WordPress is een veel gebruikt cms. Oorspronkelijk alleen voor de klassieke weblogs, maar tegenwoordig ook voor complete websites. De businessbox draait ook op WordPress. Daar is niets mis mee, net zo min als met andere open source cms-en trouwens, hoewel bouwers van ‘eigen’ content management systemen u graag anders willen doen geloven. WordPress wordt gemaakt en bijgehouden door vele bedrijven en particulieren en is erg populair. En dat laatste heeft een groot nadeel…
Als een hacker een manier weet te vinden om een website binnen te dringen heeft-ie bij een populair cms meteen heel veel kansen in één keer te pakken. Dat loont, letterlijk. Daarom is WordPress altijd een gewild doel voor mensen met ‘wat minder edele idealen’, criminelen dus. Het is om die reden dat u altijd alert moet zijn op de beveiliging van uw website. Het is een drama als bezoekers van uw site misleid worden of virussen op hun computers krijgen alleen maar omdat u niet heeft zitten opletten. Vandaar deze 10 tips om uw WordPress-site te beveiligen. Neem ze ter harte!
1. Zorg er altijd voor dat u de nieuwste versies van WordPress en van alle plugins en themes gebruikt. In WordPress is dat makkelijk: iedere keer als er een update beschikbaar is, ziet u dat in uw dashboard. Wacht nooit met updaten, maar doe het meteen.
2. Maak iedere keer dat u de site bijwerkt (en u er zeker van bent dat die nog goed werkt!) een backup. Een dagelijkse backup is het best. Vertrouw niet op uw hostingpartij. We hebben meegemaakt dat een website is gehackt en voorzien van ongewenste scripts terwijl de host alleen nog maar een backup had van de vorige dag waar diezelfde ellende instond. Met andere woorden: gooi niet zomaar een backup weg als u een nieuwe heeft gemaakt!
3. Gebruik voor WordPress alleen gratis themes die via de officiële site (wordpress.org) worden aangeboden en pik nooit zomaar iets op dat u via Google bent tegengekomen. Kijk ook altijd even op de site van de maker om te controleren of het theme nog wel wordt onderhouden. Met een betaald theme loopt u nog minder risico. Maar overtuig u er ook hier van dat het theme wordt bijgehouden en dat het supportforum niet alleen vragen, maar ook antwoorden bevat.
4. Wat voor themes geldt, geldt nog sterker voor plugins. Als een WordPress-site wordt gehackt is dat zelden vanwege een lek in het cms. Meestal gaat het om een plugin die slecht gecodeerd is of niet bijgehouden wordt. Gebruik altijd de functie ‘nieuwe plugin’ in WordPress en haal nooit iets binnen dat u ‘ergens’ op internet heeft gevonden. Ook niet als die site er gelikt uitziet!
5. Gebruik een goede naam en een nog beter wachtwoord. Verander het standaard ‘admin’ in iets anders, uw naam bijvoorbeeld. Zorg ervoor dat het wachtwoord niet te raden is. Gebruik minimaal 12 tekens en gebruik daarbij het hele toetsenbord.
6. Installeer een plugin als Login Lock. Die voorkomt dat onbekenden automatisch het hele woordenboek gebruiken om erachter te komen wat uw login is (ook wel: brute force attack genaamd).
7. Gebruik uw robots.txt bestand om te voorkomen dat zoekmachines directories indexeren die geheim moet blijven. Controleer of de volgende regels in uw robots.txt staan, of voeg de ontbrekende anders toe:
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
8. Standaard maakt WordPress een database aan waarin de bestanden beginnen met WP_. Hackers weten dat ook, dus is het beter om tijdens de installatie een ander voorvoegsel te kiezen.
9. Zorg ervoor dat alle mappen en bestanden de juiste rechten hebben. Voor mappen is dat 755 en voor bestanden 644. Weet u niet waarover we het hier hebben, informeer dan bij uw host. Het is belangrijk dat u dit doet!
10. Als mensen kunnen reageren op uw artikelen, zorg dan voor een goede anti-spam-oplossing (zie wordpress.org) en zet de mogelijkheid om html in commentaren te kunnen gebruiken uit. Modereer bij voorkeur iedere reactie alvorens die te plaatsen.