Currently set to Index
Currently set to Follow

WordPress-beveiliging – 19 stappen om uw site te beveiligen

33 min


116

Als het gaat om WordPress-beveiliging, zijn er veel dingen die u kunt doen om uw site te vergrendelen om te voorkomen dat hackers en kwetsbaarheden uw e-commercesite of blog beïnvloeden . Het laatste dat u wilt, is op een ochtend wakker worden om uw site in puin te ontdekken. Dus vandaag gaan we veel tips, strategieën en technieken delen die u kunt gebruiken om uw WordPress-beveiliging te verbeteren en beschermd te blijven.

Is WordPress veilig?

De eerste vraag die je je waarschijnlijk afvraagt, is WordPress veilig ? Voor het grootste deel wel. WordPress krijgt echter meestal een slechte reputatie omdat het vatbaar is voor beveiligingsproblemen en inherent geen veilig platform is om te gebruiken voor een bedrijf. Vaker wel dan niet is dit te wijten aan het feit dat gebruikers de in de branche bewezen slechtste beveiligingspraktijken blijven volgen.

Met behulp van verouderde WordPress-software, ongeldige plug-ins , slecht systeembeheer, inloggegevensbeheer en gebrek aan noodzakelijke web- en beveiligingskennis bij niet-techneut WordPress-gebruikers houden hackers hun cybercriminaliteit bij. Zelfs marktleiders gebruiken niet altijd de beste praktijken. Reuters werd gehackt  omdat ze een verouderde versie van WordPress gebruikten.

Bij beveiliging gaat het in wezen niet om perfect beveiligde systemen. Zoiets is misschien onpraktisch of onmogelijk te vinden en / of te onderhouden. Wat beveiliging is, is risicovermindering, geen eliminatie van risico’s. Het gaat erom redelijkerwijs alle geschikte bedieningselementen te gebruiken waarmee u uw algehele houding kunt verbeteren, waardoor de kans kleiner wordt dat u een doelwit wordt en vervolgens wordt gehackt. – WordPress Security Codex

Dit wil niet zeggen dat kwetsbaarheden niet bestaan. Volgens een onderzoek in het derde kwartaal van 2017 door Sucuri, een beveiligingsbedrijf met meerdere platforms, blijft WordPress de geïnfecteerde websites leiden waaraan ze hebben gewerkt (met 83%).  Dit is gestegen van 74% in 2016.Beveiligingsproblemen in WordPress

Beveiligingsproblemen in WordPress

WordPress beheert meer dan 37,6% van alle websites op internet en met honderdduizenden thema- en plug-incombinaties die er zijn, is het niet verrassend dat kwetsbaarheden bestaan ​​en voortdurend worden ontdekt. Er is echter ook een geweldige community rond het WordPress-platform om ervoor te zorgen dat deze dingen zo snel mogelijk worden gepatcht. Vanaf 2020 bestaat het WordPress-beveiligingsteam uit ongeveer 50 (tegenover 25 in 2017) experts, waaronder hoofdontwikkelaars en beveiligingsonderzoekers – ongeveer de helft zijn werknemers van Automattic en een aantal werkt op het gebied van webbeveiliging.

WordPress kwetsbaarheden

Bekijk hieronder enkele van de verschillende soorten WordPress-beveiligingsproblemen.

Achterdeuren

De toepasselijk genoemde backdoor-kwetsbaarheid biedt hackers verborgen passages die de veiligheidsencryptie omzeilen om toegang te krijgen tot WordPress-websites via abnormale methoden – wp-Admin, SFTP, FTP, enz. Eenmaal misbruikt, stellen backdoors hackers in staat schade aan te richten op hostingservers met cross-site besmetting aanvallen – het compromitteren van meerdere sites die op dezelfde server worden gehost. In het derde kwartaal van 2017 meldde Sucuri dat achterdeurtjes nog steeds een van de vele acties zijn die hackers na de hack ondernemen, waarbij 71%  van de geïnfecteerde sites een vorm van achterdeurinjectie heeft.Distributie van malware-familie

Distributie van malware-familie

Achterdeuren worden vaak gecodeerd om eruit te zien als legitieme WordPress-systeembestanden en vinden hun weg naar WordPress-databases door zwakke punten en bugs te misbruiken in verouderde versies van het platform. Het TimThumb-fiasco  was een goed voorbeeld van kwetsbaarheid in de achterdeur die gebruik maakt van duistere scripts en verouderde software die miljoenen websites in gevaar brengt.

Gelukkig is het voorkomen en genezen van deze kwetsbaarheid vrij eenvoudig. U kunt uw WordPress-site scannen met tools zoals  SiteCheck,  die gemakkelijk veelvoorkomende achterdeuren kunnen detecteren. Tweefactorauthenticatie, het blokkeren van IP’s, het beperken van admin-toegang en het voorkomen van ongeoorloofde uitvoering van PHP-bestanden, zorgt gemakkelijk voor veelvoorkomende achterdeurbedreigingen, waar we hieronder meer op zullen ingaan. Canton Becker heeft  ook een geweldige post over het opruimen van de achterdeurtjes op je WordPress-installaties.

Pharma Hacks

De Pharma Hack-exploit wordt gebruikt om frauduleuze code in verouderde versies van WordPress-websites en plug-ins in te voegen, waardoor zoekmachines advertenties voor farmaceutische producten retourneren wanneer er naar een gecompromitteerde website wordt gezocht. De kwetsbaarheid is meer een spamdreiging dan traditionele malware, maar geeft zoekmachines genoeg reden om de site te blokkeren wegens beschuldiging van het verspreiden van spam.

Bewegende delen van een Pharma Hack omvatten achterdeuren in plug-ins en databases, die kunnen worden opgeruimd volgens de instructies van dit Sucuri-blog. De exploits zijn echter vaak vicieuze varianten van versleutelde kwaadaardige injecties die in databases zijn verborgen en vereisen een grondig opschoningsproces om de kwetsbaarheid op te lossen. Desalniettemin kunt u Pharma Hacks eenvoudig voorkomen door aanbevolen WordPress-hostingproviders met up-to-date servers te gebruiken en uw WordPress-installaties, thema’s en plug-ins regelmatig bij te werken. Hosts zoals Kinsta bieden ook gratis hackfixes.

Aanmeldingspogingen met brute kracht

Brute-force inlogpogingen gebruiken geautomatiseerde scripts om zwakke wachtwoorden te misbruiken en toegang te krijgen tot uw site. Authenticatie in twee stappen, inlogpogingen beperken, ongeoorloofde aanmeldingen controleren, IP-adressen blokkeren en sterke wachtwoorden gebruiken, zijn enkele van de gemakkelijkste en meest effectieve manieren om brute-force-aanvallen te voorkomen. Maar helaas slagen een aantal eigenaren van WordPress-websites er niet in deze beveiligingspraktijken uit te voeren, terwijl hackers gemakkelijk op één dag maar liefst 30.000 websites kunnen compromitteren met behulp van brute force-aanvallen.

Schadelijke omleidingen

Schadelijke omleidingen creëren achterdeuren in WordPress-installaties met behulp van FTP, SFTP, wp-admin en andere protocollen en injecteren omleidingscodes in de website. De omleidingen worden vaak in gecodeerde vormen in uw .htaccess-bestand en andere WordPress-kernbestanden geplaatst, waardoor het webverkeer naar kwaadaardige sites wordt geleid. We zullen enkele manieren doornemen die u kunt voorkomen in onze WordPress-beveiligingsstappen hieronder.

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) is wanneer een kwaadaardig script wordt geïnjecteerd in een vertrouwde website of applicatie. De aanvaller gebruikt dit om schadelijke code, meestal scripts aan de browserzijde, naar de eindgebruiker te sturen zonder dat ze het weten. Het doel is meestal om cookie- of sessiegegevens te verzamelen of misschien zelfs HTML op een pagina te herschrijven.

Volgens WordFence zijn cross-site scripting-kwetsbaarheden met een aanzienlijke marge de meest voorkomende kwetsbaarheid in WordPress-plug-ins.

Denial of Service

Misschien wel de gevaarlijkste van allemaal, Denial of Service (DoS) -kwetsbaarheid misbruikt fouten en bugs in de code om het geheugen van website-besturingssystemen te overweldigen. Hackers hebben miljoenen websitesgecompromitteerd en  miljoenen dollars binnengehaald door verouderde en buggy-versies van WordPress-software te misbruiken met DoS-aanvallen. Hoewel financieel gemotiveerde cybercriminelen minder snel op kleine bedrijven zijn gericht, hebben ze de neiging om verouderde kwetsbare websites te compromitteren door botnetketens te maken om grote bedrijven aan te vallen .

Zelfs de nieuwste versies van WordPress- software kunnen niet volledig verdedigen tegen spraakmakende DoS-aanvallen , maar zullen je in ieder geval helpen voorkomen dat je in het vuur van financiële instellingen en geavanceerde cybercriminelen terechtkomt. En vergeet 21 oktober 2016 niet. Dit was de dag dat het internet uitviel door een DNS DDoS-aanval. Lees meer over waarom het belangrijk is om een ​​premium DNS-provider te gebruiken om uw WordPress-beveiliging te vergroten.

WordPress beveiligingsgids 2020

Volgens internet live statistieken worden dagelijks meer dan 100.000 websites gehackt. 😮 Daarom is het zo belangrijk om de tijd te nemen en de onderstaande aanbevelingen door te nemen om je WordPress-beveiliging beter te verbeteren.WordPress-sites worden elke dag gehackt

WordPress-sites worden elke dag gehackt

We zullen ervoor zorgen dat dit bericht up-to-date blijft met relevante informatie als er dingen veranderen met het WordPress-platform en er nieuwe kwetsbaarheden ontstaan.

  1. Veilige WordPress-hosting
  2. Gebruik de nieuwste PHP-versie
  3. Slimme gebruikersnamen en wachtwoorden
  4. Nieuwste versies
  5. Vergrendel WordPress Admin
  6. Twee-factorenauthenticatie
  7. HTTPS – SSL-certificaat
  8. Harden wp-config.php
  9. Schakel XML-RPC uit
  10. Verberg WordPress-versie
  11. HTTP-beveiligingsheaders
  12. WordPress-beveiligingsplug-ins
  13. Databasebeveiliging
  14. Veilige verbindingen
  15. Bestands- en serverrechten
  16. Schakel Bewerken in Dashboard uit
  17. Hotlinking voorkomen
  18. Neem altijd WordPress-back-ups
  19. DDoS-bescherming

1. Investeer in veilige WordPress-hosting

Als het gaat om WordPress-beveiliging, is er veel meer dan alleen het vergrendelen van uw site, hoewel we u hieronder de beste aanbevelingen zullen geven over hoe u dat moet doen. Er is ook beveiliging op webserverniveau waarvoor uw WordPress-host verantwoordelijk is. Bij Kinsta nemen we beveiliging zeer serieus en behandelen veel van deze problemen voor onze klanten.

Het is erg belangrijk dat u een host kiest die u bij uw bedrijf kunt vertrouwen . Of als je WordPress host op je eigen VPS, dan moet je de technische kennis hebben om deze dingen zelf te doen. En om eerlijk te zijn, proberen een systeembeheerder te zijn om $ 20 / maand te besparen, is een slecht idee.Veilige WordPress-hosting

Veilige WordPress-hosting

Serververharding is de sleutel tot het onderhouden van een grondig beveiligde WordPress-omgeving. Het vereist meerdere lagen van beveiligingsmaatregelen op hardware- en softwareniveau om ervoor te zorgen dat de IT-infrastructuur die WordPress-sites host, in staat is zich te verdedigen tegen geavanceerde bedreigingen, zowel fysiek als virtueel.

Om deze reden moeten servers die WordPress hosten worden bijgewerkt met het nieuwste besturingssysteem en (beveiligings) software, evenals grondig worden getest en gescand op kwetsbaarheden en malware. Een goed voorbeeld hiervan is wanneer Kinsta NGINX moest patchen voor ontdekte beveiligingslekken in  OpenSSL .

Firewalls op serverniveau en inbraakdetectiesystemen moeten aanwezig zijn voordat WordPress op de server wordt geïnstalleerd om het goed beschermd te houden, zelfs tijdens de installatie- en website-bouwfases van WordPress. Elke software die op de machine is geïnstalleerd om WordPress-inhoud te beschermen, moet echter compatibel zijn met de nieuwste databasebeheersystemen om optimale prestaties te behouden. De server moet ook worden geconfigureerd om veilige netwerk- en bestandsoverdracht-encryptieprotocollen te gebruiken (zoals SFTP in plaats van FTP) om gevoelige inhoud te verbergen voor kwaadwillende indringers.

Hier bij Kinsta gebruiken we voor al onze WordPress-klanten de snelste servers , het premium-tier-netwerk en de enterprise-klasse firewall van Google Cloud Platformom een ​​snelle en veilige WordPress- hostingervaring te garanderen . Een groot voordeel hiervan is dat het is gebouwd op een beveiligingsmodel waarop in de loop van 15 jaar is gebouwd en dat momenteel producten en services zoals Gmail, Search, enz. Beveiligt. Google heeft momenteel meer dan 500 fulltime beveiligingsprofessionals in dienst. .

Door gebruik te maken van de firewall van Google Cloud kunnen we kwaadaardig verkeer blokkeren voordat het ons netwerk van virtuele machines binnenkomt. Dit vermindert de belasting van onze VM’s en zorgt voor een betere prioritering van CPU- en RAM-bronnen voor uw WordPress-site.

Kinsta gebruikt ook Linux-containers (LXC) en LXD om ze te orkestreren, bovenop Google Cloud Platform , waardoor we niet alleen elk account, maar elke afzonderlijke WordPress-site volledig kunnen isoleren . Beveiliging is vanaf het begin in onze architectuur ingebouwd en dit is een veel veiligere methode dan aangeboden door andere concurrenten.Kinsta-hostingarchitectuur.

Kinsta-hostingarchitectuur.

2. Gebruik de nieuwste PHP-versie

PHP is de ruggengraat van uw WordPress-site en daarom is het erg belangrijk om de nieuwste versie op uw server te gebruiken. Elke belangrijke release van PHP wordt doorgaans gedurende twee jaar na de release volledig ondersteund . Gedurende die tijd worden bugs en beveiligingsproblemen regelmatig opgelost en gepatcht. Vanaf nu heeft iedereen met versie PHP 7.1 of lager geen beveiligingsondersteuning meer en wordt hij blootgesteld aan niet-gepatchte beveiligingsproblemen.Ondersteunde PHP-versies

Ondersteunde PHP-versies

En raad eens? Volgens de officiële  WordPress Stats-  pagina gebruikt meer dan 57% van de WordPress-gebruikers  op het moment van schrijven  nog steeds PHP 5.6 of lager . Als je dit combineert met PHP 7.0, gebruikt maar liefst 77,5% van de gebruikers momenteel PHP-versies die niet langer worden ondersteund. Dat is eng!77,5% van de WordPress-gebruikers gebruikt momenteel PHP-versies die niet langer worden ondersteund! 😮KLIK OM TE TWEETEN

Soms kost het bedrijven en ontwikkelaars tijd om te testen en de compatibiliteit met hun code te verzekeren, maar ze hebben geen excuus om ergens op te draaien zonder beveiligingsondersteuning. Om nog maar te zwijgen over de enorme impact op de prestaties van oudere versies.WordPress PHP-versie Statistieken

WordPress PHP-versie Statistieken

Weet u niet welke versie van PHP u momenteel gebruikt? De meeste hosts nemen dit meestal op in een koptekstverzoek op uw site. Een snelle manier om te controleren is om uw site via Pingdom te laten lopen . Klik in het eerste verzoek en zoek naar een X-Powered-Byparameter. Meestal wordt hiermee de versie van PHP weergegeven die uw webserver momenteel gebruikt. Sommige hosts verwijderen deze koptekst echter om veiligheidsredenen. Kinsta verwijdert deze koptekst standaard om je site veilig te houden.Controleer de PHP-versie in Pingdom

Controleer de PHP-versie in Pingdom

Hier bij Kinsta raden we alleen het gebruik van stabiele en ondersteunde versies van PHP aan, waaronder 7.2, 7.3 en 7.4. PHP 5.6, 7.0 en 7.1 zijn uitgefaseerd. Je kunt zelfs schakelen tussen PHP-versies met een klik op een knop vanuit het MyKinsta-dashboard.

Ga naar PHP 7.4.

Als u zich op een WordPress-host bevindt die cPanel gebruikt, kunt u meestal schakelen tussen PHP-versies door te klikken op “PHP Select” onder de softwarecategorie.cpanel php-versie

cPanel PHP-versie

3. Gebruik slimme gebruikersnamen en wachtwoorden

Verrassend genoeg is het gebruik van slimme gebruikersnamen en wachtwoordeneen van de beste manieren om uw WordPress-beveiliging te verbeteren . Klinkt best makkelijk toch? Bekijk de jaarlijkse lijst van SplashData 2018 met de populairste wachtwoorden die het hele jaar door zijn gestolen (gesorteerd op populariteit).

  • 123456
  • wachtwoord
  • 123456789
  • 12345678
  • 12345
  • 111111
  • 1234567
  • zonneschijn
  • qwerty
  • ik hou van je

Dat klopt! Het meest populaire wachtwoord is “123456” , gevolgd door een verbazingwekkend “wachtwoord”. Dat is een reden waarom we hier bij Kinsta op nieuwe WordPress-installaties eigenlijk een complex wachtwoord forceren om te gebruiken voor je wp-admin-login (zoals hieronder te zien is bij ons installatieproces met één klik). Dit is niet optioneel.Forceer een veilig WordPress-wachtwoord

Forceer een veilig WordPress-wachtwoord

De belangrijkste WordPress- wp_hash_password functie maakt gebruik van het phpass- wachtwoordhash-framework en acht passages van MD5-gebaseerde hashing.

Enkele van de beste beveiliging begint bij de basis. Google heeft een aantal geweldige aanbevelingen voor het kiezen van een sterk wachtwoord . Of u kunt een online tool zoals Strong Password Generator gebruiken .

Het is ook belangrijk om voor elke website verschillende wachtwoorden te gebruiken. De beste manier om ze op te slaan is lokaal in een gecodeerde database op uw computer. Een goede gratis tool hiervoor is KeePass . Als u deze route niet wilt afleggen, zijn er ook online wachtwoordmanagers zoals 1Password of  LastPass . Hoewel uw gegevens veilig in de cloud worden gehost, zijn deze over het algemeen veiliger omdat u niet op meerdere sites hetzelfde wachtwoord gebruikt. Het voorkomt ook dat u plaknotities gebruikt. 😉

En wat betreft uw WordPress-installatie mag u nooit de standaard “admin” gebruikersnaam gebruiken. Maak een unieke WordPress-gebruikersnaam voor het beheerdersaccount en verwijder de ‘admin’-gebruiker als deze bestaat. U kunt dit doen door een nieuwe gebruiker toe te voegen onder “Gebruikers” in het dashboard en deze het “Beheerder” -profiel toe te wijzen (zoals hieronder te zien).WordPress-beheerdersrol

WordPress-beheerdersrol

Nadat u het nieuwe account de beheerdersrol heeft toegewezen, kunt u teruggaan en de oorspronkelijke “Admin” -gebruiker verwijderen. Zorg ervoor dat wanneer u op verwijderen klikt, u de optie “Alle inhoud toewijzen aan” kiest en selecteer uw nieuwe beheerdersprofiel. Hierdoor wordt de persoon toegewezen als de auteur van die berichten.verwijder admin kenmerk alle inhoud toe

Ken alle inhoud toe aan de beheerder

U kunt uw huidige gebruikersnaam voor beheerders ook handmatig hernoemen in phpMyAdmin met de volgende opdracht. Zorg ervoor dat u een back-up van uw database maakt voordat u tabellen bewerkt.

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

4. Gebruik altijd de nieuwste versie van WordPress, plug-ins en thema’s

Een andere zeer belangrijke manier om uw WordPress-beveiliging te verbeteren, is om deze altijd up-to-date te houden. Dit omvat WordPress-kern, plug-ins en thema’s (zowel die uit de WordPress-repository als premium). Deze worden met een reden bijgewerkt en vaak bevatten deze beveiligingsverbeteringen en bugfixes. We raden je aan om onze uitgebreide handleiding te lezen over hoe automatische updates van WordPress werken.Houd WordPress up-to-date

Houd WordPress up-to-date

Helaas gebruiken miljoenen bedrijven verouderde versies van WordPress-software en plug-ins, en geloven nog steeds dat ze op de goede weg zijn voor zakelijk succes. Ze noemen redenen om niet bij te werken, zoals “hun site zal breken” of “kernwijzigingen zullen verdwijnen” of “plug-in X zal niet werken” of “ze hebben gewoon de nieuwe functionaliteit niet nodig”.

In feite breken websites vooral door bugs in oudere WordPress-versies. Kernaanpassingen worden nooit aanbevolen door het WordPress-team en deskundige ontwikkelaars die de risico’s begrijpen. En WordPress-updates bevatten meestal onmisbare beveiligingspatches samen met de toegevoegde functionaliteit die nodig is om de nieuwste plug-ins uit te voeren.

Wist je dat er is gemeld dat  kwetsbaarheden voor plug-ins 55,9% uitmaken van de bekende toegangspunten voor hackers? Dat is wat WordFence vond in een onderzoek waarin ze meer dan 1000 WordPress-site-eigenaren interviewden die het slachtoffer waren van aanvallen. Door uw plug-ins bij te werken, kunt u er beter voor zorgen dat u niet een van deze slachtoffers bent.gehackte WordPress-plug-ins voor websites

Gehackte WordPress-sites

Het wordt ook aanbevolen om alleen vertrouwde plug-ins te installeren. De categorieën ‘featured’ en ‘popular’ in de WordPress-repository kunnen een goed begin zijn. Of download het rechtstreeks van de website van de ontwikkelaar. We raden het gebruik van nulled WordPress-plug-ins en -thema’s ten zeerste af .

Ten eerste weet je nooit wat de gewijzigde code zou kunnen bevatten. Dit kan er gemakkelijk toe leiden dat uw site wordt gehackt. Niet betalen voor premium WordPress-plug-ins helpt ook niet om de gemeenschap als geheel te laten groeien. We moeten ontwikkelaars ondersteunen.

Hier leest u hoe u een WordPress-thema correct verwijdert .

U kunt een online tool zoals  VirusTotal gebruiken  om een ​​plug-in of themabestanden te scannen om te zien of deze enige vorm van malware detecteren.VirusTotal

VirusTotal

Hoe WordPress Core te updaten

Er zijn een paar eenvoudige manieren om uw WordPress-installatie bij te werken. Als je een Kinsta-klant bent, hebben we automatische back-ups geleverd met een hersteloptie met één klik. Op deze manier kunt u nieuwe versies van WordPress en plug-ins testen zonder dat u zich zorgen hoeft te maken dat er iets kapot gaat. Of u kunt ook eerst testen in onze testomgeving .

Om de WordPress-kern bij te werken, klikt u op “Updates” in uw WordPress-dashboard en klikt u op de knop “Nu bijwerken”.Werk de WordPress-kern bij

Werk de WordPress-kern bij

U kunt WordPress ook handmatig bijwerken door de nieuwste versie te downloaden en deze via SFTP te uploaden.Belangrijk! Overschrijven van de verkeerde mappen kan uw site beschadigen als deze niet correct wordt uitgevoerd. Als u dit niet prettig vindt, neem dan eerst contact op met een ontwikkelaar.

Volg de onderstaande stappen om  uw bestaande installatie bij te werken:

  1. Verwijder de oude wp-includesen wp-adminmappen.
  2. Upload de nieuwe wp-includesen wp-adminmappen.
  3. Upload de afzonderlijke bestanden van de nieuwe wp-contentmap naar uw bestaande wp-contentmap en overschrijf bestaande bestanden. Verwijder uw bestaande wp-contentmap NIET . Verwijder GEEN bestanden of mappen in uw bestaande wp-contentmap (behalve degene die wordt overschreven door nieuwe bestanden).
  4. Upload alle nieuwe losse bestanden vanuit de hoofdmap van de nieuwe versie naar uw bestaande WordPress-hoofdmap.

Hoe WordPress-plug-ins te updaten

Het bijwerken van uw WordPress-plug-ins is een vergelijkbaar proces als het bijwerken van de WordPress-kern. Klik op “Updates” in uw WordPress-dashboard, selecteer de plug-ins die u wilt bijwerken en klik op “Plug-ins bijwerken”.Update WordPress-plug-ins

Update WordPress-plug-ins

Evenzo kunt u een plug-in ook handmatig bijwerken. Pak gewoon de nieuwste versie van de plug-inontwikkelaar of WordPress-repository en upload deze via FTP, waarbij de bestaande plug-in in de /wp-content/pluginsdirectory wordt overschreven  .We hebben ons verkeer met 1,187% vergroot met WordPress. 
We laten je zien hoe.Sluit je aan bij 20.000 anderen die onze wekelijkse nieuwsbrief ontvangen met insider WordPress-tips!ABONNEER NUAbonneer je op de Kinsta-nieuwsbriefInschrijvenIk ga akkoord met de Algemene voorwaarden en het Privacybeleid

Het is ook belangrijk op te merken dat ontwikkelaars hun plug-ins niet altijd up-to-date houden. Het team van WP Loop heeft een geweldige kleine analyse gemaakt van hoeveel WordPress-plug-ins in de repository niet up-to-date zijn met de huidige WordPress-kern. Volgens hun onderzoek is bijna 50% van de plug-ins in de repository al meer dan 2 jaar niet bijgewerkt .

Dit betekent niet dat de plug-in niet werkt met de huidige versie van WordPress, maar het wordt aanbevolen om plug-ins te kiezen die actief worden bijgewerkt. Verouderde plug-ins bevatten eerder beveiligingsproblemen.WordPress-plug-ins zijn niet bijgewerkt

img src: WP Loop

Gebruik uw gezond verstand als het gaat om plug-ins. Kijk naar de datum “Laatst bijgewerkt” en hoeveel beoordelingen een plug-in heeft. Zoals te zien is in het onderstaande voorbeeld, is deze verouderd en heeft het slechte recensies, dus we raden u waarschijnlijk aan om er vanaf te blijven. WordPress heeft ook een waarschuwing bovenaan de meeste plug-ins die al een tijdje niet zijn bijgewerkt.Oude WordPress-plug-in met slechte beoordelingen

Oude WordPress-plug-in met slechte beoordelingen

Er zijn ook veel bronnen om u te helpen op de hoogte te blijven van de nieuwste WordPress-beveiligingsupdates en kwetsbaarheden. Zie er enkele hieronder:

Beveiligingsarchief van WordPress

Beveiligingsarchief van WordPress

5. Vergrendel uw WordPress-beheerder

Soms is de populaire strategie van WordPress-beveiliging door duisternisvoldoende effectief voor een gemiddeld online bedrijf en een WordPress-site. Als je het voor hackers moeilijker maakt om bepaalde achterdeuren te vinden, wordt je minder snel aangevallen. Het vergrendelen van uw WordPress-beheerdersgebied en inloggen is een goede manier om uw beveiliging te verbeteren. Twee geweldige manieren om dit te doen, is eerst door uw standaard wp-admin login-URL te wijzigen en ook inlogpogingen te beperken.Beveiliging door onduidelijkheid kan een eenvoudige en effectieve manier zijn om uw WordPress-beveiliging te versterken. 🔒KLIK OM TE TWEETEN

Hoe u uw WordPress aanmeldings-URL kunt wijzigen

Standaard is de login-URL van uw WordPress-site domain.com / wp-admin . Een van de problemen hiermee is dat alle bots, hackers en scripts die er zijn ook dit weten. Door de URL te wijzigen, kunt u uzelf minder doelwit maken en uzelf beter beschermen tegen aanvallen met brute kracht. Dit is geen allesomvattende oplossing, het is gewoon een kleine truc die je zeker kan helpen beschermen.

Om uw WordPress login-URL te wijzigen , raden we u aan de gratis WPS Hide login- plug-in of de premium Perfmatters- plug-in te gebruiken. Beide plug-ins hebben een eenvoudig invoerveld. Vergeet niet om iets unieks te kiezen dat niet al op een lijst staat die een bot of script mogelijk probeert te scannen.Verberg de inlog-URL van WordPress met Perfmatters

Verberg de inlog-URL van WordPress met Perfmatters

Inlogpogingen beperken

Hoewel de bovenstaande oplossing om uw beheerdersaanmeldings-URL te wijzigen de meeste slechte aanmeldingspogingen kan helpen verminderen, kan het ook erg effectief zijn om een ​​limiet in te stellen. De gratis Cerber Limit Login Attempts- plug-in is een geweldige manier om eenvoudig lockout-duur, inlogpogingen en IP-whitelists en blacklists in te stellen.loginpogingen beperken wordpress

Beperk inlogpogingen in WordPress

Als u op zoek bent naar een eenvoudigere WordPress-beveiligingsoplossing, is een ander geweldig alternatief de gratis Login Lockdown- plug-in. Login LockDown registreert het IP-adres en tijdstempel van elke mislukte inlogpoging. Als binnen een korte periode van hetzelfde IP-bereik meer dan een bepaald aantal pogingen worden gedetecteerd, wordt de inlogfunctie uitgeschakeld voor alle verzoeken uit dat bereik. En het is volledig compatibel met de WPS Hide login-plug-in die we hierboven noemden.login lockdown wordpress

Vergrendelen van WordPress

Basis HTTP-verificatie toevoegen (htpasswd-beveiliging)

Een andere manier om uw beheerder te vergrendelen, is door HTTP-verificatie toe te voegen. Dit vereist een gebruikersnaam en wachtwoord om toegang te krijgen tot de WordPress-inlogpagina. Opmerking: dit mag over het algemeen niet worden gebruikt op eCommerce-sites of lidmaatschapssites. Maar het kan een zeer effectieve manier zijn om te voorkomen dat bots uw site raken..htpasswd authenticatie-prompt

.htpasswd authenticatie-prompt

Apache

Als u een cPanel-host gebruikt, kunt u met een wachtwoord beveiligde mappen inschakelen via hun configuratiescherm. Om het handmatig in te stellen, moet u eerst een  .htpasswdbestand aanmaken. Je kunt deze handige generator tool gebruiken . Upload het bestand vervolgens naar een map onder uw wp-admin-map, zoals:

home/user/.htpasswds/public_html/wp-admin/htpasswd/

Maak vervolgens een .htaccessbestand aan met de volgende code en upload het naar uw /wp-admin/directory. Zorg ervoor dat u het mappad en de gebruikersnaam bijwerkt.

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername

Het enige voorbehoud om het op deze manier te doen, is dat het AJAX (admin-ajax) aan de voorkant van je site zal breken. Dit is vereist voor sommige plug-ins van derden. Daarom moet u ook de volgende code toevoegen aan het bovenstaande .htaccess-bestand.

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Nginx

Als u Nginx gebruikt , kunt u de toegang ook beperken met HTTP-basisverificatie. Bekijk deze tutorial .

Als je je WordPress-site bij Kinsta host, kun je onze eenvoudige  tool voor wachtwoordbeveiliging (htpasswd) gebruiken in het MyKinsta-dashboard. U vindt het onder het gedeelte ‘Extra’ op uw site. Klik gewoon op “Inschakelen”, kies een gebruikersnaam en wachtwoord en u bent klaar!

Schakel .htpasswd-beveiliging in

Nadat het is ingeschakeld, heeft uw WordPress-site authenticatie nodig om er toegang toe te hebben. U kunt de inloggegevens op elk moment wijzigen of uitschakelen wanneer u deze niet langer nodig heeft.

Vergrendel een URL-pad

Als u een webapplicatie-firewall (WAF) zoals Cloudflare of Sucuri gebruikt, hebben ze ook manieren om een ​​URL-pad te vergrendelen. In wezen kunt u een regel instellen zodat alleen uw IP-adres toegang heeft tot de login-URL van uw WordPress-beheerder. Nogmaals, dit mag over het algemeen niet worden gebruikt op eCommerce-sites of lidmaatschapssites, omdat ze ook afhankelijk zijn van toegang tot de back-end van uw site.

  • Cloudflare heeft een lockdown-URL-functie in hun Pro- en hogere accounts. U kunt voor elke URL of elk pad een regel instellen.
  • Sucuri heeft een blacklist-URL- padfunctie . Vervolgens kunt u uw eigen IP op de witte lijst zetten.

6. Profiteer van authenticatie in twee stappen

En natuurlijk mogen we tweefactorauthenticatie niet vergeten! Hoe veilig uw wachtwoord ook is, er bestaat altijd een risico dat iemand het ontdekt. Twee-factor-authenticatie omvat een proces in twee stappen waarbij u niet alleen uw wachtwoord nodig heeft om in te loggen, maar een tweede methode. Het is over het algemeen een tekst (sms), telefoontje of op tijd gebaseerd eenmalig wachtwoord (TOTP). In de meeste gevallen is dit 100% effectief in het voorkomen van brute force-aanvallen op uw WordPress-site. Waarom? Omdat het bijna onmogelijk is dat de aanvaller zowel uw wachtwoord als uw mobiele telefoon heeft.

Er zijn eigenlijk twee delen als het gaat om tweefactorauthenticatie. De eerste is uw account en / of dashboard dat u bij uw webhostingprovider heeft. Als iemand hier toegang toe krijgt, kunnen ze uw wachtwoorden wijzigen, uw websites verwijderen, DNS-records wijzigen en allerlei vreselijke dingen. Wij hier bij Kinsta werken samen met Authy  en hebben tweefactorauthenticatie beschikbaar voor je MyKinsta-dashboard.

Het tweede deel van tweefactorauthenticatie heeft betrekking op uw daadwerkelijke WordPress-installatie . Hiervoor zijn er een paar plug-ins die we aanbevelen:

Veel van deze hebben hun eigen Authenticator-apps die u op uw telefoon kunt installeren:

Na het installeren en configureren van een van de bovenstaande plug-ins, heeft u doorgaans een extra veld op uw WordPress-inlogpagina om uw beveiligingscode in te voeren. Of, met de Duo-plug-in, logt u eerst in met uw inloggegevens en moet u vervolgens een verificatiemethode kiezen, zoals Duo Push, bellen of toegangscode.

Deze methode kan gemakkelijk worden gecombineerd met het wijzigen van uw standaard login-URL, die we eerder hebben besproken. Dus niet alleen uw WordPress login-URL is iets dat u alleen kent, maar het vereist nu extra authenticatie om binnen te komen. 💪WordPress authenticatorpagina met twee factoren

WordPress authenticatorpagina met twee factoren

Zorg er dus voor dat u profiteert van tweefactorauthenticatie, het kan een eenvoudige manier zijn om uw WordPress-beveiliging te verbeteren.

7. Gebruik HTTPS voor gecodeerde verbindingen – SSL-certificaat

Een van de meest over het hoofd geziene manieren om uw WordPress-beveiliging te verbeteren, is door een SSL-certificaat te installeren en uw site via HTTPS uit te voeren. HTTPS (Hyper Text Transfer Protocol Secure) is een mechanisme waarmee uw browser of webtoepassing veilig verbinding kan maken met een website. Een grote misvatting is dat als je geen creditcards accepteert, je geen SSL nodig hebt.

Laten we een paar redenen uitleggen waarom HTTPS belangrijker is dan alleen e-commerce. Veel hosts, waaronder Kinsta, bieden gratis SSL-certificaten aan met Let’s Encrypt .HTTPS-gecodeerde verbindingen

HTTPS-gecodeerde verbindingen

1. Beveiliging

Natuurlijk is de grootste reden voor HTTPS de extra beveiliging, en ja, dit heeft sterk betrekking op eCommerce-sites. Maar hoe belangrijk is uw login-informatie? Voor degenen onder u die WordPress-websites met meerdere auteurs gebruiken: als u via HTTP werkt, wordt elke keer dat iemand inlogt, die informatie in platte tekst aan de server doorgegeven. HTTPS is absoluut essentieel om een ​​veilige verbindingtussen een website en een browser te behouden. Op deze manier kunt u beter voorkomen dat hackers en of een tussenpersoon toegang krijgen tot uw website.

Dus of u nu een blog, nieuwssite, bureau , enz. Heeft, ze kunnen allemaal profiteren van HTTPS, omdat dit ervoor zorgt dat er nooit iets in platte tekst wordt doorgegeven.

2. SEO

Google heeft officieel gezegd dat HTTPS een rankingfactor is . Hoewel het slechts een kleine rankingfactor is, zouden de meesten van jullie waarschijnlijk elk voordeel dat je kunt krijgen in SERP’s gebruiken om je concurrenten te verslaan.

3. Vertrouwen en geloofwaardigheid

Volgens een enquête van GlobalSign zoekt 28,9% van de bezoekers naar de groene adresbalk in hun browser. En 77% van hen maakt zich zorgen dat hun gegevens online worden onderschept of misbruikt. Door dat groene hangslot te zien, krijgen klanten meteen meer gemoedsrust in de wetenschap dat hun gegevens veiliger zijn.

4. Verwijzingsgegevens

Veel mensen realiseren zich niet dat HTTPS naar HTTP-verwijzingsgegevens worden geblokkeerd in Google Analytics. Dus wat gebeurt er met de gegevens? Nou, het meeste is gewoon samengevoegd met de sectie “direct verkeer”. Als iemand van HTTP naar HTTPS gaat, wordt de verwijzer nog steeds doorgegeven.

5. Chrome-waarschuwingen

Vanaf  24 juli 2018 begonnen versies van Chrome 68 en hoger alle niet-HTTPS-sites te markeren als ‘Niet veilig’. Ongeacht of ze gegevens verzamelen of niet. Dit is waarom HTTPS belangrijker is dan ooit!

Dit is vooral belangrijk als uw website het grootste deel van het verkeer van Chrome ontvangt. U kunt in Google Analytics kijken onder het gedeelte Publiek in Browser en besturingssysteem, zodat u kunt zien hoeveel verkeer uw WordPress-site van Google Chrome ontvangt. Google maakt het bezoekers veel duidelijker dat uw WordPress-website mogelijk niet op een beveiligde verbinding draait.Chrome niet beveiligde website

Chrome is geen veilige website

6. Prestaties

Vanwege een protocol met de naam HTTP / 2 kunnen degenen die correct geoptimaliseerde sites via HTTPS gebruiken, zelfs snelheidsverbeteringen zien. HTTP / 2 vereist HTTPS vanwege browserondersteuning. De prestatieverbetering is te wijten aan verschillende redenen, zoals dat HTTP / 2 betere multiplexing, parallellisme, HPACK-compressie met Huffman-codering, de ALPN-extensie en server-push kan ondersteunen.

En met  TLS 1.3 zijn HTTPS-verbindingen nog sneller. Kinsta ondersteunt TLS 1.3 op al onze servers en onze Kinsta CDN.

Nu aan HTTPS denken? Bekijk onze uitgebreide WordPress HTTPS-migratiehandleiding om u op weg te helpen en meer te leren in onze TLS versus SSL-vergelijking .

Om een ​​veilige, versleutelde verbinding tussen u en de server af te dwingen bij het inloggen op en het beheren van uw site, voegt u de volgende regel toe aan uw wp-config.phpbestand:

definiëren ('FORCE_SSL_ADMIN', waar);

(Aanbevolen literatuur: als u verouderde TLS-versies gebruikt, wilt u misschien ERR_SSL_OBSOLETE_VERSION- meldingen in Chrome repareren ).

8. Harden Uw wp-config.php-bestand

Uw wp-config.php- bestand is als het hart en de ziel van uw WordPress-installatie. Het is verreweg het belangrijkste bestand op uw site als het gaat om WordPress-beveiliging. Het bevat uw database-inloggegevens en beveiligingssleutels die de codering van informatie in cookies afhandelen. Hieronder vindt u een aantal dingen die u kunt doen om dit belangrijke bestand beter te beschermen.

1. Verplaats wp-config.php

Standaard staat uw wp-config.php-bestand in de hoofdmap van uw WordPress-installatie (uw  /publicHTML-map). Maar u kunt dit naar een niet-www toegankelijke directory verplaatsen. Aaron Adams schreef een geweldige uitleg waarom  dit nuttig is.

Om uw wp-config.phpbestand te verplaatsen , kopieert u gewoon alles eruit naar een ander bestand. Vervolgens kunt wp-config.phpu in uw bestand het volgende fragment plaatsen om eenvoudig uw andere bestand op te nemen. Opmerking: het mappad kan verschillen afhankelijk van uw webhost en configuratie. Meestal is het echter slechts één map hierboven.

<? php
omvatten ('/ home / uwnaam / wp-config.php');

Let op: dit werkt niet voor Kinsta-klanten en zal de functionaliteit op ons platform verstoren. Dit komt omdat onze open_basedir-beperkingen ~/publicom veiligheidsredenen geen uitvoering van PHP boven de directory toestaan . Het goede nieuws is dat we dit voor je regelen! We doen in feite hetzelfde door de toegang tot wp-login.phpde ~/publicdirectory te blokkeren . Onze standaard Nginx-configuratie bevat een regel die een 403 retourneert voor elke poging tot toegang wp-config.php.

2. Update WordPress-beveiligingssleutels

WordPress-beveiligingssleutels zijn een reeks willekeurige variabelen die de codering van informatie die in de cookies van de gebruiker is opgeslagen, verbetert. Sinds WordPress 2.7 er 4 verschillende sleutels zijn: AUTH_KEYSECURE_AUTH_KEY,  LOGGED_IN_KEY, en  NONCE_KEY.

Wanneer u WordPress installeert, worden deze willekeurig voor u gegenereerd. Als je echter meerdere migraties hebt doorlopen (bekijk onze samengestelde lijst met de beste WordPress-migratieplug-ins ) of een site van iemand anders hebt gekocht, kan het goed zijn om nieuwe WordPress-sleutels te maken.

WordPress heeft eigenlijk een gratis tool die je kunt gebruiken om willekeurige sleutels te genereren . U kunt uw huidige sleutels bijwerken die zijn opgeslagen in uw wp-config.php-bestand .Beveiligingssleutels van WordPress

Beveiligingssleutels van WordPress

Lees meer over WordPress-beveiligingssleutels .

3. Wijzig de machtigingen

Doorgaans worden bestanden in de hoofdmap van een WordPress-site ingesteld op 644, wat betekent dat bestanden leesbaar en schrijfbaar zijn door de eigenaar van het bestand en leesbaar zijn door gebruikers in de groepseigenaar van dat bestand en leesbaar zijn voor iedereen. Volgens de WordPress-documentatie moeten de rechten op het wp-config.phpbestand worden ingesteld op 440 of 400 om te voorkomen dat andere gebruikers op de server het lezen. U kunt dit eenvoudig wijzigen met uw FTP-client .wp-config.php permissies

wp-config.php permissies

Op sommige hostingplatforms moeten de rechten mogelijk anders zijn omdat de gebruiker die de webserver draait geen toestemming heeft om bestanden te schrijven. Als u hier niet zeker van bent, neem dan contact op met uw hostingprovider.

9. Schakel XML-RPC uit

In de afgelopen jaren is XML-RPC een  steeds groter doelwit geworden voor brute force-aanvallen. Zoals Sucuri al zei, is een van de verborgen functies van XML-RPC dat u de methode system.multicall kunt gebruiken om meerdere methoden uit te voeren binnen één verzoek. Dat is erg handig omdat het toepassing toestaat om meerdere opdrachten door te geven binnen één HTTP-verzoek. Maar wat ook gebeurt, is dat het wordt gebruikt voor kwaadaardige bedoelingen.

Er zijn een paar WordPress-plug-ins zoals Jetpack die afhankelijk zijn van XML-RPC, maar de meeste mensen hebben dit niet nodig en het kan nuttig zijn om de toegang ertoe eenvoudig uit te schakelen. Weet u niet zeker of XML-RPC momenteel op uw website wordt uitgevoerd? Danilo Ercoli, van het Automattic-team, schreef een kleine tool genaamd de  XML-RPC Validator . U kunt uw WordPress-site doorlopen om te zien of XML-RPC is ingeschakeld. Als dat niet het geval is, zie je een foutbericht zoals weergegeven in de onderstaande afbeelding op het Kinsta-blog.controleer wordpress xml-rpc

WordPress XML-RPC-validator

Om dit volledig uit te schakelen kunt u de gratis Disable XML-RPC  plugin installeren . Of u kunt het uitschakelen met de premium perfmatters- plug-in, die ook verbeteringen in de webprestaties bevat.

Als je hier bij Kinsta klant bent, is dit niet nodig, want wanneer een aanval via XML-RPC wordt gedetecteerd, wordt er een klein codefragment toegevoegd aan het NGINX-configuratiebestand om ze in hun sporen te stoppen, wat een 403-fout oplevert.

location ~* ^/xmlrpc.php$ {
return 403;
}

10. Verberg uw WordPress-versie

Het verbergen van uw WordPress-versie raakt opnieuw het onderwerp van WordPress-beveiliging door onduidelijkheid . Hoe minder andere mensen weten over uw WordPress-siteconfiguratie, hoe beter. Als ze zien dat u een verouderde WordPress-installatie uitvoert, kan dit een welkom teken zijn voor indringers. Standaard wordt de WordPress-versie weergegeven in de koptekst van de broncode van uw site. Nogmaals, we raden u aan ervoor te zorgen dat uw WordPress-installatie altijd up-to-date is, zodat u zich hier geen zorgen over hoeft te maken.Worstel je met downtime en WordPress-problemen? Kinsta is de hostingoplossing die is ontworpen om je tijd te besparen! Bekijk onze functiesbroncode van WordPress-versie

WordPress-versie in broncode

U kunt de volgende code gebruiken om dit te verwijderen. Voeg het eenvoudig toe aan het bestand van uw WordPress-thema functions.php.Belangrijk! Als u de broncode van een WordPress-thema bewerkt, kan uw site kapot gaan als deze niet correct wordt uitgevoerd. Als u dit niet prettig vindt, neem dan eerst contact op met een ontwikkelaar.

functie wp_version_remove_version () {
terugkeer '';
}
add_filter ('the_generator', 'wp_version_remove_version');

Je kunt ook een premium plug-in gebruiken, zoals  perfmatters  (ontwikkeld door een teamlid bij Kinsta), waarmee je de WordPress-versie met één klik kunt verbergen, samen met andere optimalisaties voor je WordPress-site.Verberg WordPress-versie met Perfmatters

Verberg WordPress-versie met Perfmatters

Een andere plaats waar de WordPress-versie verschijnt, is in het standaardbestand readme.html(zoals hieronder weergegeven) dat in elke WordPress-versie is opgenomen. Het is gelegen in de root van je installatie domain.com/readme.html. Je kunt dit bestand veilig verwijderen via FTP.wordpress versie readme

WordPress-versie in readme-bestand

Als u WordPress 5.0 of hoger gebruikt, is dit niet langer van toepassing omdat het versienummer niet langer in het bestand is opgenomen.

11. Voeg de nieuwste HTTP-beveiligingsheaders toe

Een andere stap die u kunt nemen om uw WordPress-beveiliging te verbeteren, is profiteren van HTTP-beveiligingsheaders. Deze zijn meestal geconfigureerd op webserverniveau en vertellen de browser hoe hij zich moet gedragen bij het omgaan met de inhoud van uw site. Er zijn veel verschillende HTTP-beveiligingsheaders, maar hieronder staan ​​meestal de belangrijkste.

KeyCDN heeft een geweldige diepgaande post als u meer wilt lezen over HTTP-beveiligingsheaders .

U kunt controleren welke headers momenteel worden uitgevoerd op uw WordPress-site door Chrome devtools te starten en te kijken naar de koptekst op de eerste reactie van uw site. Hieronder vind je een voorbeeld op kinsta.com. U kunt zien dat we met behulp van de strict-transport-securityx-content-typeen x-frame-optionsheaders.HTTP-beveiligingsheaders

HTTP-beveiligingsheaders

U kunt ook uw WordPress-website scannen met de gratis securityheaders.io- tool van Scott Helme. Dit laat zien welke HTTP-beveiligingsheaders u momenteel op uw site heeft. Als je niet zeker weet hoe je ze moet implementeren, kun je altijd aan je host vragen of ze kunnen helpen.http-beveiliging headers scannen

HTTP-beveiligingsheaders scannen

Opmerking: het is ook belangrijk om te onthouden dat wanneer u HTTP-beveiligingsheaders implementeert, hoe dit uw WordPress-subdomeinen kan beïnvloeden . Als u bijvoorbeeld de koptekst Content Security Policy toevoegt en de toegang per domein beperkt, moet u ook uw eigen subdomeinen toevoegen.

12. Gebruik WordPress Security Plugins

En natuurlijk moeten we enkele WordPress-beveiligingsplug-ins enkele vermeldingen geven. Er zijn veel geweldige ontwikkelaars en bedrijven die geweldige oplossingen bieden om uw WordPress-site beter te beschermen. Hier zijn er een paar.

Kinsta heeft hardwarefirewalls, actieve en passieve beveiliging, controle van de uptime per minuut en tal van andere geavanceerde functies om te voorkomen dat aanvallers toegang krijgen tot uw gegevens. Als, ondanks onze inspanningen, uw site is gehackt , zullen we deze gratis repareren .

Hier zijn enkele typische functies en toepassingen van de bovenstaande plug-ins:

  • Genereer en forceer sterke wachtwoorden bij het maken van gebruikersprofielen
  • Zorg ervoor dat wachtwoorden verlopen en regelmatig opnieuw worden ingesteld
  • Logging van gebruikersacties
  • Eenvoudige updates van WordPress-beveiligingssleutels
  • Scannen op malware
  • Twee-factor-authenticatie
  • reCAPTCHA’s
  • Beveiligingsfirewalls van WordPress
  • IP-whitelisting
  • IP-blacklisting
  • Bestandsveranderingen
  • Controleer DNS-wijzigingen
  • Blokkeer kwaadaardige netwerken
  • Bekijk WHOIS-informatie over bezoekers

Een zeer belangrijke functie dat veel beveiligingsplug-ins een checksum-hulpprogramma bevatten. Dit betekent dat ze uw WordPress-installatie inspecteren en zoeken naar wijzigingen in de kernbestanden zoals geleverd door WordPress.org (via de API). Elke wijziging of aanpassing van deze bestanden kan duiden op een hack. U kunt ook WP-CLI gebruiken om uw eigen checksum uit te voeren .

Zorg ervoor dat u onze grondige gids over bestandsintegriteitsbewaking leest .

Een andere geweldige plug-in die een eervolle vermelding verdient, is de WP Security Audit Log-plug-in . Dit is geweldig voor degenen onder u die werken op WordPress -sites met meerdere sites of gewoon met meerdere auteurs. Het helpt de productiviteit van gebruikers te waarborgen en laat beheerders alles zien wat wordt veranderd; zoals aanmeldingen, wachtwoordwijzigingen, themawijzigingen, widgetwijzigingen, nieuwe postcreaties, WordPress-updates, enz.

Het is een complete WordPress-logboekoplossing  . Op het moment van schrijven heeft de WP Security Audit Log-plug-in meer dan 80.000 actieve installaties met een beoordeling van 4,7 uit 5 sterren.WordPress beveiligingsaudit logboek

Logboekviewer voor beveiligingsaudits

Het heeft ook extra premium add-ons, zoals e-mailmeldingen, gebruikerssessiebeheer, zoeken en rapporten. Bekijk deze extra WordPress-beveiligingsplug-ins die de slechteriken kunnen helpen buitensluiten.

13. Harden Database Security

Er zijn een aantal manieren om de beveiliging van uw WordPress-database te verbeteren. De eerste is om een slimme databasenaam te gebruiken . Als uw site volleybaltrucs wordt genoemd, wordt uw WordPress-database standaard waarschijnlijk genoemd wp_volleyballtricks. Door uw databasenaam te veranderen in iets onduidelijker, helpt het uw site te beschermen door het voor hackers moeilijker te maken om uw databasegegevens te identificeren en te openen. De mensen bij WPMUDEV hebben een geweldige kleine tutorial geschreven over het wijzigen van uw databasenaam op bestaande installaties.

Een tweede aanbeveling is om een ​​ander prefix van de databasetabel te gebruiken. Standaard gebruikt WordPress wp_. Dit wijzigen in zoiets 39xw_kan veel veiliger zijn. Wanneer u WordPress installeert, wordt er om een ​​tabelvoorvoegsel gevraagd (zoals hieronder weergegeven). Er zijn ook manieren om het prefix van de WordPress-tabel op bestaande installaties te wijzigen. Als je een Kinsta-klant bent, is dit niet nodig. We hebben de site en databank vergrendeld!wordpress tabel prefix

WordPress tabel prefix – img src: jatinarora

14. Gebruik altijd beveiligde verbindingen

We kunnen niet genoeg benadrukken hoe belangrijk het is om veilige verbindingen te gebruiken! Zorg ervoor dat uw WordPress-host voorzorgsmaatregelen neemt, zoals het aanbieden van SFTP of SSH. SFTP of Secure File Transfer Protocol (ook bekend als SSH-protocol voor bestandsoverdracht), is een netwerkprotocol dat wordt gebruikt voor bestandsoverdracht. Het is een veiligere methode dan standaard FTP.

We ondersteunen alleen SFTP-verbindingen bij Kinsta om ervoor te zorgen dat uw gegevens veilig en versleuteld blijven. De meeste WordPress-hosts gebruiken ook meestal poort 22 voor SFTP. We gaan hier bij Kinsta nog een stap verder en elke site heeft een gerandomiseerde poort die je kunt vinden in je MyKinsta-dashboard.

SFTP-details in MyKinsta.

Het is ook belangrijk om ervoor te zorgen dat uw thuisrouter correct is ingesteld. Als iemand je thuisnetwerk hackt, kunnen ze toegang krijgen tot allerlei informatie, waaronder mogelijk waar je belangrijke informatie over je WordPress-site (s) wordt opgeslagen. Hier volgen enkele eenvoudige tips:

  • Schakel extern beheer (VPN) niet in. Typische gebruikers gebruiken deze functie nooit en door deze uit te schakelen, kunt u voorkomen dat uw netwerk wordt blootgesteld aan de buitenwereld.
  • Routers gebruiken standaard IP’s in het bereik zoals 192.168.1.1. Gebruik een ander bereik, zoals 10.9.8.7.
  • Schakel het hoogste versleutelingsniveau in op uw wifi.
  • IP zet uw wifi op de witte lijst zodat alleen mensen met het wachtwoord en een bepaald IP-adres er toegang toe hebben.
  • Houd de firmware op uw router up-to-date.

En wees altijd voorzichtig bij het inloggen op uw WordPress-site op openbare locaties. Vergeet niet dat Starbucks geen beveiligd netwerk is! Neem voorzorgsmaatregelen zoals het verifiëren van de netwerk-SSID voordat u op verbinden klikt. U kunt ook een externe VPN-service zoals ExpressVPN gebruiken om uw internetverkeer te versleutelen en uw IP-adres te verbergen voor hackers.

15. Controleer de machtigingen voor bestanden en servers

Bestandsrechten op zowel uw installatie als webserver zijn cruciaal om uw WordPress-beveiliging te versterken. Als de rechten te los zijn, kan iemand gemakkelijk toegang krijgen tot uw site en grote schade aanrichten. Aan de andere kant, als uw rechten te strikt zijn, kan dit de functionaliteit op uw site verstoren. Het is dus belangrijk om over de hele linie de juiste machtigingen te hebben.

Bestandsrechten

  • Lees  machtigingen worden toegewezen als de gebruiker rechten heeft om het bestand te lezen.
  • Write rechten worden toegekend als de gebruiker rechten om te schrijven of het bestand te wijzigen.
  • Uitvoerrechten worden toegewezen als de gebruiker de rechten heeft om het bestand uit te voeren en / of als script uit te voeren.

Directory machtigingen

  • Lees  machtigingen worden toegewezen als de gebruiker toegang krijgt tot de inhoud van de geïdentificeerde map / directory heeft.
  • Write rechten worden toegekend als de gebruiker de rechten toe te voegen of te verwijderen bestanden die zijn opgenomen in de map / directory heeft.
  • Uitvoerrechten worden toegewezen als de gebruiker de rechten heeft om toegang te krijgen tot de daadwerkelijke directory en functies en opdrachten uit te voeren, inclusief de mogelijkheid om de gegevens in de map / directory te verwijderen.

U kunt een gratis plug-in zoals iThemes Security gebruiken om de rechten op uw WordPress-site te scannen.machtigingen voor WordPress-bestanden

Scan van machtigingen voor WordPress-bestanden

Hier zijn enkele typische aanbevelingen voor machtigingen als het gaat om bestands- en mapmachtigingen in WordPress. Zie het WordPress Codex-artikel over het wijzigen van bestandsrechten voor een meer diepgaande uitleg.

  • Alle bestanden moeten 644 of 640 zijn. Uitzondering: wp-config.php moet 440 of 400 zijn om te voorkomen dat andere gebruikers op de server het lezen.
  • Alle mappen moeten 755 of 750 zijn.
  • Geen mappen zouden ooit 777 moeten krijgen, zelfs geen mappen uploaden.

16. Schakel het bewerken van bestanden uit in het WordPress-dashboard

Veel WordPress-sites hebben meerdere gebruikers en beheerders, wat de beveiliging van WordPress ingewikkelder kan maken. Het is een zeer slechte gewoonte om auteurs of bijdragers beheerderstoegang te geven , maar helaas gebeurt dit altijd. Het is belangrijk om gebruikers de juiste rollen en rechten te geven, zodat ze niets kapot maken. Daarom kan het nuttig zijn om de “Appearance Editor” in WordPress eenvoudig uit te schakelen.

De meesten van jullie zijn er waarschijnlijk op een of ander moment geweest. Je gaat snel iets bewerken in de Appearance Editor en opeens heb je een wit scherm met de dood . Het is veel beter om het bestand lokaal te bewerken en via FTP te uploaden. En natuurlijk, in de beste praktijk, zou u dit soort dingen eerst op een ontwikkelingssite moeten testen.WordPress uiterlijk editor

WordPress uiterlijk editor

Ook als uw WordPress site is gehackt het allereerste wat ze zouden kunnen doen is proberen om te bewerken een PHP-bestand of thema via de Appearance Editor. Dit is een snelle manier om schadelijke code op uw site uit te voeren. Als ze hiertoe vanaf het dashboard geen toegang hebben, kan dit aanvallen helpen voorkomen. Plaats de volgende code in uw wp-config.phpbestand om de ‘edit_themes’, ‘edit_plugins’ en ‘edit_files’ mogelijkheden van alle gebruikers te verwijderen.

definiëren ('DISALLOW_FILE_EDIT', waar);

17. Voorkom hotlinking

Het concept van hotlinking is heel eenvoudig. U vindt ergens een afbeelding op internet en gebruikt de URL van de afbeelding rechtstreeks op uw site. Deze afbeelding wordt weergegeven op uw website, maar wordt weergegeven vanaf de oorspronkelijke locatie. Dit is eigenlijk diefstal omdat het de bandbreedte van de hotlinked site gebruikt. Dit lijkt misschien niet zo belangrijk, maar het kan veel extra kosten met zich meebrengen.

De havermout is een geweldig voorbeeld. De Huffington Post hotlinkte een cartoon van hem die uit meerdere afbeeldingen bestond en die maar liefst $ 1.000 + rekening opleverde.hotlinking

Hotlinking-factuur

Voorkom hotlinking in Apache

Om hotlinking in Apache te voorkomen , voegt u gewoon de volgende code toe aan uw .htaccessbestand.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

De tweede rij definieert de toegestane verwijzer – de site die rechtstreeks naar de afbeelding mag linken, dit zou uw eigenlijke website moeten zijn. Als u meerdere sites wilt toestaan, kunt u deze rij dupliceren en de verwijzer vervangen. Als je wat complexere regels wilt genereren, bekijk dan deze htaccess hotlink-beschermingsgenerator .

Voorkom hotlinking in NGINX

Om hotlinking in NGINX te voorkomen, voegt u gewoon de volgende code toe aan uw configuratiebestand.

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

Voorkom hotlinking op CDN

Als u uw afbeeldingen van een CDN bedient, kan de configuratie enigszins afwijken. Hier zijn enkele bronnen met populaire CDN-providers.

18. Neem altijd back-ups

Back-ups zijn het enige dat iedereen weet dat ze nodig hebben, maar niet altijd nemen. De meeste van de bovenstaande aanbevelingen zijn beveiligingsmaatregelen die u kunt nemen om uzelf beter te beschermen. Maar hoe veilig uw site ook is, hij zal nooit 100% veilig zijn. U wilt dus back-ups voor het geval het ergste gebeurt.

De meeste beheerde WordPress-hostingproviders bieden nu back-ups. Kinsta heeft vijf verschillende soorten back-ups, waaronder  geautomatiseerde back-ups zodat je ‘s nachts rustig kunt slapen. U kunt zelfs met één klik uw site herstellen.

Back-ups in MyKinsta.

Als uw host geen back-ups heeft, zijn er enkele populaire WordPress-services en plug-ins die u kunt gebruiken om het proces te automatiseren.

WordPress back-upservices

WordPress-back-upservices hebben meestal een laag maandelijks bedrag en slaan uw back-ups voor u op in de cloud.

WordPress back-up plug-ins

Met WordPress-back-upplug-ins kunt u uw back-ups via FTP ophalen of integreren met een externe opslagbron zoals Amazon S3, Google Cloud Storage, Google Drive of Dropbox. We raden u ten zeerste aan om een ​​incrementele oplossing te gebruiken, zodat deze minder middelen gebruikt.

Opmerking: we staan ​​geen niet-incrementele back-upplug-ins toe op Kinsta-servers vanwege prestatieproblemen. Maar dit komt omdat we dit allemaal op serverniveau voor u doen, zodat uw WordPress-site niet wordt vertraagd.

19. DDoS-bescherming

DDoS is een type DOS-aanval waarbij meerdere systemen worden gebruikt om een ​​enkel systeem aan te vallen dat een Denial of Service (DoS) -aanval veroorzaakt. DDoS-aanvallen zijn niets nieuws – volgens Britannica dateert de eerste gedocumenteerde zaak uit begin 2000. In tegenstelling tot iemand die uw site hackt, zijn dit soort aanvallen normaal gesproken niet schadelijk voor uw site, maar zullen ze uw site gewoon een paar uur of dagen uitschakelen .

Wat kun je doen om jezelf te beschermen? Een van de beste aanbevelingen is om een ​​betrouwbare beveiligingsservice van derden te gebruiken, zoals Cloudflare  of Sucuri . Als u een bedrijf runt, kan het logisch zijn om te investeren in hun premiumplannen.DDoS-bescherming tegen Cloudflare en Sucuri

DDoS-bescherming tegen Cloudflare en Sucuri

Hun geavanceerde DDoS-bescherming kan worden gebruikt om DDoS-aanvallen van alle soorten en maten te verminderen, inclusief aanvallen die gericht zijn op de UDP- en ICMP-protocollen, evenals SYN / ACK, DNS-versterking en Layer 7-aanvallen. Andere voordelen zijn onder meer u achter een proxy te plaatsen die helpt om uw oorspronkelijke IP-adres te verbergen, hoewel het niet kogelvrij is.

Bekijk onze casestudy over het stoppen van een DDoS-aanval . We hadden een klant met een kleine e-commercesite waarop Easy Digital Downloads werd uitgevoerd en die binnen 7 dagen meer dan 5 miljoen verzoeken op één pagina ontving . De site genereerde doorgaans slechts 30-40 MB per dag aan bandbreedte en een paar honderd bezoekers per dag. Maar uit het niets ging de site meteen naar 15-19 GB aan gegevensoverdracht per dag! Dat is een  stijging van 4650% . En Google Analytics toonde geen extra verkeer. Dat is dus niet goed.Hoge bandbreedte door DDoS-aanval

Hoge bandbreedte door DDoS-aanval

De klant implementeerde Sucuri’s webapplicatie-firewall op hun site en alle bandbreedte en verzoeken vielen onmiddellijk op de site (zoals hieronder te zien) en sindsdien is er geen enkel probleem meer geweest. Dus zeker een goede investering en tijdsbesparing als je dit soort problemen tegenkomt.Sucuri webapplicatie firewall toegevoegd

Sucuri webapplicatie firewall toegevoegd

Overzicht

Zoals u kunt zien, zijn er tal van manieren waarop u uw WordPress-beveiliging kunt verbeteren. Het gebruik van slimme wachtwoorden, het up-to-date houden van de kern en plug-ins en het kiezen van een veilige beheerde WordPress-host zijn slechts enkele voorbeelden die ervoor zorgen dat uw WordPress-site veilig blijft werken. Voor velen van u is uw WordPress-site zowel uw bedrijf als uw inkomen, dus het is belangrijk om wat tijd te nemen en een aantal van de hierboven genoemde best practices voor beveiliging te implementeren, eerder dan later.

Heeft u belangrijke WordPress-beveiligingstips die we hebben gemist? Laat het ons dan gerust weten in de comments.


0 Comments

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Choose A Format
Personality quiz
Series of questions that intends to reveal something about the personality
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Countdown
The Classic Internet Countdowns
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Meme
Upload your own images to make custom memes
Video
Youtube, Vimeo or Vine Embeds
Audio
Soundcloud or Mixcloud Embeds
Image
Photo or GIF
Gif
GIF format