Begin december 2021 was het weer raak: binnen 36 uur werden bijna 2 miljoen websites gericht aangevallen. In totaal werden er bijna 14 miljoen pogingen geregistreerd, die afkomstig waren van 16.000 verschillende IP adressen. Da’s best veel..

In deze blog geef ik graag antwoorden, bijvoorbeeld op vragen als: Waarom doen hackers dit? Mijn website is maar klein, loopt die dan ook gevaar? Wat kan ik er tegen doen? En als antwoord op die laatste vraag geef ik je graag 10 tips om je WordPress website veiliger te maken.

Waarom vallen hackers een website aan?

Hackers proberen een website binnen te dringen om gevoelige informatie te bemachtigen, of om persoonsgegevens van klanten te stelen. Het gebeurd ook wel dat ze een website overnemen om daar illegale content op te plaatsen. Het gebeurd niet vaak dat hackers een website overnemen en vergrendelen om daarna losgeld te vragen. Waarschijnlijk omdat er meestal wel back-ups zijn die teruggezet kunnen worden.

Maar mijn website is maar klein met vrij weinig bezoekers. Toch niet interessant voor hackers?

Waarom vallen hackers mijn kleine website aan?

Dat argument hoor ik vaak! Helaas is dat niet zo. Een gehackte website kan namelijk prima gebruikt worden voor illegale activiteiten. Bijvoorbeeld om bezoekers te spammen. En als hackers controle over een website weten te krijgen kunnen ze soms ook de server waarop de website draait gebruiken. Bijvoorbeeld om andere websites aan te vallen. Of om cryptocurrency te mijnen. Dat kan interessant voor ze zijn omdat jouw website op een ‘onschuldig’, niet verdacht IP adres zit.

Wat kan ik er zelf tegen doen?

Dat is de leukste vraag, want je kan er best veel tegen doen! Om de kans kleiner te maken dat jouw website gehackt of geïnfecteerd wordt kan je een aantal maatregelen nemen. En het is allemaal geen rocketscience, dus geen enkele reden om je er niet even in te verdiepen. Daarom hieronder 10 tips om je website goed te beveiligen:

Tip 1. Zorg dat je de meest recente versie van WordPress gebruikt

WordPress is een Content Management Systeem, gemaakt door een grote opensource community. Zij zorgen ervoor dat het systeem wordt doorontwikkeld, en dat bugs in het systeem worden opgelost. Regelmatig komen er daarom kleine of grote updates uit waarmee je jouw versie van WordPress kan bijwerken.

Tip 2. Alleen betrouwbare plugins gebruiken

Een wordpress website heeft plugins om bepaalde functionaliteit te kunnen gebruiken. Deze plugins worden gemaakt door individuele ontwikkelaars of commerciële partijen. Als er een bug in zo’n plugin zit kan een hacker daardoor de site binnendringen. Dat kan je voorkomen door alleen plugins te gebruiken waarvan je zeker weet dat ze regelmatig bijgewerkt worden, en dat ze door veel (bv meer dan 100.000) wordpress websites worden gebruikt.

Een goede manier om te zien of de plugin goed wordt ondersteunt is te kijken op de support pagina. Hier kan je zien of er een actieve community is die antwoorden geeft op vragen en problemen helpt op te lossen. Staan er veel vragen en geen antwoorden of reacties? Dan is wegblijven van deze plugin verstandig.

Tip 3. Gebruik een veilig thema

Een thema zorgt er voor dat de grafische stijl instellingen van je website centraal beheert kunnen worden. Een thema heeft vaak al een bepaalde stijl en is soms ook voor een specifieke doelgroep ontworpen. Er zijn net zoals bij plugins betaalde en gratis thema’s. En net zoals bij plugins worden ook thema’s regelmatig ge-updated, omdat er ook hier nieuwe functionaliteit wordt gemaakt of kwetsbaarheden worden gerepareerd.

En dat betekent dat je ook hier zorgvuldig moet kijken voordat je een thema kiest: hoeveel websites gebruiken het thema? Is er een actief support forum? Zijn er goede online help manuals of FAQ’s?

Tip 4. Houdt de plugins up-to-date

Zodra er een bug wordt geconstateerd maakt de ontwikkelaar als het goed is een update. Het is dan ook verstandig om je plugins bij te werken zodra er een update is. Dat is een fluitje van een cent, de meeste wordpress gebruikers weten prima hoe dat moet (en anders zie je dat hier). En toch wordt dit nog te vaak over het hoofd gezien. Gewoon omdat het niet zo urgent of belangrijk lijkt.

Tip 5. Verwijder gedeactiveerde plugins en thema’s.

Als je een plugin deactiveerd, ‘uitschakeld’, is deze nog niet van de site af. Je zal hem echt moeten un-installen om hem weg te krijgen. Waarom is dat belangrijk?

Een ongebruikte plugin of thema wordt makkelijk vergeten, maar blijft executable delen hebben. En daar kunnen kwetsbaarheden inzitten die door hackers kunnen worden benut. Hetzelfde geldt voor het thema dat de site gebruikt. Ik zie veel sites waarbij meerdere thema’s aanwezig zijn, terwijl die niet worden gebruikt. Heel onverstandig, want het is niet nodig. Verwijder alle plugins en thema’s die je niet gebruikt. Gewoon voor de zekerheid.

NB: ik bewaar wel altijd een van de default WP thema’s, bijvoorbeeld het Twenty – Twenty-One thema. Dat doe ik omdat het soms bij problemen nodig is om je eigen thema even uit te schakelen en te testen met een ander thema. Ook gebruik ik standaard een Child thema, daar lees je hier meer over.

Tip 6. Gebruik een veilige hosting provider.

De betere hosting providers gebruiken beveiligingssoftware om hun servers en de content daarop veilig te houden. Ook de manier waarop ze de websites een gemeenschappelijke server kunnen laten delen is daarbij van belang. Het beste is een zogenaamde dedicated server, maar die is alleen relevant voor de grotere websites. Kijk hier wat bijvoorbeeld Antagonist aan veiligheid doet.

Tip 7. Gebruik een beveiligingsplugin

Er zijn plugins die je website veilig houden. Ze bewaken bijvoorbeeld het inloggen op de site (bij aanvallen blokkeren ze de verdachte ip adressen), ze stellen een firewall in en ze zorgen er voor dat de veiligheidsinstellingen van WordPress zelf worden opgevolgd. Meestal scannen ze de site ook om de zoveel tijd, en ze berichten de admin over allerlei zaken die niet kloppen of die gevaarlijk kunnen zijn. De beste plugins hiervoor zijn Wordfence en iThemes Security. De gratis versie biedt al een uitstekende beveiliging.

Tip 8. Gebruik een veilige gebruikersnaam

Klik om te vergroten

De standaard administrator inlognaam is ‘admin’. Dat weten natuurlijk ook de hackers, en die proberen dan ook door middel van brute-force attacks het wachtwoord te achterhalen. Je maakt het ze lastiger door de Administrator Username te veranderen en zelf een naam te kiezen. Dat kan je doen door zelf een nieuwe admin user aan te maken en de oude te deleten (let op dat je de content van de oude admin wel overneemt!), of door de naam in de database aan te passen. Dat laatste is best lastig en riskant, dus wees voorzichtig..

Het makkelijkst is de plugin Username Changer , maar die beveel ik tegelijkertijd niet aan op basis van Tip 2: de plugin is de laatste 2 jaar niet aangepast en ook niet getest op de huidige WP versie (ten tijde van de publicatie). Ook in het support forum gebeurd weinig..

Tip 9. Gebruik een veilig wachtwoord, en gebruik tweetrapsverificatie

Een goed wachtwoord.. Dat is zo vanzelfsprekend dat je het bijna zou weglaten. Maar toch: er zijn serieus veel mensen die een makkelijk te onthouden wachtwoord gebruiken. Dus: check eens bij jezelf: kan je het wachtwoord makkelijk onthouden? Gebruik je het wachtwoord op meer websites? Dan is het advies: pas het nu gelijk aan. Gebruik een door WordPress gegenereerd wachtwoord en sla dat op. Of gebruik een wachtwoordzin. Of kijk hier hoe je een goed wachtwoord kan maken.

Daarnaast is het verstandig om tweetrapsverificatie te gebruiken. Je logt dan je in, waarna je gevraagd wordt om een security code. Die wordt gegenereerd door bijvoorbeeld een app op je mobiele telefoon. Op deze manier ben je maximaal beveiligd tegen een wachtwoordkraak.

Tip 10. Backup!

Als je na iedere aanpassing van je website een backup maakt ben je altijd verzekerd van het terug kunnen halen van je website. Er zijn veel backup plugins die je gratis kan gebruiken, maar dat wil niet zeggen dat je daarmee dan ook een backup kan terugzetten. Onderzoek dus wel goed welke voor jou het beste kan werken. Een van de betere plugins die beide in de gratis versie kan is UpdraftPlus.

Zelf gebruik ik de mogelijkheden van mijn hosting provider. Ik kan daar makkelijk via een gebruikersdashboard een backup maken of een backup terugzetten. Simpel en snel gebeurd.

Ben ik nu veilig? Wordt ik niet gehacked?

Tsja, het slechte nieuws is dat je helaas nog steeds kan worden gehacked. Maar als je alle tips hebt toegepast is dat wel zeer onwaarschijnlijk, en gaat het in dat geval om hackers die persé op jouw website willen inbreken. En die kans is meestal erg klein.

Er zijn (2021/22) 64 miljoen websites die WordPress gebruiken. En die sites trekken bij elkaar 400 miljoen bezoekers per maand. Het voordeel is dat WordPress daarmee interessant is voor ontwikkelaars om er functionele toepassingen voor te maken. Waardoor jij als gebruiker altijd de juiste functionaliteit kan vinden.

Het nadeel is dat deze grote getallen ook veel hackers aantrekken. Waardoor het dus echt wel belangrijk is om de bovenstaande tips goed te benutten. Of, nog makkelijker, kies er voor om dit uit te besteden! Bijvoorbeeld aan Yourwebpro..

Rens Verschuur

Rens Verschuur is zijn hele carriere actief geweest in de communicatie en IT branche, heeft gewerkt bij kleine en grote ondernemingen en is sinds 2012 actief met Yourwebpro. Hij is gespecialiseerd in webdesign, SEO en Google Ads.