Houd je WordPress-website veilig

Wat deed jij afgelopen zaterdag: puinruimen of ontspannen?

Door: Pieter Daalder, WordPress-expert bij Vevida

Daar zit je dan. Lekker in het zonnetje, met vrienden, een koel drankje en een barbecue. Niets aan de hand, totdat je oog valt op de zojuist binnengekomen mail van je hostingprovider. De boodschap: “Je website wordt misbruikt om virussen te verspreiden”. Dat is mooi shit natuurlijk! Back-ups terugzetten dan maar? Maar waar had je die ook alweer gelaten? En van wanneer waren die ook alweer?

Klinkt dit als een sterk verhaal? Was dat het maar. Dagelijks worden wereldwijd vele websites gehackt. Het doel is afhankelijk van de hacker in kwestie. Soms is het te doen om de (gebruikers) gegevens van je site. In andere gevallen kunnen er op deze manier spamberichten worden verstuurd of virussen worden verspreid. Misschien is jouw website wel het nieuwe thuis voor een phishingwebsite van de bank om de hoek. Aangezien voorkomen altijd beter is dan genezen, geef ik je een paar snelle punten waar je op kunt (of eigenlijk moet) letten bij het beveiligen van jouw WordPress-website.

De eerste en belangrijkste stap is ervoor zorgen dat je website altijd up-to-date is. Zorg dat je de beveiligingsupdates van WordPress, het geïnstalleerde thema en de gebruikte plugins zo snel mogelijk installeert. Verreweg de meeste hacks vinden plaats doordat een website verouderde software gebruikt. Een voorbeeld hiervan: het lek dat misbruikt werd in de massale uitbraak van het WannaCry-virus was bijvoorbeeld al maanden eerder door Microsoft in updates verholpen.
Misschien nog wel belangrijker dan het draaien van updates, is het verwijderen van ongebruikte plugins en thema’s van je website. Zelfs wanneer deze zijn uitgeschakeld, kunnen ze door kwaadwillenden worden misbruikt. Verwijder deze daarom geheel van je site als je ze niet meer gebruikt.

Een ander belangrijk punt om te beveiligen, is de inlogpagina van je site. Maak bijvoorbeeld gebruik van 2FA (two-factor-authentication). Hiermee loggen gebruikers niet enkel met een gebruikersnaam en wachtwoord in, maar hebben ze ook een extra code nodig. Deze kan bijvoorbeeld op de smartphone worden aangemaakt. Je kunt hiervoor bijvoorbeeld de Google Authenticator-app op je telefoon gebruiken.

Niet elke gebruiker hoeft hiervan gebruik te maken, maar zorg in ieder geval dat de gebruikers met een beheerdersrol dat wél doen. Als je er bovendien nog voor zorgt dat gebruikers niet meer rechten hebben dan ze strikt nodig hebben, zit je altijd goed.

Een andere aanrader is bescherming tegen brute- force-aanvallen. Hiervoor zou je technieken zoals Fail2Ban of een cloud/proxy-dienst kunnen gebruiken. De gewone gebruiker merkt niets van deze technieken om je inlogpagina te beschermen. Toch zorgt het er wel voor dat je de meeste en geautomatiseerde aanvallen af kunt slaan.

Wat je goed moet regelen, zijn back-ups. Zorg dat er regelmatig (bijvoorbeeld elke nacht) een back-up wordt gemaakt van zowel je website als de database. Je kunt dit zelf regelen of laten doen door je hostingprovider. Zorg ervoor dat deze back-ups worden weggeschreven naar een ander systeem dan waarop je website draait, bijvoorbeeld Dropbox, Google Drive of een harde schijf bij jouw thuis. Dit zal niet helpen tegen het gehackt worden van je website, maar maakt het herstellen van een hack een stuk eenvoudiger.

Voor een groot deel zijn we er nu, wat nog rest zijn de puntjes op de i. Maak je geen gebruik van het XML-RPC-protocol? Blokkeer dan het gebruik van xmlrpc.php. Dit bestand wordt vaak misbruikt om aanvallen uit te voeren op je website. Je kunt dit bij de meeste providers al doen met een .htaccess-bestand. Ditzelfde bestand kun je dan direct gebruiken om te zorgen dat jouw configuratiebestand (wp-config.php) niet rechtstreeks aangeroepen mag worden.

Een laatste tip die ik je nog wil meegeven is: schakel de standaard bestandsbewerker van WordPress uit. Je doet dit vanuit je wp-config. php bestand, door daarin de volgende define() op te nemen:

define(‘DISALLOW_FILE_EDIT’, true );

Als een hacker toch toegang tot je site krijgt, dan kan hij de bestanden in ieder geval niet via die weg zomaar aanpassen. De bovenstaande tips zorgen er in elk geval voor dat je website een stuk weerbaarder wordt. Maar bovenal: dat je tijdens een volgende barbecue gewoon kunt blijven zitten en niet aan het werk hoeft.

Deel dit artikel of reageer