Wordpress veilig houden

Door Beatboxx op vrijdag 25 januari 2013 19:57 - Reacties (10)
Categorie: -, Views: 4.749

Wordpress is een van de meest gebruikte CMS's die er bestaat, zo niet de meest gebruikte. Een kleine 20% van alle websites draait op Wordpress. Helaas is een veel te groot aantal van die websites niet veilig, en veel te makkelijk te kraken. Hieronder staan een aantal tips om ervoor te zorgen dat Wordpress veilig blijft, en niemand toegang krijgt tot je website.
Stap 1: Software updaten!
Het is natuurlijk ongelofelijk voor de hand liggend, maar ook zo ongelofelijk belangrijk en het wordt veel te traag gedaan; het updaten van Wordpress. Gisteren is Wordpress 3.5.1 gereleased met daarin een aantal fixes voor toch redelijk serieuze security-issues. Het is van ongelofelijk belang om er altijd voor te zorgen dat jouw Wordpress versie volledig up-to-date is.

Niet alleen je Wordpress install moet je updaten, maar ook je plugins. Veel te vaak zitten er bugs in plugins die ervoor zorgen dat een potentiŽle aanvaller alsnog kan inbreken in je site door een brakke plugin. Die dus ook updaten!
Stap 2: Brute-force logins voorkomen
Een veel voorkomende manier om Wordpress te hacken is door middel van brute-force attacks. Dit gaat volledig geautomatiseerd, dus aanvallers kunnen heel veel sites tegelijk bestoken. Ze zijn uitgerust met wordlists met de meest voorkomende wachtwoorden, dat erin resulteert dat bij een aanzienlijk percentage van de websites toch kan worden gehackt. Er zijn een paar belangrijke dingen die je hiertegen kan doen:
  • Verwijder de gebruiker met username 'Admin' en maak een admin-account aan met een andere username
  • Gebruik een plugin die tegen brute-force attacks beschermt, zoals bijvoorbeeld Limit Login Attempts
  • Volg de andere tips op :Y)
Stap 3: Een security plugin installeren
Natuurlijk ben je zelf perfect en heb je al je instellingen perfect afgesteld, dus dat hoeft niet gecheckt. Of zijn we toch niet perfect??? In dat geval, kan je het beste een plugin installeren met veel opties die op veel verschillende manieren checkt of jouw wordpress-installatie wel veilig is. Eentje die ik veel gebruik is: Better WP Security.
Stap 4: Heb je altijd admin-rechten nodig?
Helaas heb je niet altijd de beschikking over een veilige internet-verbinding. Misschien zit je in de trein, in een cafť of op een vliegveld, maar wil je toch even die spellingsfout uit je nieuwe post halen? Dan is het niet zo handig om in te loggen op een admin-account, iedereen die wil kan je username en password gewoon meelezen en inloggen. Maak een account aan met minder rechten, dat je kan gebruiken in dat soort situaties.
Stap 5: Two-factor authentication
Dit is de stap voor mensen die security van hun wordpress install echt heel belangrijk vinden. Two-factor authentication houdt in dat je naast een username en een wachtwoord, ook een code moet invoeren die je bijvoorbeeld op het scherm van je telefoon kan vinden. Een goede plugin is deze, die werkt in combinatie met Google Authenticator.
Stap 6: (Protip) Forceer SSL voor alle verbindingen naar */wp-admin
Deze tips is voor de pro's, en hij vereist behoorlijk wat meer technische kennis dan de rest van de tips. Zorg ervoor dat je een SSL-certificaat gebruikt voor alle verbindingen naar je wp-admin directory, dat zorgt ervoor dat niemand je gegevens, wachtwoorden of gebruikersnamen kan afluisteren.


Ik hoop dat ik hiermee het internet weer ietsjes veiliger heb gemaakt :) . Het is niet heel moeilijk om Wordpress heel veilig te maken, je moet het alleen wel doen. Besteed een kwartiertje aan de veiligheid, en je maakt de kans op een potentiŽle hack veel kleiner!