Veel website-eigenaren geven niet enorm veel om de beveiliging van hun (WordPress-)website. Totdat ze een keer gehackt worden. Maar dan is het vaak te laat. Daarom is het belangrijk om uw WordPress-website goed te beveiligen tegen hackers, bots en andere malware.
WordPress is het populairste CMS van dit moment, en dus ook een populaire target voor hackers en spammers. Dit betekent overigens niet dat WordPress onveilig is. Omdat zó veel mensen WordPress gebruiken, is het logisch dat er, ook vanuit de hackers-wereld, enorm veel aandacht is voor WordPress.
Daarnaast is WordPress enorm laagdrempelig; bijna iedereen kan gemakkelijk een website opzetten met WordPress. Helaas weet niet iedereen hoe je dat op de juiste manier doet. Volgens schattingen van experts is daarom zo’n 70 procent van alle WordPress-installaties kwetsbaar.
“Waarom zouden ze mijn website hacken? Ik heb maar een paar bezoekers per dag.”
Dit is een vraag die klanten mij vaak stellen. De meeste hackers zijn echter niet op zoek naar websites met veel verkeer. Ze gebruiken jouw website om via je server SPAM rond te mailen, waarbij het niets uit maakt of jouw website veel of weinig verkeer heeft.
Dit is een goede reden om je WordPress-website goed te beveiligen. Als er SPAM wordt verstuurd vanaf uw server, kan het zo zijn dat (bijvoorbeeld) Google het IP-adres van je server op een “blacklist” zet. Hierdoor zullen ook jouw “normale” nieuwsbrieven en/of mailtjes bij mensen in de SPAM-box terecht komen.
De gedachte dat jouw website niet gehackt zal worden omdat je een kleinschalige website hebt, is dus onjuist.
Hoe kan mijn WordPress-website gehackt worden?
Om een WordPress-website goed te beveiligen moeten we eerst begrijpen waar het vaak fout gaat. Hackers hebben hier veel verschillende trucs voor. De website WP White Security kwam met deze infographic:
Maar liefst 41 procent van de aanvallen komen door problemen op het hosting-platform. Het is daarom ontzettend belangrijk om een goede hostingpartij te kiezen voor jouw WordPress-website.
Nóg belangrijker is het feit dat maar liefst 51 procent van de aanvallen veroorzaakt werden door een plugin (22%) of theme (29%). Vaak heeft het te maken met het feit dat mensen plugins en themes niet updaten. Ook kan het zijn dat een onveilige plugin is gedownload van een onbetrouwbare website, of dat een Premium WordPress Themes is gedownload van een Torrent-website. Ik maak daarom altijd gebruik van Premium Themes en plugins die worden aangeboden door betrouwbare partijen en die veel verkocht en gebruikt worden. Alleen zo is te waarborgen dat de Themes en plugins in de pas blijven lopen met WordPress (beveiligings-)updates en zodoende veilig blijven.
En tot slot, 8 procent van de aanvallen werd veroorzaakt door het gebruiken van een zwak wachtwoord. Hackers maken hier vaak gebruik van een script dat net zo lang verschillende wachtwoorden (en gebruikersnamen) blijft proberen totdat ze het juiste wachtwoord hebben. Dit klinkt tijdrovend, maar zo’n script kan makkelijk duizenden wachtwoorden per seconde uitproberen. Deze techniek staat ook wel bekend als een ‘brute force’-aanval. Nu kan een sterk wachtwoord worden afgedwongen via WordPress, maar ook dat biedt nog niet voldoende zekerheid dat het niet gekraakt kan worden.
Daarom adviseer en gebruik ik altijd een beveiligingsplugin van iThemes te gebruiken. Er is een gratis plugin beschikbaar, maar ook een Pro-versie. In een aantal eenvoudige stappen kan de plugin uw WordPress website beveiligen tegen ‘brute force’ aanvallen en worden de IP-adressen van aanvallers automatisch afgesloten en op een blacklist gezet. Daarnaast kan de beveiliging nog verder worden aangescherpt door middel van diverse instellingen.
Resumerend:
- Kies een hostingprovider die server- en database software gebruikt naar de actueelste stand.
- Gebruik niet standaard ‘Admin’ account, maar een andere naam met een sterk wachtwoord.
- Update WordPress, plugins en Themes regelmatig.
- Gebruik alleen Premium WordPress Themes en plugins uit betrouwbare bronnen.
- Maak gebruik van de beveiligingsplugin van iThemes (gratis versie).
- En maak een volledige backup na elke update of wijziging via Backup Buddy plugin (alleen gelicenseerde betaalde versie).
Wil je meer weten over de beveiliging of beheer van jouw WordPress website? Neem dan vrijblijvend contact met me op.