WordPress is het meest gebruikte CMS-systeem ter wereld en daarmee een geliefd doelwit voor aanvallen. Zelfs een veilig ingerichte server kan spam gaan versturen als daarop gehoste websites niet veilig zijn.
In dit artikel bespreken wij een aantal tips om je WordPress-website veilig te houden en te voorkomen dat je website spam verstuurt.
Patchman bestellen
Patchman is een applicatie op onze webhostingservers. Als je Patchman bestelt en activeert, kunnen we je WordPress-website scannen op kwetsbaarheden of malware. Als er bekende kwetsbaarheden of malware aangetroffen worden, brengen we je hiervan op de hoogte. Patchman lost deze ook direct voor je op als je de automatische patching activeert. Zo voorkom je dat indringers jouw website misbruiken voor spam of phishing.
Zie voor alle informatie over het bestellen en activeren van Patchman: Wat is Patchman?
Plugins en Thema's updaten
Je plugins en thema's updaten is een van de belangrijkste maatregelen die je kunt nemen om je website veilig te houden. Oudere versies van plugins en thema's zijn namelijk een veel voorkomend doelwit van aanvallen. Wij raden daarom aan om ten minste maandelijks te controleren op updates.
Daarnaast is het ook veiliger om zo min mogelijk geïnstalleerd te hebben op jouw website. Het uitzetten van een geïnstalleerde plugin of thema zorgt er namelijk voor dat de data nog wel aanwezig is. Verwijder daarom altijd alle plugins die je niet (meer) gebruikt.
Wanneer een plugin of thema geen recente updates (denk aan 3 tot 6+ maanden) heeft gekregen is het mogelijk dat deze niet meer worden bijgehouden. Je kunt dan het beste zoeken naar een vervangende plugin of thema.
WordPress gebruikt voor het updaten een heel eenvoudig proces:
Stap 1
Log in op de admin-omgeving van je WordPress-website (e.g. https://voorbeeld.nl/wp-admin).
Stap 2
Wanneer er updates beschikbaar zijn, zie je bovenaan een icoontje met daarbij een getal voor het aantal plugins en thema's waarvoor een update beschikbaar is. Klik op dit icoon, of onder 'dashboard' op 'updates'.
Stap 3
Je komt nu op een pagina van waaruit je eenvoudig alle plugins in een keer kunt updaten. Klik hiervoor eerst onder 'Plugins' op 'Select All' en daarna op 'Update Plugins'.
Als dit proces klaar is terug keer je terug naar de vorige pagina met 'Return to WordPRess Updates page'. Klik nu onder 'Themes' ook op 'Select All' en daarna op 'Update Themes'.
WordPress updaten
Naast je plugins en thema's is het belangrijk om ook WordPress up-to-date te houden (dit gebeurt automatisch vanaf WordPress 3.7). Niet alleen vanuit veiligheidsoogpunt, maar ook bijvoorbeeld om optimaal te werken met de laatste PHP-versies. Je kunt WordPress automatisch of handmatig updaten. Hoe dit werkt leggen wij uit in de volgende artikelen:
WordFence installeren
WordFence is een endpoint firewall en malware scanner voor WordPress-websites en is een goede keuze om je website mee te beveiligen. Je installeert en gebruikt de plugin als volgt:
Stap 1
Log in op de admin-omgeving van je WordPress-website (e.g. https://voorbeeld.nl/wp-admin).
Stap 2
Klik links op 'Plugins' en daarna op 'Add New'.
Stap 3
Zoek bovenaan rechts op 'Wordfence' en klik op 'Install Now' bij 'Wordfence Security - Firewall & Malware Scan'.
Stap 4
Na de installatie zal de knop 'Install Now' veranderen in 'Activate' om WordFence in te schakelen.
Stap 5
WordFence zal nu vragen om een licentie. Klik op 'Get your wordfence license' wanneer je deze nog niet hebt.
Heb je wel al een licentie, klik dan op 'Install an existing license'. Je kunt vervolgens in het volgende scherm je licentiesleutel plakken.
Stap 6
Je krijgt nu de keuze of je de betaalde premium versie wil gebruiken. Je kunt altijd later upgraden, dus kies nu voor de gratis optie.
Stap 7
Vanuit de e-mail die je ontvangt kun je direct de licentie activeren. De mail bevat ook de sleutel om deze handmatig te kunnen installeren.
Stap 8
In het linker menu in je admin-omgeving is nu een Wordfence optie verschenen. Klik hier op om Wordfence te openen.
Je krijgt eerst een korte uitleg te zien van de WordPress omgeving. Klik nadat je die gelezen hebt op 'Yes, enable auto-update' en daarna op 'Click here to configure'.
Stap 9
Wordfence bied je nu aan een .htaccess bestand te installeren. Dit bestand zorgt ervoor dat Wordfence wordt uitgevoerd voordat kwaadaardige code wordt uitgevoerd. Download de back-up en klik daarna op 'Continue' om automatisch dit bestand op je WordPress-website te installeren.
Stap 10
Klik nu in het linker menu onder 'Wordfence' op 'Scan'. Wordfence doet dit in principe automatisch voor je, maar je kunt ook handmatig scannen door op 'Start new scan' te klikken om je website te scannen.
Wordfence zal je een score geven voor hoe goed je website beveiligd is. Je website is na deze stappen prima beveiligd en de enige methode om de score op 100% te krijgen is een premium abonnement te nemen. Dit is echter optioneel en niet per se noodzakelijk.
Opmerking
Wordfence kan, als je de instellingen niet regelmatig nakijkt en aanpast in het begin, voor false positives zorgen. De situatie hangt af van hoe de website verder in elkaar zit, maar neem in eerste instantie de meldingen van de plugin met een korreltje zout en vergelijk deze met de activiteiten die je van de website zou verwachten. ;)
Een captcha gebruiken
Gebruikt je WordPress-website een contact-formulier, dan is het raadzaam een 'captcha' te gebruiken. Een captcha stelt vast of een website bezoeker een computer of een mens is. Door een captcha te gebruiken voorkom je dat automatische bots je formulier invullen, wat misbruikt kan worden om spam te versturen.
Een hele goede keuze hiervoor is Google's reCAPTCHA. Hiermee voeg je een captcha toe die automatisch je formulieren beveiligt. Je hoeft hiervoor enkel twee dingen te doen:
- Een reCAPTCHA aanmaken bij Google (gebruik hiervoor de Admin console op deze pagina). Je ontvangt een Site-key en een Secret-key.
- Voeg deze keys toe aan je contactormulier-plugin via je WordPress dashboard.
Als alternatief voor de reCAPTCHA van Google kun je ook een captcha-plugin installeren. hCaptcha is bijvoorbeeld een veelgebruikte plugin en is compatibel met de meeste contactformulieren.
HSTS activeren
Naast dat het belangrijk is om een SSL-certificaat te gebruiken heb je de optie om er zeker van te zijn dat jouw website enkel beveiligde verbindingen toestaat.
Met behulp van HSS (HTTP Strict Transport Security) zorg je er voor dat jouw website aan de browser doorgeeft dat er alleen verbindingen met HTTPS mogen worden gemaakt.
Volg hiervoor de stappen in het volgende Knowledge Base artikel: Ik wil HSTS activeren op mijn webhostingpakket.
IP-adressen blokkeren
Wanneer je vermoed dat jouw website wordt aangevallen kun je in de access logs van jouw website terugvinden welk IP-adres verantwoordelijk is voor een groot aantal bezoeken.
Met behulp van een .htaccess bestand kun je vervolgens de toegang tot jouw website vanaf bepaalde IP-adressen blokkeren. Een uitgebreide uitleg hierover vind je terug in dit Knowledge Base artikel: Ik wil de toegang tot mijn website beperken.
Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.