WordPress is over de afgelopen jaren sterk gegroeid en is tegenwoordig een van de meest populaire content management systemen. Wanneer een groot open source systeem populair wordt bij het grote publiek, wordt het dat automatisch ook bij hackers. Wanneer er namelijk een kwetsbaarheid in WordPress, een populaire plugin of een veelgebruikt thema gevonden wordt is er meteen een groot aantal websites te vinden die met de gevonden kwetsbaarheid gehacked kunnen worden. Dat maakt WordPress overigens niet minder veiliger dan zogenaamde “closed source” systemen.
1. Een veilige gebruikersnaam en wachtwoord
Helaas komt het nog regelmatig voor dat een WordPress site gehacked wordt door het simpelweg raden van de inloggegevens van de admin gebruiker. Hiervoor worden vaak zogenaamde brute force aanvallen gebruikt. Dit wil zeggen dat er simpelweg combinaties van inloggegevens worden uitgeprobeerd tot men binnen is. Door een moeilijk te raden wachtwoord te kiezen wordt uw website minder gevoelig voor brute force aanvallen. Voor een leuke eyeopener over veilige wachtwoorden kunt u eens kijken op https://xkcd.com/936/.
Vanaf WordPress 4.3 zijn alle wachtwoorden standaard “sterk”. En in de WP-admin wordt aangegeven of een wachtwoord voldoende veilig is of niet.
Het begrip sterke wachtwoorden is de meeste website beheerders tegenwoordig bekend. Het belang van een goede gebruikersnaam in combinatie met dat sterke wachtwoord wordt echter nog vaak onderschat. Bij een brute force aanval moet een hacker gokken naar de gebruikersnaam en het wachtwoord. Wanneer de gebruikersnaam bijvoorbeeld “admin” is dan heeft de hacker binnen een seconde al 50% van de informatie die hij nodig heeft om binnen te komen. Het kiezen van een unieke en moeilijk te raden gebruikersnaam maakt een brute force aanval op uw WordPress site aanzienlijk moeilijker.
Veel gebruikte gebruikersnamen
Veel gebruikersnamen worden door heel veel mensen gebruikt. Vermijd daarom altijd makkelijk te raden gebruikersnamen voor je WordPress admin. De volgende gebruikersnamen zijn erg populair en daardoor dus onveilig:
- admin
- administrator
- accounting
- webmaster
- marketing
- user
2. Zorg dat WordPress en plugins up-to-date zijn
Naast brute force aanvallen is het gebruiken van bekende kwetsbaarheden (exploits) een veelgebruikte manier om toegang tot uw WordPress website te krijgen. Wanneer een nieuwe exploit gevonden is, wordt deze in veel gevallen gepubliceerd, waardoor deze direct door een flinke groep hackers te gebruiken is. Wanneer er een exploit gevonden wordt in de core van WordPress of een van de populaire thema’s of plugins wordt dit vaak snel verholpen door de ontwikkelaar. Hiervoor wordt een beveiligings update uitgebracht. Het is daarom van groot belang om WordPress zelf, de geïnstalleerde plugins en thema’s up-to-date te houden. Wij raden daarnaast aan om plugins en thema’s die niet actief gebruikt worden weer te verwijderen om risico’s zo veel mogelijk te beperken.
Beperk het aantal plugins dat je gebruikt op je website. Hierdoor wordt het onderhoud een stuk eenvoudiger, je website laadt sneller en er is veel minder risico op problemen.
Extra tip: Maak voordat je gaat updaten altijd eerst een back-up van je website, bestanden en database. Als er iets verkeerd gaat kan je altijd je website (laten) herstellen.
3. Verberg de WordPress versie
In het kader van “security by obscurity” is het wenselijk om het versienummer van uw huidige WordPress installatie niet kenbaar te maken. Standaard toont WordPress het versienummer in de broncode van je website, je RSS feed en het standaard mee geïnstalleerde bestand readme.html.
Het bestand readme.html kan je zonder enige gevolgen direct na de installatie verwijderen. Voor het verwijderen van het versienummer op de andere twee locaties kan je een stukje code opnemen in je WordPress thema. Hiervoor plakt je het volgende onderaan het bestand functions.php binnen het gekozen thema:
// Versienummer niet tonen in broncode en RSS feed function remove_wp_version() { return ''; } add_filter('the_generator', 'remove_wp_version');
Let er wel op dat dit komt te vervallen zodra je een ander thema gaat gebruiken.
4. Beperk het aantal inlogpogingen
Een andere manier om brute force attacks te voorkomen is het beperken van het aantal inlogpogingen. Met de plugin WP Limit Login Attempts beperk je eenvoudig het aantal keer dat iemand kan inloggen.
Als er te vaak met een verkeerde gebruikersnaam en wachtwoord wordt geprobeerd in te loggen zal het IP adres van de gebruiker voor een aantal uur geblokkeerd worden en kan de hacker niet meer inloggen. Een snelle manier om je WordPress admin te beveiligen.
5. Two Step Authentication voor WordPress
Two-step authentication wordt steeds vaker gebruikt. Met Two Step Authentication hoef je niet (altijd) meer in te loggen met je gebruikersnaam en wachtwoord. Vaak krijg je een speciale code toegestuurd die je nodig hebt om in te loggen. Dat kan bijvoorbeeld naar je e-mail, maar ook via SMS of via een app. Vergelijk het met internetbankieren, waar je vaak ook met een los kastje of sms-code moet inloggen. Het is in het begin misschien wel wat wennen en het kost soms iets extra tijd, maar het is wel een super veilige manier om in te loggen in WP-admin.
Er zijn twee goede oplossingen, die ook nog eens gratis zijn:
- Clef: je logt in zonder wachtwoord, maar met een speciale app op je telefoon. Hiermee scan je een soort “streepjescode” die door de app wordt gebruikt om jouw computer in te loggen in WordPress.
- Google Authenticator: Je krijgt een geheime code via de app op je telefoon. Met deze code kan je inloggen.
Extra tip: Gebruik iThemes Security
Met de plugin iThemes Security (voorheen Better WP Security) beveilig je je website al in een paar stappen. Veel van functies zoals het aantal inlogpogingen limiteren en het verwijderen van het versienummer zijn al geïntegreerd in deze plugin. Het goed instellen is wel wat tijdrovend, maar je maakt er WordPress een stuk veiliger mee. Je kan iThemes Security gratis downloaden vanuit de WordPress repository.
Een veiligere website begint bij jezelf…
Zoals je ziet is het met een paar eenvoudige handelingen mogelijk je WordPress website beter te beveiligen tegen online vandalisme. Hiervoor hoef je zelf geen hacker te zijn of een studie in informatica gevolgd te hebben. Met gezond verstand komt men al een heel eind. Zo is het bijvoorbeeld ook niet verstandig om vanaf een openbare Wi-Fi verbinding in te loggen met je WordPress admin gebruiker. Vaak zijn deze netwerken namelijk slecht beveiligd waardoor het voor anderen op dat zelfde netwerk mogelijk is om je inloggegevens te onderscheppen. Wanneer dat gebeurt houden de bovenstaande tips de vandaal niet meer buiten de deur.
Kom je er zelf niet uit? We helpen je graag met het beveiligen van je WordPress admin.