WordPress beveiligen, hoe leg je dat nu uit? Het is zo’n omvangrijk stuk informatie. En om het volledig te begrijpen heb je veel ervaring en kennis nodig.
Om een beeld te schetsen hebben wij het visueel gemaakt!
De beveiliging van een WordPress site, is…
Is als een piramide
De basis is uiteraard WordPress
Het topje waar het na de download van WordPress allemaal begint, is de programmeur/vormgever die je WordPress website op gaat zetten.
1 onderdeel beveiligen is nutteloos!
Je kunt 1 onderdeel aanpakken, en denken dat je website veilig is. Neem bijvoorbeeld een goede programmeur/vormgever, of veilige wachtwoorden, of de nieuwste updates.
Maar zoals je aan de piramide kunt zien is dat slechts 1 onderdeel.
Echt een veilige WordPress website
Om echt een veilige WordPress website te krijgen moet je alle onderdelen beveiligen.
Wij gaan je stuk-voor-stuk helpen om alle onderdelen van de piramide goed te krijgen zodat je WordPress echt veilig is!
De programmeur
Een goede WordPress website bouwer zal niet meer dan 8-10 plugins gebruiken. Elke plugin is een nieuwe mogelijkheid voor hackers, aangezien lang niet alle plugin ontwikkelaars verstand hebben van beveiliging.
Hier komt het dus aan op kennis, de programmeur/vormgever moet zich bewust zijn van de gevaren die elke extra plugin met zich meebrengt en moet dus enkele zaken inprogrammeren in plaats van overal een plugin voor te gebruiken.
WordPress is namelijk flexibel en kan op zichzelf al ontzettend veel met custom fields, templates en hooks.
Hou er wel rekening mee dat een programmeur/vormgever langer bezig kan zijn met je website als hij zelf de functies moet aanmaken zonder plugin, dus het budget moet ook omhoog! Je kunt niet verwachten dat een programmeur een website opzet voor een klein bedrag (150-300) en dat die dan ook alle functies kan inprogrammeren.
Het is dus een keuze van jou, of de website top safe gaat worden of dat je voor goedkoop gaat. (ook NIET elke programmeur die veel geld vraagt is goed!!)
Het thema
Premium of gratis, dat maakt niet uit.
Niet?!
Premium themes worden vaker door hackers getest omdat ze het liefst sites kraken waar geld in zit. Premium plugins worden door velen gebruikt en dat weten hackers ook.
Kortom, premium is geen garantie. Doe even research of het thema in deze database staat.
De plugins
Zoals je in de piramide kunt zien, zijn plugins een groot onderdeel van de website, meer dan 36.3% van de veiligheid van je site hangt af van de plugins.
De plugins worden “door derden gemaakt” zoals ze dat noemen. Hier heb je dus te maken met personen die op de zolderkamer een plugin programmeren, of met een team dat een plugin lanceert.
Weet jij wie je plugin heeft gemaakt? En of die verstand heeft van veiligheid?
Er zijn 44,273 plugins die je gratis kunt downloaden op WordPress.org
Dit is een geweldig aanbod! Plugins zoals:
- Yoast seo
- Count per day
- Akismet
- Woocommerce
- iThemes Security PRO NL
Dit zijn geweldige plugins die WordPress omtoveren tot webshop of marketing machine!
Maar wanneer ze eenmaal aanslaan bij de grote menigte, downloaden hackers de plugins en gaan ze op zoek naar een lek. Wanneer ze die hebben gevonden maken ze een script die websites test op de aanwezigheid van de bewuste plugin en dan een script uitvoert waardoor je website vol komt te staan met reclame. Reclame voor een product dat de hacker verkoopt. Vaak is dit dan ook nog eens viagra aangezien dat duur is en schijnbaar veel verkocht wordt??
De hosting
De hosting is de plek waar je website staat. Dit is een zogenoemde “datacenter”.
Klinkt heel hip, en dat is het ook. Er staan allemaal high tech computers te draaien waar je website op staat.
Nou, high tech.. het zijn eigenlijk hele dure uitgeklede computers!
Krachtige processoren en veel opslag zorgen ervoor dat de websites razendsnel het internet op gaan wanneer een websitebezoeker die website opvraagt.
Wat is de verantwoordelijkheid van de hoster?
De hoster moet zorgen dat de server software up-to-date is. De websites worden getoond via een computer waar Linux of Windows op draaien en die moeten niet geïnfecteerd/gehackt worden.
Dit gebeurd overigens bijna nooit en daarom is dit ook maar 9.09% in de piramide.
Wat doet een goede hoster?
Een goede hoster wil zijn high tech computers snel houden, dat betekent dus dat hij ervoor zorgt dat websites bezocht worden maar de scripts van hackers niet actief zijn.
Dat betekent soms dat een hosting bedrijf je zal vragen om alle WordPress plugins up-to-date te houden.
Of zelfs je WordPress website offline haalt!
Als je website druk bezig is om spam te versturen of aanvallen uitvoert op andere servers/computers van de hoster zal hij je website vaak direct offline halen zodat dit script stopt met het lastig vallen van personen of computers.
De gebruiker
Wat jij als gebruiker kunt doen
- Je plugins/thema en WordPress up-to-date houden
- Wachtwoorden kiezen die niet gemakkelijk te raden zijn
- Geen onnodige plugins of thema’s op de server laten staan
- Niet op links klikken wanneer je ingelogd bent als administrator van je website
WordPress
De heren die WordPress hebben ontwikkeld en dit nog steeds gratis doen, zijn heel actief. Ze lanceren maandelijks en soms nog vaker nieuwe WordPress updates waarbij ze nieuwe trucs van hackers tegenhouden.
WordPress op zich is een goed en stabiel systeem! Het is in 2003 op mei gelanceerd en dus al meer dan 10 jaar in ontwikkeling.
Wist je dat?!
Er een Nederlandse beveiligingsplugin is die 80% van deze onderdelen voor je regelt!
iThemes Security PRO NL
Deze plugin helpt je de server/hosting in te stellen, dwingt gebruikers goede wachtwoorden te kiezen, houdt hackers buiten, beveiligd mappen, stopt brute force attacks, beveiligt je admin, en geeft je overzicht en controle over je website!
Als de programmeur/designer zelf dingen op maat programmeert, hoe zit het dan met de veiligheid? Hoe voorkomt de programmeur dat hij/zij scripts maakt die makkelijk te hacken zijn? Een site van een groot bedrijf kan best interessant zijn om te hacken.
Het gebruik van WordPress functies beperkt de risico’s op lekken. WordPress heeft diverse veilige methodes ingebouwd formulieren, query’s, Serverside ajax te hanteren.
De programmeur moet daarom niet alleen bekend zijn met php maar ook met de ingebouwde methodes van WordPress.
Er zijn tevens diverse artikelen te vinden op het internet over het maken van formulieren en het schrijven van scripts waarbij gelet wordt op de valkuilen waar je als programmeur niet aan denkt. Hackers kijken heel anders naar code, naar invoervelden, naar mogelijkheden om de url-balk te gebruiken om variablen in te zetten.
@Marloes
19 is inderdaad een beetje veel.
Vergeet ook niet de inactieve plugins te verwijderen.
Daarmee verklein je het aanvalsoppervlak.
Ik heb plugins die ik niet meer gebruik op niet actief gezet nu zijn er nog maar 6 plugins actief dat is wel goed hoop ik. Ik had er 19 actief staan hihi