WordPress beveiligen tegen hackers

Beveiliging van een WordPress website is erg belangrijk. Omdat WP veel gebruikt wordt op internet, is het ook onderhevig aan aanvallen van hackers. Toch is het niet heel ingewikkeld om een WordPress website te beveiligen. Voor mijn klanten neem ik dit uit handen,  maar als je het zelf wilt doen, gebruik dan de volgende ‘Tip en Truc’.

Geen ‘admin’ als gebruikersnaam

Veel beheerders op internet gebruiken ‘admin’ als gebruikersnaam om in te loggen. Hackers proberen met brute-force attacks in te loggen, door heel vaak het wachtwoord te gokken. Kies daarom een eigen gebruikersnaam. Dat scheelt al enorm.

Heb je  ‘admin’ als gebruikersnaam? Die kun je niet zomaar wijzigen of verwijderen in WordPress. Voeg eerst een nieuwe gebruiker toe met de beheerdersrechten. Log daarna in als deze nieuwe gebruiker en verwijder de gebruiker ‘admin’.

Beperk het aantal inlogpogingen

In principe kun je oneindig vaak proberen in te loggen bij WordPress. Ik voeg daarom standaard aan websites een plugin toe waardoor het aantal inlogpogingen beperkt blijft tot 3. Daarna wordt de account (tijdelijk) geblokkeerd. Ik adviseer om daarvoor een van de volgende twee plugins te gebruiken:

Gebruik beveiligde verbinding (https)

Om je gebruikersnaam en wachtwoord veilig over het internet te sturen, moet je een beveiligde verbinding (https) gebruiken zoals ook banken en webwinkels doen. Daarvoor moeten certificaten op de server geïnstalleerd worden. Meestal kun je dat niet zelf doen, maar moet je dat je hostingbedrijf vragen. Wij bieden onze klanten GRATIS certificaten sinds april 2016.

Als je eenmaal een certificaat hebt geïnstalleerd moet je nog afdwingen dat het inloggen via de https-verbinding moet. Voeg daarvoor aan het bestand wp-config.php de volgende regel toe

define('FORCE_SSL_ADMIN', true);

Beperk inlogmogelijkheid tot eigen IP-adres

Elke internetaansluiting heeft zijn eigen IP-adres. Ben je de enige (of een van de weinigen) die inlogt op de website? Dan kun je regelen dat alleen mag worden ingelogd vanaf bepaalde IP-adressen. Voeg daarvoor aan het begin van het bestand .htaccess de volgende code toe. Met deze code sluit je ook meteen de toegang tot xmlrpc.php af. Via dit bestand kunnen app’s toegang krijgen. Hackers dus ook 🙁

Wil je jouw IP-adres weten, bekijk dan onze ‘Tip en Truc’: Wil je het IP adres van je computer weten)

# Begin veiligheidsregels
ErrorDocument 401 default
ErrorDocument 403 default

<Filesmatch "^(admin|wp-login|xmlrpc)\.php$">
   Order Deny,Allow
#Vul hier de IP-adressen in met toegang
   Allow from XXX.XXX.XXX.XXX
   Allow from XXX.XXX.XXX.XXX
   Deny from all
</Filesmatch>
# Einde veiligheidsregels