Hulpartikel overzicht

Hulpartikel

WordPress beveiligen

WordPress is het meest gebruikte CMS-systeem ter wereld en daarmee een geliefd doelwit voor aanvallen. Zelfs een veilig ingerichte server kan spam gaan versturen als daarop gehoste websites niet veilig zijn.

In dit artikel bespreken wij een aantal tips om je WordPress-website veilig te houden en te voorkomen dat je website spam verstuurt:
 

 


Patchman bestellen

 

Patchman is een applicatie op onze webhostingservers. Als je Patchman bestelt en activeert, kunnen we je WordPress-website scannen op kwetsbaarheden of malware. Als er bekende kwetsbaarheden of malware aangetroffen worden, brengen we je hiervan op de hoogte. Patchman lost deze ook direct voor je op als je de automatische patching activeert. Zo voorkom je dat indringers jouw website misbruiken voor spam of phishing. 

Zie voor alle informatie over het bestellen en activeren van Patchman: Wat is Patchman?


Plugins en Thema's updaten

 

Je plugins en thema's updaten is een van de belangrijkste maatregelen die je kunt nemen om je website veilig te houden. Oudere versies van plugins en thema's zijn namelijk een veel voorkomend doelwit van aanvallen. Wij raden daarom aan om ten minste maandelijks te controleren op updates.

Daarnaast is het ook veiliger om zo min mogelijk geïnstalleerd te hebben op jouw website. Het uitzetten van een geïnstalleerde plugin of thema zorgt er namelijk voor dat de data nog wel aanwezig is. Verwijder daarom altijd alle plugins die je niet (meer) gebruikt.

Wanneer een plugin of thema geen recente updates (denk aan 3 tot 6+ maanden) heeft gekregen is het mogelijk dat deze niet meer worden bijgehouden. Je kunt dan het beste zoeken naar een vervangende plugin of thema.

WordPress gebruikt voor het updaten een heel eenvoudig proces:

 

Stap 1

Log in op de admin-omgeving van je WordPress-website (e.g. https://voorbeeld.nl/wp-admin).


 

Stap 2

Wanneer er updates beschikbaar zijn, zie je bovenaan een icoontje met daarbij een getal voor het aantal plugins en thema's waarvoor een update beschikbaar is. Klik op dit icoon, of onder 'dashboard' op 'updates'.

wordpress updates


 

Stap 3

Je komt nu op een pagina van waaruit je eenvoudig alle plugins in een keer kunt updaten. Klik hiervoor eerst onder 'Plugins' op 'Select All' en daarna op 'Update Plugins'.

wordpress updates plugins and themes

Als dit proces klaar is terug keer je terug naar de vorige pagina met 'Return to WordPRess Updates page'. Klik nu onder 'Themes' ook op 'Select All' en daarna op 'Update Themes'.


WordPress updaten

 

Naast je plugins en thema's is het belangrijk om ook WordPress up-to-date te houden (dit gebeurt automatisch vanaf WordPress 3.7). Niet alleen vanuit veiligheidsoogpunt, maar ook bijvoorbeeld om optimaal te werken met de laatste PHP-versies. Je kunt WordPress automatisch of handmatig updaten. Hoe dit werkt leggen wij uit in de volgende artikelen:


WordFence installeren

 

WordFence is een endpoint firewall en malware scanner voor WordPress-websites en is een goede keuze om je website mee te beveiligen. Je installeert en gebruikt de plugin als volgt:

 

Stap 1

Log in op de admin-omgeving van je WordPress-website (e.g. https://voorbeeld.nl/wp-admin).


 

Stap 2

Klik links op 'Plugins' en daarna op 'Add New'.

wordpress plugins add new


 

Stap 3

Zoek bovenaan rechts op 'Wordfence' en klik op 'Install Now' bij 'Wordfence Security - Firewall & Malware Scan'.

wordfence install now


 

Stap 4

Na de installatie zal de knop 'Install Now' veranderen in 'Activate' om WordFence in te schakelen.

wordpress wordfence activate


 

Stap 5

WordFence zal automatisch je website scannen. Je krijg een optie te zien waar je een e-mailadres kunt opgeven waar de resultaten naar gestuurd worden. Selecteer of je wel of geen security alerts en nieuws wel ontvangen, vink de optie aan waarmee je akkoord gaat met de voorwaarden en klik op 'Continue'.

wordfence alerts


 

Stap 6

Je krijgt nu een optie om te kiezen of je de betaalde premium versie wil gebruiken. Je kunt altijd later upgraden, dus kies nu voor 'No, thanks'.


 

Stap 7

In het linker menu in je admin-omgeving is nu een Wordfence optie verschenen. Klik hier op om Wordfence te openen.

Je krijgt eerst een korte uitleg te zien van de WordPress omgeving. Klik nadat je die gelezen hebt op 'Yes, enable auto-update' en daarna op 'Click here to configure'.

wordpress wordfence click to configure


 

Stap 8

Let op: Stap 8 en 9 van dit hoofdstuk zijn niet uitvoerbaar als je WordPress-website zich op een webhostingpakket bevindt. Om deze stappen uit te voeren, is namelijk de PHP-functie auto_prepend_file nodig.

 

De PHP-functie auto_prepend_file is echter uitgeschakeld op ons shared webhostingplatform. Dit is gedaan om de stabiliteit van het platform te kunnen waarborgen.

 

Dit betekent dat de WordFence Firewall niet op webhostingpakketten kan draaien voordat kwaadaardige code wordt uitgevoerd. De Firewall werkt verder echter wel en alle andere functies van WordFence zijn ook bruikbaar in combinatie met ons shared webhostingplatform. Dit betekent dat je WordFence zeker kan gebruiken om je WordPress-website te beveiligen!

Wordfence bied je nu aan een .htaccess bestand te installeren. Dit bestand zorgt ervoor dat Wordfence wordt uitgevoerd voordat kwaadaardige code wordt uitgevoerd. Download de back-up en klik daarna op 'Continue' om automatisch dit bestand op je WordPress-website te installeren.

wordfence download htaccess


 

Stap 9

Opties zoals brute force bescherming staan automatisch aan. Klik op 'Optimize the wordfence firewall' om nogmaals een aanpassing te maken, zoals in de vorige stap, aan je .htaccess file en deze keer ook aan user.ini.

wordpress wordfence protection level

Download de .htaccess en user.ini back-ups en klik wederom op 'Continue' om deze aanpassingen automatisch te laten toepassen.

wordfence optimize firewall

De melding om Wordfence te optimaliseren zal nog steeds zichtbaar zijn, ondanks dat je deze stappen al hebt doorlopen. Klik op 'Dismiss' om hem niet meer te zien.


 

Stap 10

Klik nu in het linker menu onder 'Wordfence' op 'Scan'. Wordfence doet dit in principe automatisch voor je, maar je kunt ook handmatig scannen door op 'Start new scan' te klikken om je website te scannen.

wordpress wordfence scan

Wordfence zal je een score geven voor hoe goed je website beveiligd is. Je website is na deze stappen prima beveiligd en de enige methode om de score op 100% te krijgen is een premium abonnement te nemen. Dit is echter optioneel en niet per se noodzakelijk.


 

Opmerking

Wordfence kan, als je de instellingen niet regelmatig nakijkt en aanpast in het begin, voor false positives zorgen. De situatie hangt af van hoe de website verder in elkaar zit, maar neem in eerste instantie de meldingen van de plugin met een korreltje zout en vergelijk deze met de activiteiten die je van de website zou verwachten. ;)


Een captcha gebruiken

 

Gebruikt je WordPress-website een contact-formulier, dan is het raadzaam een 'captcha' te gebruiken. Een captcha stelt vast of een website bezoeker een computer of een mens is. Door een captcha te gebruiken voorkom je dat automatische bots je formulier invullen, wat misbruikt kan worden om spam te versturen.

Een hele goede keuze hiervoor is Google's reCAPTCHA. Hiermee voeg je een captcha toe die automatisch je formulieren beveiligt. Je hoeft hiervoor enkel twee dingen te doen:

Als alternatief voor de reCAPTCHA van Google kun je ook een captcha-plugin installeren. hCaptcha is bijvoorbeeld een veelgebruikte plugin en is compatibel met de meeste contactformulieren.


HSTS activeren

 

Naast dat het belangrijk is om een SSL-certificaat te gebruiken heb je de optie om er zeker van te zijn dat jouw website enkel beveiligde verbindingen toestaat.

Met behulp van HSTS (HTTP Strict Transport Security) zorg je er voor dat jouw website aan de browser doorgeeft dat er alleen verbindingen met HTTPS mogen worden gemaakt.

Volg hiervoor de stappen in het volgende Knowledge Base artikel: Ik wil HSTS activeren op mijn webhostingpakket.


IP-adressen blokkeren

 

Wanneer je vermoed dat jouw website wordt aangevallen kun je in de access logs van jouw website terugvinden welk IP-adres verantwoordelijk is voor een groot aantal bezoeken.

Met behulp van een .htaccess bestand kun je vervolgens de toegang tot jouw website vanaf bepaalde IP-adressen blokkeren. Een uitgebreide uitleg hierover vind je terug in dit Knowledge Base artikel: Ik wil de toegang tot mijn website beperken.


 

Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op