Beveiligingsbedreigingen zijn niet uniek voor WordPress.

Alle platforms, of ze nu privé of open source zijn, worden 24 uur per dag aangevallen.

Gelukkig biedt de WordPress-community veel oplossingen om het werk gemakkelijker te maken.

Hier zijn enkele belangrijke stappen om een ​​WordPress-site te beschermen tegen beveiligingsbedreigingen.

Hoe een WordPress-site te beveiligen

Er zijn acht fundamentele acties die alle WordPress-uitgevers zouden moeten overwegen om kwaadaardige activiteiten en kwetsbaarheden te verminderen.

Door deze best practices te volgen, zorgt u ervoor dat een WordPress-site klaar is om het hoofd te bieden aan de aanval van hackers die elke dag websites onderzoeken:

Gebruik HTTPS. Gebruik niet het woord “admin” als uw beheerdersgebruikersnaam. Dwing het gebruik van sterke wachtwoorden af. Update plug-ins en thema’s. Back-upplan voor de website. Minimaliseer het gebruik van plug-ins. Twee-factor-authenticatie. Installeer een WordPress firewall en kwetsbaarheidsscanner.

Laten we ze allemaal wat gedetailleerder bekijken.

1. Voeg HTTPS/SSL toe

Inmiddels gebruiken de meeste sites HTTPS. Maar als je site geen HTTPS gebruikt, neem dan contact op met je webhost om een ​​gratis SSL-certificaat toe te voegen.

Stel gewoon uw WordPress-adres en siteadres in met https://. Dit kan op het tabblad Algemene instellingen.

Als uw site wordt geüpgraded van een onveilige naar een veilige status, is de Really Simple SSL-plug-in (gebruikt door meer dan 5 miljoen websites) de moeite van het bekijken waard, omdat deze de conversie naar HTTPS echt vereenvoudigt door omleidingen en andere gerelateerde taken te beheren.

Really Simple SSL helpt ook beveiligingsbedreigingen zoals click-through en cross-site spoofing-aanvallen te verminderen door de optie te bieden om beveiligingsheaders toe te voegen.

Het installeren van een SSL-certificaat is tegenwoordig een gemakkelijke taak.

Veel webhosts bieden gratis SSL-certificaten aan en het is een bekende rankingfactor in Google.

Na het converteren naar HTTPS is het een goed idee om te controleren of er geen pagina’s zijn die om HTTP-links of -inhoud vragen.

Controleren op gemengde inhoud is een must.

Gemengde inhoud is wanneer onveilige website-items (scripts, afbeeldingen, video’s, etc.) worden gelinkt vanaf HTTPS-pagina’s.

Crawl uw site met Ontbrekend hangslot om snel instanties van gemengde inhoud te identificeren en herstel vervolgens de fouten door te linken naar HTTPS-bronnen.

2. Gebruik een veilige beheerdersgebruikersnaam

Een overweldigend aantal beveiligingsaanvallen op het inlogscherm van WordPress wordt uitgevoerd met de gebruikersnaam “Administrator”.

Er zijn twee hoofdtypen aanvallen die proberen het inlogwachtwoord te kraken:

brute kracht Woordenboek aanval.

Bij een brute force-aanval probeert de geautomatiseerde hacksoftware het wachtwoord van de beheerder te raden met behulp van verschillende combinaties van woorden, letters en cijfers.

Een woordenboekaanval is wanneer hacksoftware algemene wachtwoorden gebruikt om te proberen de login van de beheerder te raden.

In veel gevallen is de gebruikersnaam van de beheerder die door deze software wordt gebruikt “Beheerder”.

Het niet gebruiken van het woord “Admin” als gebruikersnaam is een eenvoudige stap die helpt bij het beveiligen van een WordPress-site.

Om nog een stap verder te gaan, kunt u een firewallregel maken met de Wordfence-beveiligingsplug-in om automatisch elke mens of bot te blokkeren die probeert in te loggen met de Admin-gebruikersnaam.

3. Gebruik sterke wachtwoorden

Sta niemand toe, vooral gebruikers met rechten op beheerdersniveau, om een ​​wachtwoord te maken dat niet veilig is.

Zelfs gebruikers met lage websiteprivileges, zoals het abonneeniveau, kunnen een aanvalsvector worden. Daarom is het belangrijk om sterke wachtwoorden toe te passen op iedereen die kan inloggen op je WordPress-site.

De populaire iThemes Security WordPress-plug-in met meer dan 1 miljoen gebruikers biedt handhaving van de wachtwoordsterkte en tweefactorauthenticatie.

Een wachtwoordbeveiligingsbeleid dat sterke wachtwoorden afdwingt, kan ook worden ingeschakeld met behulp van de Wordfence WordPress-beveiligingsplug-in.

4. Update plug-ins en thema’s

Sommige updates van plug-ins, thema’s en de kerninstallatie van WordPress zijn bedoeld om (patch)kwetsbaarheden te corrigeren.

Als u de software niet bijwerkt, kan de site kwetsbaar worden.

De meeste updates werken prima. In zeldzame gevallen kan een update iets in de software veranderen dat conflicteert met een andere plug-in of een ander thema, waardoor de site crasht.

Als dit gebeurt, is het eenvoudig om de site terug te zetten naar een eerdere staat als er een back-up van de site is gemaakt.

De beste manier om plug-ins en thema’s bij te werken, is door uw site te organiseren en te controleren of uw site naar behoren werkt met de bijgewerkte software.

Maar als u de site niet host, is de tweede optie om een ​​back-up van de site te maken en deze vervolgens bij te werken.

Test de site om er zeker van te zijn dat alles werkt. Als de site niet goed werkt, herstelt u deze met de back-up.

De derde optie is om alle plug-ins zo in te stellen dat ze automatisch worden bijgewerkt, zodat u er niet eens over na hoeft te denken. Als er iets kapot gaat, herstel het dan in de vorige staat.

5. Maak een back-up van uw WordPress-website

Dagelijks een back-up maken van een website is van cruciaal belang.

Er kan veel misgaan, en een back-up zal de dag redden wanneer er iets catastrofaals met de site gebeurt.

Met meer dan 3 miljoen gebruikers is UpdraftPlus WordPress Backup Plugin een populaire en vertrouwde oplossing.

Ik gebruik het op al mijn websites en kan het met vertrouwen aanbevelen.

Het heeft me gered van een herontwerp van een website dat niet zo goed ging, waardoor ik de site gemakkelijk naar een eerdere versie kon herstellen.

Een andere populaire oplossing heet WP Rollback.

WP Rollback heeft meer dan 200.000 installaties en de mensen die de software bouwen zijn vertrouwde en deskundige WordPress-ontwikkelaars.

Werkt goed met thema’s en plug-ins die zijn gedownload van WordPress.org.

6. Minimaliseer het gebruik van plug-ins

Elke plug-in die wordt geïnstalleerd, vergroot de kans dat een van hen de site blootstelt aan een kwetsbaarheid.

Afgezien van veiligheidsredenen kan het gebruik van te veel plug-ins de prestaties van de site beïnvloeden en de kans vergroten dat code tussen twee of meer plug-ins conflicteert en uw site crasht.

Plan vooruit welke plug-ins u wilt gebruiken om te bereiken wat u nodig heeft.

Sommige plug-ins kunnen meerdere taken uitvoeren, waardoor het niet meer nodig is om een ​​zelfstandige plug-in te installeren om dit te bereiken.

7. Implementeer tweefactorauthenticatie

Tweefactorauthenticatie wordt zo genoemd omdat er twee vormen van identificatie nodig zijn om in te loggen op een WordPress-site met deze functie ingeschakeld.

De eerste factor is de gebruikersnaam en het wachtwoord.

De tweede factor is een tweede vorm van authenticatie, meestal met een app als Authy of Google Authenticator die op de mobiele telefoon van de gebruiker staat.

Daarom, zelfs als een hacker toegang krijgt tot de gebruikersnaam en het wachtwoord, kan hij niet inloggen zonder de tweede authenticatie.

Er zijn veel WordPress-plug-ins om uit te kiezen om deze functie toe te voegen, waaronder:

WP 2FA

WP 2FA is een populaire optie voor het toevoegen van tweefactorauthenticatie.

Het ondersteunt meerdere tweefactorauthenticatiemethoden, waaronder Google Authenticator, Authy, Email Link, Email OTP en Push Notification.

Bij de Pro-versie zijn aanvullende methoden zoals spraakauthenticatie en WhatsApp beschikbaar.

Wordfence inlogbeveiliging

Wordfence is een vertrouwd merk. de zelfstandige plug-in voor tweefactorauthenticatie ondersteunt Authenticator, Authy, 1Password en FreeOTP.

Bovendien hebben beveiligingsplug-ins zoals Wordfence en iThemes Security ook opties om tweefactorauthenticatie in te schakelen.

8. Installeer een WordPress-beveiligingsplug-in

Beveiligingsplug-ins zijn handig omdat ze beveiligingslekken kunnen dichten en hackers kunnen blokkeren die deze kwetsbaarheden proberen uit te buiten.

Er zijn twee soorten WordPress-beveiligingsplug-ins:

Hardening en security scanning. firewall

Hier zijn enkele hulpmiddelen die ik zou aanbevelen.

Veiligheidssappen

Sucuri is een vertrouwde keuze voor een beveiligingsplug-in. Het is eigendom van GoDaddy.

Sucuri scant een site op malware en biedt opties om de site te beschermen tegen exploits.

Sucuri kiezen is eenvoudig omdat het een aanvulling vormt op een firewall-plug-in zoals Wordfence.

De betaalde versie bevat ook een firewall.

Jetpack Protect

Jetpack Protect is gebouwd door Automattic, het bedrijf achter onder andere WordPress.com, Akismet, WPScan en WooCommerce.

Jetpack Protect voert dagelijks een malwarescan uit van de WordPress-kern, plug-ins en thema’s.

Deze gratis plug-in is relatief nieuw – het werd een zelfstandige plug-in in 2022.

Wordfence-beveiliging: firewall, scannen op malware en inlogbeveiliging

Wordfence is een populaire keuze voor WordPress-beveiliging. Er zijn meer dan 4 miljoen actieve installaties.

Wordfence fungeert als een firewall om een ​​website te beschermen tegen hackaanvallen en kan bots en echte hackers in realtime weren als de activiteit past in het patroon van een hacker.

Gebruikers kunnen de Wordfence-firewall configureren met regels die hackers direct kunnen blokkeren.

Wordfence helpt ook een site te beschermen tegen hacking door tweefactorauthenticatie te bieden en te voorkomen dat PHP wordt uitgevoerd in mappen waar PHP niet zou moeten worden uitgevoerd.

Een ander voordeel van Wordfence is dat de plug-in e-mailherinneringen stuurt wanneer een plug-in een update nodig heeft.

De betaalde versie van Wordfence ontvangt firewallregels om te beschermen tegen de nieuwste exploits zodra Wordfence hiervan op de hoogte is.

iThemes-beveiliging

iThemes Security is een alles-in-één plug-in die een website scant en verhardt, en slechte bots blokkeert als een firewall. Er zijn meer dan een miljoen actieve installaties.

iThemes verwerkt veel beveiligingsgerelateerde activiteiten, waardoor het een populaire keuze is voor degenen die liever één plug-in hebben om alles te doen.

Neem extra beveiligingsmaatregelen voor WordPress

Hier zijn de aanvullende stappen voor het opbouwen van een sterke beveiligingspostuur.

Controleer uw PHP-versie

PHP is de software waarop WordPress draait.

Verouderde PHP-versies kunnen een site blootstellen aan beveiligingsproblemen.

Zorg ervoor dat de gebruikte PHP-versie niet de end-of-life (EOL)-status heeft bereikt.

Scan op kwetsbaarheid online

Hier zijn drie online tools die scannen op kwetsbaarheden of aangeven of een site is gehackt:

De toekomst van WordPress-beveiliging

Hackers vallen elke site aan, ongeacht het gebruikte contentmanagementsysteem (CMS).

WordPress is het meest populaire CMS ter wereld, waardoor het een populair doelwit is voor hackers.

Gelukkig heeft WordPress een enorme gemeenschap die eraan werkt om het veilig te houden, wat een voordeel is dat andere platforms niet hebben.

Alle eigenaren van WordPress-websites zouden moeten overwegen om de tijd te nemen om ervoor te zorgen dat er maatregelen zijn genomen om hun WordPress-sites volledig veilig te houden.

Meer middelen:

Uitgelichte afbeelding: Shutterstock/fizkes

Source link