Beveiligen WordPress website beste simpele tips voor veiligheid

Het beveiligen WordPress website is heel belangrijk. Belangrijke basistips voor de veiligheid van je database en site.

Beste tips beveiligen en veiligheid WordPress website

De middelen die u beschikbaar heeft om te besteden aan WordPress beveiliging voor uw website variëren meestal enorm, of u nu een groot bedrijf bent of gewoon een eenvoudige blogger. Maar aangezien de meeste aanvallen geautomatiseerd zijn door bots op zoek naar kwetsbaarheden, zijn veel van de bedreigingen hetzelfde. Hier zijn enkele WordPress veiligheidsmaatregelen die bloggers en kleine bedrijven met beperkte middelen gemakkelijk kunnen nemen.

1 Goede managed WordPress hosting

Een groter bedrijf met een verstandige setup zal shared hosting vermijden en dedicated server resources gebruiken voor hun hosting, met een vrij strakke lockdown om te zorgen voor WordPress beveiliging. Dit is een hosting situatie zeer ver van wat de meeste mensen kunnen krijgen. Maar als je om je website geeft, moet je niet voor de goedkoopste webhosts gaan, bv. diegene die hosting aanbieden voor 1 of 2 euro per maand.

Goedkope webhosting bedrijven hebben één prioriteit: De servers draaiende houden. Dit is niet zo geweldig als het op het eerste gezicht klinkt. Dit betekent dat ze geen seconde nadenken over het afsluiten of zelfs verwijderen van uw website als het hen problemen oplevert – zoals veel verkeer. Stel je voor uw site gaat virale of vermeld op een grote website, een grote hoeveelheid van potentiële klanten komt lopen naar uw website … en het hosting bedrijf sluit het af.

De beheerders van algemene web hosts zijn zelden WordPress experts. Ze weten niet wat regelmatig gebruik is, welke mappen beschrijfbaar moeten zijn, en ze zullen absoluut niet de oorzaak vinden van een of andere fout op uw website.

Er is een middenweg tussen deze opties: Managed WordPress hosting. Het kost een beetje meer dan de algemene, goedkope, oversold hosting, maar hun product is niet alleen om een ruimte te bieden voor u om uw website te dumpen. Hun product is vaak om ervoor te zorgen dat uw WordPress website soepel draait zonder problemen. Sommige hosts zal zelfs verkopen u WordPress als een SaaS – wat betekent dat ze verkopen je een werkende WordPress website. Als er een probleem is met uw website, zij beschouwen het als een probleem met hun product en zal het dienovereenkomstig op te lossen.

Managed hosting zal meestal veel WordPress veiligheidsmaatregelen op zijn plaats hebben. Ze weten hoe WordPress werkt binnenstebuiten, en hebben ingesteld en afgestemd hun systemen speciaal voor WordPress. De meeste serieuze hosting bedrijven geven u een “SSL” certificaat voor gratis, zodat uw site draait op HTTP. Zelfs niet overwegen het runnen van een website zonder.

Meer over WordPress webhosting

2 Houd WordPress, thema en plugins te allen tijde bijgewerkt

En met alles, bedoel ik WordPress, plugins, thema’s, vertalingen, alles. Loop niet achter op een update. Soms maken auteurs niet meteen bekend of een update een beveiligingspatch bevat. Alles altijd bijgewerkt houden is echt belangrijk voor je WordPress veiligheid.

Een managed hosting service misschien zorgt voor updates voor je, maar dat hoeft niet per se. Het hangt af van je contract/service. Soms kunnen updates van thema’s of plugins dingen kapot maken, en zij zullen daar niet verantwoordelijk voor zijn, dus laten ze het aan jou over. Echter, aangezien een plugin of thema met een ongepatcht, gepubliceerd beveiligingsprobleem veel erger is dan uw site breken, moet u autoupdates ingeschakeld hebben. In feite zou ik het liefst willen dat mijn site onbeschikbaar wordt in plaats van open te blijven en hackers uit te nodigen. Cleanups zijn vervelend om te doen, en het kan gemakkelijk zijn om een achterdeur te missen die door hackers is geïnstalleerd.

Hier is ook een generalisatie die de moeite waard is om over na te denken. Wanneer je overweegt of je een premium thema of plugin moet nemen of een gratis alternatief: Commerciële auteurs leven van een goede reputatie en moeten fouten snel herstellen. Abonnementen zijn wat hen in leven houdt en heel belangrijk: gemotiveerd om hun product te blijven updaten. Je wilt waarschijnlijk niet een plugin of thema van een maker die de plugin heeft verlaten en heeft de motivatie verloren om het bijgewerkt te houden.

Meer over WordPress updates

3 Neem een Web Application Firewall

Een WAF (Web Application Firewall) zit tussen het internet, waar soms vervelende mensen tussen zitten, en uw hosting server. Het filtert al het slechte verkeer eruit, verwijdert verkeer van agressieve bots en stopt denial of service-aanvallen tegen uw website. WAFs komen traditioneel met een vrij hoog prijskaartje, maar er zijn een aantal betaalbare opties beschikbaar om u te helpen met uw WordPress beveiliging.

De goedkoopste optie zijn:

  • Sucuri is $9,99/maand
  • CloudFlare is $20/maand. CloudFlare heeft ook een gratis plan, dat u geen WAF geeft, maar toch een beperkte bescherming.

Ook hebben sommige webhosts een WAF inbegrepen in de hostingprijs. Vaak zijn dit gewoon ModSecurity regels die de top 10 OWASP bedreigingen uitfilteren. Zelfs als dit niet erg strakke regels zijn, zal het nog steeds nuttig zijn. Sommigen bieden je ook DDoS-bescherming.

Als je echt een krap budget hebt, raad ik je aan CloudFlare gratis te nemen en NinjaFirewall WP+ ($29,90/jaar) te gebruiken. Dit is een op PHP gebaseerde WAF die automatisch wordt opgenomen in alle verzoeken naar je website. De bescherming is beperkt, aangezien alle verzoeken PHP op je server zullen raken, maar het kan nog steeds zeer nuttig zijn en zal veel ongewenst verkeer wegfilteren. Ik heb het een jaar lang uitgeprobeerd op een website met 10.000 bezoekers per maand en het zag er goed uit.

4 Gebruik twee factor authenticatie voor WordPress login

Dit is een no-brainer. Iedereen zou absoluut 2FA (two factor authentication) moeten gebruiken. Het is gratis en helpt de beveiliging van WordPress enorm. Gebruik het gewoon.

2 factor authenticatie bestaat uit de factoren “iets wat je weet” (je wachtwoord) en “iets wat je hebt” bijv. je telefoon, een smartcard, of een dongle aangesloten op je computer.

Het is geen 100% vervanging voor sterke wachtwoorden, maar wel bijna. Als een aanvaller uw gebruikersnaam en wachtwoord heeft, zal hij nog steeds niet kunnen inloggen op uw website zonder bijvoorbeeld uw telefoon. Er zijn veel opties gratis beschikbaar voor bloggers en kleine bedrijven.

Welke 2FA-oplossing u ook neemt, zorg ervoor dat u uw herstelcodes ergens veilig opslaat. Bijvoorbeeld op een stuk papier dat u bewaart waar u ook uw andere belangrijke papieren bewaart of een wachtwoordprogramma. Dit maakt het leven makkelijker voor u als u uw hardware beveiliging verliest, of uw telefoon verandert als u een telefoon app gebruikt.

Meer over WordPress updates

5 Maak regelmatig back-ups

Maak regelmatig back-ups. Hoe vaak? Zo zelden als de langste tijdspanne dat u het OK vindt om alles te verliezen wat er op uw website is gebeurd. Voor sommigen is dit elk uur. Voor anderen kan het eens in de veertien dagen zijn.

Bewaar de back-ups ergens offline. Als u uw back-up moet terugzetten, is dat meestal omdat er iets ergs is gebeurd. Zoals je webhost die je hele site kwijt is, of je bent gehackt. Als u gehackt bent, kunt u de integriteit van alles wat op de site stond niet meer vertrouwen, inclusief back-upbestanden.

Alle goede backup plugins laten je een schema instellen voor je backups en een externe bestemming zoals Amazon S3 of Dropbox. Ik hou echt van BackupBuddy, maar het kost wat geld. Ik weet dat er goede, gratis alternatieven zijn, maar ik heb er niet veel ervaring mee. Als u aanbevelingen hebt, doe dat dan in de opmerkingen.

Jetpack van Automattic kan realtime back-ups van uw site maken, waarbij een back-up wordt gemaakt van alle wijzigingen op uw website op het moment dat ze plaatsvinden.

Nu u regelmatig back-ups maakt, moet u ze van tijd tot tijd herstellen. U kunt dit op een andere site doen dan uw live site als u geen downtime wilt. Maar zorg ervoor dat je het doet. Dit is nodig om:

  1. Zorg ervoor dat de back-ups echt werken. Er zijn veel te veel gevallen waarin iemand probeerde een corrupte back-up terug te zetten of de back-up bevatte niet alles wat het had moeten bevatten. Zorg ervoor dat je niet in die situatie terechtkomt.
  2. Oefen hoe je een restore uitvoert na een ramp. Aan een back-up heb je niets als je niet weet wat je ermee moet doen. Het herstellen van een back-up kan een beetje technisch zijn, dus oefen om ervoor te zorgen dat u weet dat u het kunt doen. Ik zal je helpen beter te slapen.

Handleidingen WordPress back-ups

6 Gebruik geen beveiligingsplugin

Dit klinkt tegenstrijdig. Er is weinig dat een WordPress beveiligingsplugin doet, dat niet beter en beter gedaan kan worden op andere manieren. Beveiligingsplugin’s raken gebieden aan die niet zouden moeten worden aangeraakt door een plugin, en ze proberen veel te veel te doen. Wanneer een beveiligingsplugin een fout heeft in een functie die een anders onschadelijk gebied raakt, veroorzaakt het verschrikkelijke gevolgen.

Als u de 6 punten hierboven hebt behandeld, is er niet veel extra waarde die een “alles in één” beveiligingsplugin voor u zal doen. Er kunnen bepaalde functies zijn die je wilt, maar specifieke plugins doen dat meestal veel beter. Leer in plaats daarvan wat een beveiligingsplugin probeert te bereiken en onderzoek hoe het goed wordt gedaan.

Meer WordPress beveiligingstips

Meer WordPress beveiligingstips hebt die niet veel middelen vereisen:


Meer WordPress tips over je strategie en aanpak?

Meer WordPress tips hoe je je WordPress website het beste kan bouwen: