Hoe houd ik mijn WordPress website veilig?

Op het wereldwijde web draaien de meeste website momenteel op het CMS systeem WordPress, met de toenemende groei van dit populaire systeem neemt ook het aantal hackers toe. Hackers kunnen zeer vervelend zijn en kunnen in sommige ernstige gevallen zelfs kosten met zich mee brengen, het is dus belangrijk dat jij hackers buiten de deur houd.

Houd hackers buiten de deur 8 tips om WordPress veilig te houden

8 tips om je WordPress installatie veilig te houden

Tip 1: Houd WordPress up-to-date

Dit is misschien wel de makkelijkste stap, en mischien ook wel een die het vaakst vergeten word. Met elke update van WordPress komen een aantal beveiligings updates mee, het is dus belangrijk deze altijd te installeren. Vertrouw niet te veel op de auto-update maar log regelmatig in op al je installaties om even te kijken of er updates zijn, dit geld ook voor plugins en themas. Wil je wel zeker weten dat alles altijd automatisch bijwerkt? Download dan onze auto-update plugin.

Tip 2: Probeer geen gratis themas te gebruiken

Ookal doen wij er alles aan om onze themas veilig te houden, toch zijn er veel gratis themas die niet veilig zijn.
Let daarom goed op met het downloaden van gratis themas.

Tip 3: Verander de database prefix

Veel hackers proberen je website binnen te komen via de database omdat hier alle informatie in opgeslagen staat.
Standaard begint elke tabel in de database met wp_ maar dit kan je veranderen via je wp-config.php bestand die in de root van wordpress staat.
Zoek in je wp-config.php bestand naar de $table_prefix = ‘wp_’; en verander deze.
Let wel op: Alleen letter, cijfers en lage streepjes kunnen gebruikt worden.

Tip 4: Gebruik NOOIT admin als gebruikersnaam

Een van de meest gebruikte gebruikersnamen voor wordpress is admin.
Een hacker zal dus eerst admin als gebruikersnaam proberen en hoeft dan alleen nog het wachtwoord te raden, wanneer je geen admin gebruikt maar bijvoorbeeld MrAwesome is het al veel moeilijker voor een hacker om je gegevens te raden.

Tip 5: Verwijder wordpress versie

WordPress geeft op meerdere plekken het versie-nummer weer, hierdoor kunnen hackers makkelijk verouderde installaties vinden.
Plaats de volgende regels in je functions.php van je thema:

remove_action( 'wp_head', 'feed_links_extra', 3 ;
remove_action( 'wp_head', 'feed_links', 2 );
remove_action( 'wp_head', 'rsd_link' );
remove_action( 'wp_head', 'wlwmanifest_link' );
remove_action( 'wp_head', 'index_rel_link' );
remove_action( 'wp_head', 'parent_post_rel_link', 10, 0 );
remove_action( 'wp_head', 'start_post_rel_link', 10, 0 );
remove_action( 'wp_head', 'adjacent_posts_rel_link', 10, 0 );
remove_action( 'wp_head', 'wp_generator' );

Let wel op dat het kan zijn dat sommige functies hierdoor niet meer werken, mocht dit voorkomen verwijder deze regels dan weer.

Vervolgens voeg je deze regel toe om de versie-nummers uit alle paginas te halen:

remove_action('wp_head', 'wp_generator');

Tip 6: Beveilig de wp-content directory

In je wp-content directory worden themas, plugins en andere uploads opgeslagen.
Zorg ervoor dat mensen niet deze bestanden kunnen openen door er direct heen te gaan.

Voeg de volgende regels toe aan je .htaccess bestand in je wp-content directory:

Order Allow,Deny
Deny from al
Allow from all

Tip 7: Zet de bestand bewerker van wordpress uit

Standaard kan je in WordPress thema bestanden werken via Weergave > Bewerker.
Het probleem hiermee is, dat wanneer een hacker toegang krijgt tot je dashboard het zeer gemakkelijk is voor hem om hier codes aan toe te voegen / te verwijderen.
Het is daarom geen verkeerd idee om dit uit te zetten.

define( 'DISALLOW_FILE_EDIT', true );

De bovenstaande regel doet precies dat, als je in het vervolg een bestand wilt bewerken moet dat via de FTP, iets meer werk, maar wel veiliger.

Tip 8: Security Plugins

Gelukkig is er een groot aanbod aan plugins die je helpen je installatie veilig te houden.
Hier een paar voorbeelden: