Hoe verdedig ik mijn WordPress site tegen hackers?

Hoe verdedig ik mijn WordPress site tegen hackers?

Om je site te beschermen tegen hackers, moet je eigenlijk ook veiligheidsmaatregelen nemen die buiten WordPress vallen. Want alleen als je al je online activiteiten beveiligt, ben je goed beschermd. Maar wat is zinvol en zijn al die maatregelen ook daadwerkelijk de moeite waard?

Zodra een hacker je adminwachtwoord te pakken heeft of de WordPress login kan omzeilen, zijn alle WordPress beveiligingsmaatregelen nutteloos. Daarom is het uiterst belangrijk om een beveiligingsstrategie te hebben die je hele omgeving beveiligt. Daartoe behoren bijvoorbeeld je SFTP-toegang, de STRATO klantenlogin en je eigen e-mailaccount.

Ik ben toch geen doelwit?

Maar wordt dat niet een beetje overdreven? Je gaat er misschien van uit dat je blog een hacker weinig te bieden heeft. Toch is dat niet waar. Wat hackers eigenlijk zoeken, zijn middelen die ze kunnen misbruiken voor andere illegale doeleinden, zonder dat ze ontdekt worden: zo kunnen ze je gehackte blog bijvoorbeeld gebruiken om illegale bestanden, foto’s en video’s uit te wisselen of kwaadaardige code te verspreiden. Ook plaatsen ze soms verborgen spamlinks op gehackte blogs of wisselen ze reclamebanners en affiliate codes uit. In dat geval gaat de opbrengst van die advertenties naar de hacker in plaats van naar jou.

Hackeraanvallen vinden automatisch en systematisch plaats.

Hackeraanvallen vinden automatisch en systematisch plaats. Als een hacker bijvoorbeeld je e-mailwachtwoord te pakken krijgt omdat je e-mailprovider is gehackt, kan hij met die informatie vaak ook toegang tot je webspace krijgen. Hetzelfde geldt voor een hacker die je FTP-wachtwoord in een open wifi-netwerk steelt.

Daarom is het belangrijk dat je op elk moment zo veilig mogelijk op internet aanwezig bent. Je mag geen gemakkelijk doelwit vormen. We geven je een paar tips. Sommige maatregelen zijn gemakkelijk te implementeren, andere vergen inspanning of een verandering in je gewoontes.

Versleutelde verbindingen

Een versleutelde verbinding is van zeer groot belang bij de toegang tot securitygevoelige internettoepassingen zoals WordPress, je FTP-webspace, je e-mailaccount en je internetbankieren. Voorbeelden van zo’n veilige verbinding zijn de dataverbinding op je mobiele telefoon en je eigen internettoegang thuis.

Gebruik je een wifi-netwerk dat niet van jou is? Dan zijn extra veiligheidsmaatregelen beslist noodzakelijk. In principe kunnen gegevens in een open wifi namelijk worden gelezen door iedereen die ook op dat wifi-netwerk is aangesloten.

Veilig inloggen bij WordPress door middel van een versleutelde verbinding
Het inloggen op WordPress moet je alleen via een SSL-verbinding doen zoals hierboven.

Je moet in ieder geval alle wachtwoorden uitsluitend via beveiligde verbindingen overdragen, dus SSL-versleuteld. Dat is al standaard ingesteld bij de meeste e-mailproviders, maar voor je eigen WordPress moet je zelf de SSL-versleuteling instellen.

Voorbeeld van een onversleutelde verbinding
Voorbeeld van een onversleutelde verbinding.

Moet je toch een wachtwoord gebruiken via een onversleutelde verbinding? Wijzig dan daarna zo snel mogelijk dat wachtwoord, zodra je alsnog een beveiligde verbinding ter beschikking hebt.

Gebruik een VPN

Nog veiliger werk je via een zogenaamde VPN-verbinding. Je laptop of smartphone heeft dan een volledig gecodeerde verbinding met een server van de VPN-serviceprovider. Alle data die je op internet verstuurt of ontvangt, gaan via deze server, waardoor een ‘tunnel’ ontstaat die je data onzichtbaar houdt voor aanvallers. De VPN-verbinding en de VPN-server zijn altijd tussen jouw computer en de werkelijke bestemming geschakeld, bijvoorbeeld je WordPress login. In tegenstelling tot SSL-encryptie kan een hacker niet eens zien wat je op het internet doet.

Zulke VPN-diensten zijn tot op zekere hoogte gratis beschikbaar, zoals het gerenommeerde Proton VPN dat in Zwitserland is gevestigd. Maar voor VPN’s met een hoge datasnelheid en een onbeperkt volume moet je maandelijks betalen. De kosten beginnen bij ongeveer 5 euro. Sommige desktop-firewalls hebben nu ook eigen VPN-functies. Het is niet heel eenvoudig, maar je kunt in sommige gevallen ook je eigen router als VPN-server gebruiken, zodat je overal ter wereld je eigen VPN-verbinding hebt, namelijk via je eigen huis.

Veilige wachtwoorden

Eigenlijk is het een vanzelfsprekendheid, maar toch vergeten veel mensen om altijd veilige wachtwoorden voor alle accounts te gebruiken. Ook het gebruik van een ander wachtwoord voor elke toegang is erg belangrijk. Want als je identieke wachtwoorden gebruikt voor je WordPress database, je STRATO account, de FTP-toegang tot je webspace en je e-mailaccount, hoeft een hacker maar één wachtwoord te kraken om toegang tot al die accounts te krijgen.

En ook als je e-mailaccount op het eerste gezicht niets met WordPress te maken heeft, moet je hier toch een zeer veilig wachtwoord voor gebruiken. Want zodra een hacker je e-mail kan lezen, kan hij de WordPress wachtwoordherstelfunctie gebruiken om je WordPress installatie over te nemen. Hij hoeft dan alleen maar een nieuw wachtwoord via jouw e-mailadres aan te vragen.

FTP altijd versleuteld gebruiken

De risico’s bij het overbrengen van gegevens via FTP worden erg vaak over het hoofd gezien. Veelgebruikte FTP-clients zoals Filezilla gebruiken standaard het onversleutelde FTP-protocol en slaan de FTP-wachtwoorden ook onversleuteld op de harde schijf op.

Maar in Filezilla kun je het veilige SFTP (SSH File Transfer Protocol) inschakelen. Dat doe je in de verbindingsinstellingen. Als server kies je ssh.strato.de en als protocol SFTP. De gebruikersnaam is je domein, het wachtwoord is het hoofdwachtwoord van STRATO. Dit stel je in de STRATO klantenlogin in. Ga naar Beveiliging – Wachtwoorden wijzigen – Masterwachtwoord (zie onze FAQ voor meer info).

In Filezilla kies je het protocol SFTP om je wachtwoord te versleutelen.
Zo stel je SFTP in Filezilla in.

Ook al is het een beetje een gedoe: zorg ervoor dat browsers en FTP-clients nooit wachtwoorden op de harde schijf opslaan. In plaats daarvan voer je ze elke keer opnieuw in als je verbinding maakt. Een wachtwoordbestand kan namelijk gemakkelijk in verkeerde handen vallen.

Verouderde bestanden op de webserver

Vooral populair bij hackers zijn verouderde en vergeten bestanden op webservers. Mogelijk heb je in het verleden eens een app geprobeerd of een extra testversie van WordPress geïnstalleerd. Ook als je die al lang niet meer hebt gebruikt en zelfs als deze bestanden niet vanaf een website worden gelinkt, vormen ze een risico. Hackers kennen de standaardpaden en bestandsnamen van oude app-versies met veiligheidslekken. Ze sporen zulke bestanden op via geautomatiseerde zoekscripts.

Blijf dus op de hoogte van beveiligingslekken. Houd de data op je webspace schoon en verwijder alles wat je niet meer gebruikt. Installeer ook altijd updates om de rest actueel te houden.

Misverstand: “veel is beter”

Ondanks alle genoemde risico’s is het niet zo dat je echt alle mogelijke beveiligingsmaatregelen moet doorvoeren. Want absolute veiligheid bestaat niet en elke veiligheidsmaatregel heeft ook nadelen in de vorm van tijd, inspanning of geld. Twee of drie parallel geïnstalleerde beveiligingsplug-ins bijvoorbeeld maken je blog erg traag. Dat kost bezoekers en heeft nadelen voor je Google-ranking.

Veiligheid is altijd een risico-evaluatie. De inspanning moet proportioneel blijven. Voor een webshop met een hoge omzet kan zelfs een uurtje downtime een ramp zijn, terwijl het voor een hobbyblogger misschien niet zo erg is om een week offline te zijn door een hack.

Denk dus na over het risico van veiligheidsmaatregelen in je persoonlijke situatie. Wat gebeurt er precies als je wordt gehackt? En wat is de herstelinspanning? Voor een hobbyblog kunnen regelmatige back-ups genoeg zijn om het blog te herstellen. Een webshop die gevoelige klantgegevens verwerkt, moet daarentegen beslist voorkomen dat die data in verkeerde handen vallen.

Te veel veiligheid kan ook schadelijk zijn

Er staan veel beveiligingstutorials voor WordPress op internet die geen rekening houden met deze risicobeoordeling. In de meeste gevallen veroorzaken de daar beschreven maatregelen problemen die groter zijn dat de beveiligingsvoordelen.

In die artikelen wordt bijvoorbeeld aangeraden om de naam van de plug-in-directory te wijzigen of om het bestand wp-config.php op de webserver te verplaatsen naar een hogere map die niet toegankelijk is vanaf internet. Maar als je dit niet exact begrijpt en de technische context niet volledig kent, is het risico groter dan het voordeel. Sommige plug-ins werken dan plotseling niet meer of WordPress valt helemaal uit.

Dus, hoewel veiligheid uiterst belangrijk is: het primaire doel is je plezier in het bloggen, niet de verdediging tegen hackers. Gezond verstand is daarom essentieel.

Naar onze WordPress pakketten

Delen

Je kunt pas een reactie plaatsen nadat je ons privacybeleid en cookies hebt geaccepteerd. Om privacyredenen mogen wij jouw persoonsgegevens anders niet verwerken.

Klik onderaan de pagina op de blauwe button OK. Nadat je de pagina opnieuw hebt geladen, kun je een reactie achterlaten.

 

Deze website maakt gebruik van cookies voor onder andere Google Analytics. Deze melding verdwijnt zodra je de cookies hebt geaccepteerd. Meer informatie