WordPress beveiligen tegen hackers

Beveiliging van een WordPress website is erg belangrijk. Omdat WP veel gebruikt wordt op internet, is het ook onderhevig aan aanvallen van hackers. Toch is het niet heel ingewikkeld om een WordPress website te beveiligen. Voor onze klanten nemen we dit uit handen,  maar als u het zelf wilt doen, gebruik dan de volgende ‘Tip en Truc’.

Geen ‘admin’ als gebruikersnaam

Veel beheerders op internet gebruiken ‘admin’ als gebruikersnaam om in te loggen. Hackers proberen met brute-force attacks in te loggen, door heel vaak het wachtwoord te gokken. Kies daarom een eigen gebruikersnaam. Dat scheelt al enorm.

Heeft u ‘admin’ als gebruikersnaam? Die kunt u niet zomaar wijzigen of verwijderen in WordPress. Voeg eerst een nieuwe gebruiker toe met de beheerdersrechten. Log daarna in als deze nieuwe gebruiker en verwijder de gebruiker ‘admin’.

Beperk het aantal inlogpogingen

In principe kunt u oneindig vaak proberen in te loggen bij WordPress. Wij voegen daarom standaard aan onze websites een plugin toe waardoor het aantal inlogpogingen beperkt blijft tot 3. Daarna wordt de account (tijdelijk) geblokkeerd. Wij adviseren om een van de volgende twee plugins te gebruiken:

Gebruik beveiligde verbinding (https)

Om uw gebruikersnaam en wachtwoord veilig over het internet te sturen, kunt u het best een beveiligde verbinding (https) gebruiken zoals ook banken en webwinkels doen. Daarvoor moeten certificaten op de server geïnstalleerd worden. Meestal kunt u dat niet zelf doen, maar moet u dat uw hostingbedrijf vragen. Wij bieden onze klanten GRATIS certificaten sinds april 2016.

Als u eenmaal een certificaat heeft geïnstalleerd moet u nog afdwingen dat het inloggen via de https-verbinding moet. Voeg daarvoor aan het bestand wp-config.php de volgende regel toe

define('FORCE_SSL_ADMIN', true);

Beperk inlogmogelijkheid tot eigen IP-adres

Elke internetaansluiting heeft zijn eigen IP-adres. Bent u de enige (of een van de weinigen) die inlogt op de website? Dan kunt u regelen dat alleen mag worden ingelogd vanaf bepaalde IP-adressen. Voeg daarvoor aan het begin van het bestand .htaccess de volgende code toe. Met deze code sluit u ook meteen de toegang tot xmlrpc.php af. Via dit bestand kunnen app’s toegang krijgen. Hackers dus ook 🙁

Wilt u uw IP-adres weten, bekijk dan onze ‘Tip en Truc’: Wij weten het IP adres van uw computer)

# Begin veiligheidsregels
ErrorDocument 401 default
ErrorDocument 403 default

<Filesmatch "^(admin|wp-login|xmlrpc)\.php$">
   Order Deny,Allow
#Vul hier de IP-adressen in met toegang
   Allow from XXX.XXX.XXX.XXX
   Allow from XXX.XXX.XXX.XXX
   Deny from all
</Filesmatch> 
# Einde veiligheidsregels

Laatste berichten