Website beveiligen tegen hacken
Website beveiligen tegen hacken

Je hebt een mooie website in WordPress. Hackers hebben het niet op jou gemunt, want ze kennen je bedrijf helemaal niet… Of wel?

Geautomatiseerde scans

De grap is dat de hackers je site helemaal niet hoeven te kennen. Geautomatiseerde systemen scannen ip-nummers, en kijken overal of er niet ergens een lek zit op basis van bekende lekken in plugins (zie dit blog voor bekende lekken), of door simpelweg te proberen je wachtwoord te raden van je CMS. In deze visualisatie van hacks in de loop der tijd is mooi te zien hoe het aantal gehackte websites en de bijbehorende data enorm aan het toenemen is. Kortom, je moet je website beveiligen tegen hacken.

Bekijk de actie op je eigen site

Kijk maar eens in de logs van je website wat er allemaal gebeurd. Heb je het standaard inlog-url van WordPress (www.domein.nl/admin) veranderd, dan kan je ook als digibeet eenvoudig zien wat de hackers aan het doen zijn door in te loggen op je WordPress dashboard, en de logs van de “niet gevonden” pagina’s op te zoeken in je security plugin. Je kunt dan zien wie er allemaal probeert bij je naar binnen te komen. Deze systemen proberen met “admin”, of “wp-login.php” in te loggen op je site, maar krijgen dan een pagina niet gevonden melding.

Op zichzelf is WordPress een veilig platform, maar vaak hebben plugins en configureerbare themes uit themeshops zoals Themeforest beveiligingslekken. Daarbij komt dat WordPress veel gebruikt wordt, en daarom een aantrekkelijk doelwit is.

Wat kan je nou zelf doen aan de beveiliging van je website? Kies in elk geval een goede hostingprovider. Daarnaast kan je met 8 relatief eenvoudige maatregelen de beveiliging enorm verbeteren. Ik heb een lijstje gemaakt van de belangrijkste zaken op beveiligingsgebied.

Je website beveiligen tegen hacken in 8 stappen

Edit: inmiddels 9 stappen: twee staps authenticatie toegevoegd

De acht eerste stappen die je moet zetten om je website te beveiligen. Dit kan je gebruiken als startpunt voor het beveiligen van je website.

  1. Kies bij het installeren van WordPress voor een andere table prefix: niet wp_, maar iets anders
  2. Gebruik FTP over SSH
    Door ftp versleuteld te gebruiken wordt het in elk geval moeilijker om via deze weg data te onderscheppen.
  3. Update regelmatig, minimaal 1x per week, je plugins, WordPress en eventueel je theme.
    Regelmatig worden er nieuwe lekken in bestaande plugins ontdekt. Lees ook het sucuri blog voor de laatste plugin lekken.
  4. Gebruik niet “admin” als inlognaam, en maak een moeilijk wachtwoord aan
  5. Gebruik ook niet niet “admin” als inlog url.
    Veel geautomatiseerde systemen proberen het op dit adres. Zie stap 7, punt 11 hoe dit te doen.
  6. Verplaats de wp-config uit de webdirectory. Je kan gewoon je wp-config.php één niveau omhoog plaatsen zonder dat er iets veranderd in de werking van WordPress.
  7. Installeer de i-themes security plugin, en vink de volgen zaken aan:
    1. Zet de standaard opties aan na installatie
    2. Allow iThemes Security to write to wp-config.php and .htaccess.
    3. Enable Blacklist Repeat Offender
    4. Voeg je eigen ip-nummer toe aan de whitelist
    5. Enable 404 detection
    6. Away mode, bijvoorbeeld van 12-6
    7. Enable ban users
    8. Enable brute force protection
    9. Immediately ban a host that attempts to login using the “admin” username.
    10. Enable scheduled database backups
    11. Enable hide backend feature, en bedenk hier je eigen inlogwoord, als het maar niet admin is.
    12. Enable strong passwords enforcement
    13. Vink alles aan bij system tweaks en WordPress tweaks
  8. Zet de bestandsbewerker in WordPress uit door
    define('DISALLOW_FILE_EDIT', true);
    In je functions.php te plaatsen.
  9. Voeg Google Authenticator toe om twee staps authenticatie toe te voegen. Met tweestaps authenticatie moet je niet alleen een wachtoord, maar ook bijvoorbeeld jouw mobiele telefoon hebben om in te loggen.