligen via het configuratiescherm

Voor een hacker is het belangrijkste onderdeel van een website het beheerdersdashboard, dat meestal het veiligste onderdeel is. Als het beheerderspaneel is gehackt, staat de site onder volledige controle van de hacker.

Dit is wat u kunt doen om uw WordPress-sitedashboard te beschermen:

7. Gebruik SSL-certificaten om gegevens te versleutelen.

Het implementeren van SSL (Secure Socket Layer) is een effectieve manier om het beheerdersdashboard te beveiligen. SSL biedt veilige communicatie tussen de browsers van gebruikers en de server van de site, waardoor het voor aanvallers moeilijker wordt om uw verbinding te hacken of uw informatie te vervalsen.

Het verkrijgen van een SSL-certificaat meet Really Simple SSL –  plugin voor een WordPress-site is vrij eenvoudig in het configuratiescherm van de meeste hosts. Je kunt een beveiligingscertificaat kopen bij SSL-bedrijven of je aanmelden voor een gratis Let’s Encrypt-certificaat.

Hostingbedrijven bieden in de regel gratis het verkrijgen en vernieuwen van het Let’s Encrypt-certificaat aan.

De aanwezigheid van een SSL-certificaat en een beveiligde https-verbinding heeft ook invloed op de zoekmachine rankings van uw site. Google rangschikt sites met SSL hoger dan sites zonder SSL. Hierdoor krijg je meer verkeer naar je website.

8. Controleer de kwaliteit van de gebruikersreferenties van uw WordPress-website

Als je een WordPress-blog met meerdere auteurs hebt, hebben meerdere gebruikers toegang tot het beheerdersdashboard. Dit kan uw site mogelijk kwetsbaarder maken dan wanneer deze slechts één beheerder zou hebben.

U kunt bijvoorbeeld de Force Strong Passwords -plug-in gebruiken als u ervoor wilt zorgen dat al uw gebruikers veilige wachtwoorden gebruiken.

9. Wijzig de naam van de beheerder

Selecteer tijdens de installatie van WordPress nooit de standaard “admin” als gebruikersnaam voor het primaire beheerdersaccount. Dit is de meest voorkomende kwetsbaarheid van een site. Het enige dat een hacker hoeft te achterhalen, is een wachtwoord, en dan valt je hele site in verkeerde handen.

Als u de toegangslogboeken tot een site bekijkt, kunt u met een hoge mate van waarschijnlijkheid inlogpogingen vinden met de naam “admin” en het raden van wachtwoorden.

DeiThemes Security plug in kan dergelijke pogingen stoppen door elk IP-adres dat probeert in te loggen met die gebruikersnaam onmiddellijk te blokkeren.

10. Let op wijzigingen in bestanden

Om extra beveiliging te bieden, is het de moeite waard om wijzigingen in sitebestanden te controleren met behulp van plug-ins zoals Wordfence of dezelfde iThemes-beveiliging .

Sectie 3: Uw WordPress-sitedatabase beveiligen

Alle gegevens en informatie van uw site worden opgeslagen in een database. Daarom is het waarborgen van de beveiliging van de database erg belangrijk voor het functioneren van de site. Laten we een paar tips bekijken voor het beveiligen van uw WordPress-sitedatabase:

11. Wijzig het standaard voorvoegsel van de WordPress-database

Bij het installeren van WordPress vraagt ​​het systeem u om een ​​standaardvoorvoegsel voor databasetabellen in te stellen:  wp-. We raden aan het tabelvoorvoegsel te wijzigen in uw eigen, unieke, anders dan de standaard.

Het gebruik van het standaardvoorvoegsel maakt de sitedatabase kwetsbaar voor SQL-injectieaanvallen. U kunt aanvallen voorkomen door bijvoorbeeld uw eigen prefix  mywp-of  wp_TT5S_.

Als u al een standaard databasevoorvoegsel op uw WordPress-site hebt geïnstalleerd, kunt u dit wijzigen met behulp van enkele plug-ins zoals WP-DBManager of iThemes Security.  Wees echter voorzichtig bij het uitvoeren van dergelijke bewerkingen op een live site en bewaar altijd een back-up van de site en database, en het beste van alles, de gebruiker van het hostingcontrolepaneel. Zorg er bij het maken van een siteback-up bovendien voor dat de gegevens ervan met succes kunnen worden hersteld en dat u weet hoe u dit moet doen. Zoals u weet, zijn mensen immers onderverdeeld in drie typen: degenen die geen back-ups maken, degenen die al back-ups maken en degenen die weten hoe ze hiervan kunnen herstellen.

12. Maak regelmatig een back-up van uw website

Hoeveel moeite u ook doet om uw WordPress-site te beveiligen, er is altijd ruimte voor verbetering. Maar de beste tool is om regelmatig back-ups te maken.

Als u een reservekopie van de site heeft, kunt u deze op elk moment terugzetten naar een werkende staat. Er zijn verschillende plug-ins die hierbij helpen.

U kunt zowel vanuit het beheerderspaneel van de site als vanuit het hostingconfiguratiescherm back-ups maken. Een goede oplossing zou zijn om op gezette tijden automatische back-ups in te stellen.

13. Stel sterke databasewachtwoorden in

Het is van cruciaal belang om een ​​sterk wachtwoord te gebruiken om verbinding te maken met de database van uw WordPress-site. Als de database wordt gehackt, hebben alle andere beveiligingsmaatregelen op de site immers geen zin.

Gebruik zoals gewoonlijk hoofdletters, kleine letters, cijfers en speciale tekens om uw wachtwoord te maken. Eenvoudige zinnen zijn ook een goede optie. LastPass is een goede oplossing voor het genereren en opslaan van willekeurige wachtwoorden. Een andere goede en snelle tool voor het maken van sterke wachtwoorden is   Secure Password Generator.

14. Houd de activiteitenlogboeken van de editors van uw site bij

Wanneer andere editors op uw WordPress-site actief zijn, is het belangrijk om in de gaten te houden wat ze doen. Auteurs en andere gebruikers hebben hun eigen toegangsrechten tot verschillende functies van de site en mogen de instellingen van de site niet wijzigen, wat tot ongewenste gevolgen kan leiden. Het loglogboek is nodig om de activiteiten van gebruikers van uw site die toegang hebben tot het beheerdersdashboard te controleren en te controleren.

De WP Security Audit Log – plugin biedt een compleet logboek van gebruikersactiviteiten en kan ook meldingen en rapporten via e-mail verzenden. Op zijn eenvoudigst kan het controlelogboek u helpen bepalen of de auteur problemen heeft met inloggen. Maar de plug-in kan ook kwaadaardige activiteiten van een van uw gebruikers detecteren.

Sectie 3: Uw WordPress-site beschermen op hostingniveau

Bijna alle hostingbedrijven bieden speciale tariefplannen die zijn geoptimaliseerd voor WordPress, maar er is altijd ruimte voor verbetering:

15. Bescherm  het bestand wp-config.php

wp-config.php  is een bestand dat belangrijke informatie over het WordPress-systeem bevat en is het belangrijkste bestand in de hoofdmap van uw site.

Om de veiligheid te verbeteren, kun je dit bestand een niveau hoger verplaatsen naar de bovenliggende map, en het daardoor ontoegankelijk maken voor crackers.

In de huidige WordPress-architectuur zijn de instellingen van configuratiebestanden ingesteld als de hoogste in de prioriteitenlijst. Dus zelfs als het is opgeslagen in een map boven de hoofdmap, kan WordPress het nog steeds zien.

16. Verbod op het bewerken van bestanden.

Als gebruikers beheerdersrechten hebben in het WordPress-dashboard, kunnen ze alle bestanden bewerken, inclusief WordPress-systeembestanden. Dit omvat ook plug-in- en themabestanden.

Als u bestandsbewerking uitschakelt, kan niemand per ongeluk of opzettelijk een van de bestanden wijzigen – zelfs als een hacker beheerderstoegang krijgt tot uw WordPress-dashboard.

Om de mogelijkheid om bestanden te bewerken vanuit het WordPress-dashboard uit te schakelen, voegt u de volgende regel toe aan uw  wp-config.php-bestand  (helemaal aan het einde):

define('DISALLOW_FILE_EDIT', true);

17. Maak verbinding met de server via een beveiligd protocol

Verbind bij het opzetten van een site de server alleen via SFTP of SSH. SFTP heeft altijd de voorkeur boven traditionele FTP vanwege de beveiliging.

Verbinding maken met de server via een versleutelde verbinding zorgt voor een veilige overdracht van alle bestanden. Veel hostingproviders bieden deze service aan als onderdeel van hun pakket. Zo niet, dan kunt u het zelf doen met behulp van  deze handleiding .

18. Hotlinks blokkeren

Hotlinking is het gebruik van afbeeldingen van uw site door links naar deze afbeelding op andere sites te plaatsen. Zo neemt de belasting van uw server toe en wordt uw verkeer gebruikt.

Ondanks enkele handmatige methoden om hotlinking te voorkomen, is de eenvoudigste manier met een beveiligingsplug-in. De All in One WP Security en Firewall – plugin bevat bijvoorbeeld ingebouwde tools om alle hotlinks te blokkeren.

Sectie 4: Uw WordPress-site beschermen op thema- en plug-inniveau

Thema’s en plug-ins zijn essentiële componenten voor elke WordPress-site. Helaas kunnen ze ook ernstige veiligheidsrisico’s met zich meebrengen. Hoe we WordPress-thema’s en plug-ins op uw site kunnen beschermen:

19. Werk alle geïnstalleerde plug-ins en thema’s regelmatig bij

Elk serieus softwareproduct wordt ondersteund door de ontwikkelaars en van tijd tot tijd bijgewerkt. Deze updates zijn ontworpen om bugs op te lossen en bevatten soms essentiële beveiligingsoplossingen.

De meeste kwetsbaarheden van WordPress-sites houden verband met het gebruik van verouderde versies van de software, die worden uitgebuit door hackers die de zwakke punten van specifieke plug-ins kennen.

Als u extra plug-ins en thema’s voor WordPress gebruikt, werk deze dan regelmatig bij. WordPress heeft de mogelijkheid om geïnstalleerde thema’s en plug-ins automatisch bij te werken, maar u moet nog steeds de status van de software op uw site in de gaten houden en plug-ins die niet automatisch worden bijgewerkt, handmatig bijwerken.

Als alternatief kunt u een beheerd WordPress-hostingplan kiezen. Samen met vele andere functies en beveiligingsverbeteringen, biedt Managed WordPress Hosting automatische updates voor alle elementen van uw WordPress-site.