Voor iedere website geldt dat deze een zekere mate van beveiliging moet hebben. In dit artikel geven we wat tips over een betere beveiliging van WordPress websites. Beveiligen van een WordPress website begint hier!
1. Update WordPress en plugins regelmatig
Dit is de meest voor de hand liggende optie, maar zeker niet onbelangrijk. Bij een website dat opgeleverd wordt horen ook afspraken gemaakt te worden over de updates van WordPress en plugins. Het updaten van het WordPress CMS systeem stelt op zich niet veel voor, maar om problemen te voorkomen is het verstandig om eerst backups te maken van de bestanden en de database. Enige kennis hiervan is wel aan te raden!
2. Veilige inlognaam en wachtwoord
Kies een veilige inlognaam en kies dus niet voor ‘admin’. WordPress helpt bij het kiezen van een veilig password. Maak hiervan gebruik! Bij het installeren van WordPress CMS kun je kiezen voor de gebruikersnaam. Voor de meer gevorderde gebruiker is het eveneens mogelijk om de prefix ‘wp_’ voor database tabellen aan te passen.
3. Kies zorgvuldig de webhosting
Voor slechts een paar euro kun je een website laten hosten, maar dit is geen garantie voor een optimale veilige omgeving. Kies voor een partij die verstand heeft van (WordPress) hosting en zorgt voor adequate monitoring, beveiliging van de server en goed omgaat met back-ups. Hoewel wij ook goedkopere Shared Hosting aanbieden, heeft onze (duurdere) VPS server, geoptimaliseerd voor WordPress, de voorkeur.
4. Afschermen van wp-config
Het bestand wp-config.php bevat essentiële informatie over je WordPress installatie. Het bevat onder meer de naam van je database en een MySQL gebruikersnaam en wachtwoord. Hoewel het normaal gesproken niet bekeken kan worden door bezoekers is het toch een goed idee zijn om dit bestand af te schermen in het .htaccess bestand in de hoofddirectory (root) van je WordPress site.
Voeg de volgende code toe aan het .htaccess bestand in de rootdirectory:
# Afschermen wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>
Uiteraard geldt dat er veel meer toegevoegd kan worden ten behoeve van de veiligheid in het .htaccess bestand.
5. Verwijder WordPress version
Het is handig om het versienummer van WordPress uit de broncode te verwijderen. Op deze manier zien hackers niet welke versie van WordPress je gebruikt. Om dit te doen, voeg je het volgende stukje code toe aan functions.php:
function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');
6. Gebruik security plugins
Er zijn een groot aantal plugins beschikbaar die je website kunnen helpen beveiligen. Let hierbij vooral op de betrouwbare plugins die regelmatig worden geüpdatet.
7. De zwakste schakel is de gebruiker
Hoe zeer de website ook beveiligd wordt, als een wachtwoord kan worden bemachtigd dan kan er veel schade worden aangericht. Zorg daarom voor een goede locale virus scanner en gebruik waar mogelijk sFTP (secure FTP) in plaats van FTP.
Is WordPress veilig genoeg?
Uiteraard zijn er meerdere mogelijkheden voor een veiligere WordPress omgeving. WordPress is immers het meest gebruikte CMS platform en daardoor sneller prooi voor hackers. Vergelijkbaar met Windows en Apple zou je kunnen zeggen. ‘Is WordPress wel veilig genoeg?’ Deze vragen krijgen wij wel eens van klanten. Wij van Integrity Design denken dat WordPress juist één van de veiligste CMS omgevingen is, omdat security hoog op de agenda staat en er relatief veel security updates plaatsvinden. In tegenstelling tot veel ‘in-house’ CMS pakketten! Deze zijn vaak lang niet zo ver ontwikkeld op het gebied van beveiliging, maar de kans op het hacken daarentegen is doorgaans wel kleiner. Wij geven, uiteraard, de voorkeur aan het open-source systeem van WordPress. Als minimaal aan bovenstaande punten wordt voldaan, dan is er geen reden tot zorgen.