We kunnen niet genoeg benadrukken hoe belangrijk de veiligheid van uw WordPress admin panel is.
Wordpress security, is een hot item.
Temeer daar weinig website houders er bewust mee bezig zijn.
Laat staat er gericht actie voor ondernemen.
In dit artikel leggen we gedetailleerd uit hoe u uw WordPress admin panel kan beschermen.
Vooropgesteld, geen enkele website is bestand tegen hackers wanneer deze echt gefocused jouw website willen binnendringen.
Als hackersbendes of een gemiddelde veiligheidsdienst echt binnen willen in je site dan kan dit altijd.
Het mooie is dat hackers zich eigenlijk nooit echt focussen op 1 specifieke website.
Ze proberen middels scriptjes een grote gemene deler van websites te selecteren waarvan het lijkt dat ze niet goed beveiligd zijn.
Door je WordPress website goed te beveiligen zorg je er voor dat hackers echt serieuze moeite moeten doen, lees uitgebreid de tijd nemen,
om je website te hacken. En de ervaring leert hoe langer het duurt vooraleer hackers doordringen tot je website hoe meer ze afhaken.
Ook in die kringen moet het snel, snel, snel….
Met onderstaande tips zorg je ervoor dat je WordPress website zo beveiligd is dat hackers er ruim de tijd voor moeten nemen.
Of je echt alle tips moet volgen is aan jouw, maar zorg er in ieder geval voor dat je er een paar invoegd op je WordPress website.
Hoe meer stappen je neemt, hoe moeilijker het wordt voor de hackers.
Tip 1. Maak aangepaste Login
Een standaard WordPress website wijst vanzelf de weg naar de inkom van het WordPress admin panel.
Dit komt om dat standaard, de toegang naar het WordPress admin panel, via www.mijndomeinnaam.nl/wp-admin of www.mijndomeinnaam.nl/wp-login.php loopt.
In het bijzonder wanneer je meerdere keren het zelfde wachtwoord gebruikt is dit kwetsbaar. Sowieso omdat hackers er een scriptje voor kunnen schrijven dat
dan miljoenen combinanaties uitprobeert. Een plugin die Stealth Login Page heet maakt dit al een stuk uitdagender door te verplichten een extra
auhorizatiecode te moeten invoeren.
Tip 2. Kies een sterk wachtwoord
Geef toe, op vlak van internetsecurity is dit de tip die je al het vaakst hebt gehoord.
Maar pas je deze ook toe? En doe je het ook voor je WordPress website?
Stap 1 is kies niet hetzelfde paswoord wat je ook al elders hebt gebruikt.
Probeer een wachtwoord in te stellen dat heel moeilijk te raden is. En maak het zolang mogelijk.
Door het langer te maken moeten hackers meerdere combinaties testen waardoor ze echt dagen nodig hebben.
En door bijvoorbeeld een zin in plaats van een combinatie tekens als wachtwoord te kiezen kan je het vaak ook gemakkelijker onthouden.
XskkfUjOkk009!@7wWsssTt is voor de meeste mensen moeilijker te onthouden dan:
Het jaar dat het Nederlands elftal Europees kampioen werd, zal ik nooit vergeten!:1988
Beiden ziijn even sterk alleen is de laatste gemakkelijker te onthouden.
Naast het kiezen van een sterk wachtwoord is het ook belangrijk het wachtwoord regelmatig te vernieuwen.
Tip 3. Beperken van Login pogingen
Hackers werken meestal met scripts waarin ze triljoen keer combinaties uitproberen om uw inlog/wachtwoord combinatie proberen te \\\”raden\\\”.
Door gebruikt te maken van de Stealth Login Page maak je dit al extra uitdagend voor een hacker.
Door de plugin WP Limit Login Attempts te installeren kan je ook het aantal verkeerde pogingen dat iemand maken om proberen in te loggen instellen.
Indien het aantal verkeerde inlog pogingen is bereikt moet er 10 minuten gewacht worden vooraleer je opnieuw kan proberen in te loggen.
Tip 4. Gebruik SSL Secure Login pagina
Het instellen bij je webhoster van een beveiligde SSL zal de veiligheid van je website echt heel sterk bevorderen.
Je website zal niet meer via http:// maar via https:// benaderd worden.
Hiervoor moet je overleggen met je webhoster, van hem krijg je een SSL certificaat.
Voor de goede orde dit kost geld. Het wordt steeds goedkoper maar toch is deze vorm van beveiliging niet gratis.
Wanneer je online bankiert of afrekent bij een webshop is de SSL toegang je mogelijk al eerder opgevallen.
Tip 5. WP-adminfolder beveiligen met een wachtwoord
2 verschillende wachtwoorden hebben is niet erg. Meer nog het voegt een extra veiligheidsniveau toe aan je WordPress Admin panel.
Dit kan door gebruik te maken van de plugin AskApache Password Protect.
Dit maakt dat er om je WordPress Admin panel te kunnen gebruiken een extra wachtwoord nodig is.
Tip 6. Beperk inloggen via instellen van speciefieke IP Adressen
Je kunt de toegang tot je WP-Admin Panel beperken door alleen bepaalde IP-adressen toegang te verlenen.
Alles wat je hoeft te doen is het maken van een .htaccess bestand in de /wp-admin/ map als er nog geen een er.
Plak de volgende code:
01 AuthUserFile /dev/null
02 AuthGroupFile /dev/null
03 AuthName \\\”WordPress Admin Access Control\\\”
04 AuthType Basic
05 <LIMIT GET>
06 order deny,allow
07 deny from all
08 # whitelist Dirk\\\’s IP address
09 allow from xx.xx.xx.xxx
10 # whitelist Frank\\\’s IP address
11 allow from xx.xx.xx.xxx
12 # whitelist Cindy\\\’s IP address
13 allow from xx.xx.xx.xxx
14 # whitelist Sjaak\\\’s IP address
15 allow from xx.xx.xx.xxx
16 # whitelist Work IP address
17 allow from xx.xx.xx.xxx
18 </LIMIT>
Wijzig het IP-adres en het zal werken.
Nadeel van deze hack is dat je alleen nog maar kan werken aan je website vanaf het ingestelde IP adres.
Tip nummer 6 is dus beter niet te gebruiken door wereldreizigers die hun travelblog willen bijhouden.
Tp 7. Gebruik nooit \\\”admin\\\” als gebruikersnaam
Bij sommige Webhosters is dit nog steeds de eerste gebruiker die wordt gemaakt wanneer WordPress is geïnstalleerd.
Je eerste actie als gebruiker of als webdesigner moet zijn een nieuwe gebruiker aanmaken met administrator rechten
met een creatieve gebruikersnaam en sterk wachtwoord (zie tip 2). En daarna de admin gebruiker verwijderen.
De gebruikersnaam admin is namelijk de eerste gebruikersnaam die hackers proberen.
Omdat het jarenlang standaard was in WordPress.
Tip 8. Foutbericht op de loginpagina verwijderen
Wanneer er een foutief wachtwoord of gebruikers naam invoert krijg je een foutmelding.
Dit is een indicatie voor een hacker.
Daarom is het te overwegen om de foutmelding te verwijderen.
Open de WordPress Theme functions.php en voeg de volgende code toe:
add_filter(\\\’login_errors\\\’,create_function(\\\’$a\\\’, \\\”return null;\\\”));
Tip 9. Gebruik een gecodeerde wachtwoord om in te loggen
Indien je geen SSL versleuteling gebruikt kan je overwegen om met een gecodeerd wachtwoord te werken.
Dit kan eenvoudig door een WordPress plugin te gebruiken die Semisecure Login Reimagined heet.
Semisecure Login Reimagined maakt je inlog proces veel veiliger door een versleuteling te gebruiken.
Tip 10. WordPress AntiVirus
AntiVirus vfor WordPress is een makkelijke manier om je WordPress website te beschermen tegen
antivirus en malware.
Tip 11. Upate Update Update
We kunnen het niet genoeg herhalen. Zorg dat je altijd de laatste versie hebt geinstalleeerd
van WordPress, WordPress Theme, WordPress Plugins. Op die manier voorkom je dat inmiddels bekende
onvolmaaktheden in de programmatuur tegen je worden gebruikt.
Tip 12. Eenmalig wachtwoord
WP Secure Login is een plugin die een extra beveiligingslaag creeert.
Door een 2 stap-verificatie naar uw WordPress-site te vragen.
Naast je bestaande gebruikersnaam en wachtwoord op het WordPress Admin panel vraagt het ook om een eenmalig
te gebruiken wachtwoord. Dit eenmalig te gebruiken wachtwoord krijg je binnen via je smartphone.
Door middel van de Google Authenticator app. Op die manier ben je behoed voor keyloggers en andere spy gadgets.
Tip 13. WordPress Firewall Plugin
De WordPress Firewall Plugin is gemaakt om verdacht uitziende parameters die niet matchen met de WordPress structuur te signaleren.
Het zal niet alleen je hele WordPress website beschermen maar ook theme en plugins.
De plugin stuurt je een mailtje bij verdachte bewegingen.