Gelukkig kun je met een paar simpele aanpassingen de beveiliging van je WordPress-website flink verbeteren. In dit blog bespreken we de belangrijkste beveiligingsmaatregelen die je kunt nemen om je website te beschermen.
“Working safely may get old, but so do those who practice it.”
8 tips die jij vandaag nog kan toepassen:
1. Houd WordPress Altijd Bijgewerkt
- Wat is het probleem? Verouderde versies van WordPress, plug-ins en thema’s bevatten vaak bekende kwetsbaarheden die door hackers kunnen worden misbruikt.
- Wat kun je doen? Zorg ervoor dat je altijd de nieuwste versie van WordPress, je thema’s en plug-ins gebruikt. Updates bevatten niet alleen nieuwe functies, maar ook essentiële beveiligingspatches.
2. Installeer een WordPress Back-up Oplossing
- Wat is het probleem? Zelfs met de beste beveiliging kan er altijd iets misgaan. Een gehackte website, een fout tijdens een update, of menselijke fouten kunnen leiden tot dataverlies.
- Wat kun je doen? Installeer een betrouwbare back-up oplossing voor WordPress die regelmatig een kopie van je volledige website maakt, inclusief de database. Zorg ervoor dat je de back-ups op een veilige locatie bewaart, bijvoorbeeld in de cloud of op een externe harde schijf.
3. Verander het WordPress Database Prefix
- Wat is het probleem? Standaard gebruikt WordPress het prefix wp_ voor alle databasetabellen. Dit is algemeen bekend en maakt je database een gemakkelijker doelwit voor SQL-injectie-aanvallen.
- Wat kun je doen? Wijzig het standaard databaseprefix naar iets unieks, zoals wpxyz_. Dit maakt het moeilijker voor hackers om SQL-injecties uit te voeren.
4. Wijzig het Standaard Loginadres (wp-admin)
- Wat is het probleem? Het standaard loginadres wp-admin is een favoriet doelwit voor brute force aanvallen, waarbij kwaadwillenden proberen in te loggen met talloze gebruikersnaam- en wachtwoordcombinaties.
- Wat kun je doen? Verander het standaard loginadres van wp-admin naar iets unieks, zoals mijnloginpagina of toegang123. Dit maakt het moeilijker voor bots om je loginpagina te vinden en aan te vallen.
5. Schakel Bestandsbewerking uit
- Wat is het probleem? WordPress staat standaard toe dat je PHP-bestanden kunt bewerken via het dashboard. Als een hacker toegang krijgt tot je dashboard, kan hij of zij deze functionaliteit misbruiken om kwaadaardige code in je website in te voegen.
- Wat kun je doen? Schakel de mogelijkheid om bestanden te bewerken uit door de volgende regel toe te voegen aan je wp-config.php-bestand:
define('DISALLOW_FILE_EDIT', true);
Dit voorkomt dat er via het WordPress-dashboard wijzigingen kunnen worden aangebracht in de code.
6. Schakel PHP-bestanduitvoering uit in Bepaalde WordPress-mappen
- Wat is het probleem? Sommige mappen, zoals /wp-content/uploads/, zijn kwetsbaar voor het uploaden en uitvoeren van kwaadaardige PHP-bestanden.
- Wat kun je doen? Voorkom dat PHP-bestanden worden uitgevoerd in specifieke mappen door deze regels aan het .htaccess-bestand toe te voegen:
<Files *.php>
deny from all
</Files>
7. Schakel XML-RPC uit in WordPress
Plaats dit bestand bijvoorbeeld in de /wp-content/uploads/-map om te voorkomen dat PHP-bestanden in deze map worden uitgevoerd.
- Wat is het probleem? XML-RPC is een protocol dat WordPress gebruikt om externe verbindingen mogelijk te maken, zoals via de WordPress-app. Het is echter ook een bekend doelwit voor brute force en DDoS-aanvallen.
- Wat kun je doen? Schakel XML-RPC uit als je het niet gebruikt door de volgende regel toe te voegen aan je .htaccess-bestand:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Wanneer niet uitschakelen? Als je de WordPress-app gebruikt, Jetpack, of andere services die afhankelijk zijn van XML-RPC, kun je dit niet zomaar uitschakelen. Overweeg in dat geval alternatieve beveiligingsmaatregelen zoals het beperken van toegang tot specifieke IP-adressen.
8. Voeg Beveiligingsregels toe aan je .htaccess-bestand
Een eenvoudige manier om je WordPress-website extra te beveiligen is door je .htaccess-bestand aan te passen. Hieronder leg ik uit hoe je met enkele regels in dit bestand je website beter kunt beschermen.
<IfModule mod_headers.c>
# Enable Strict-Transport-Security
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
# Enable X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"
# Enable X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"
# Enable X-XSS-Protection
Header always set X-XSS-Protection "1; mode=block"
# Permissions Policy
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
# Additional headers
Header always set Content-Security-Policy "frame-ancestors 'self'"
Header always set Set-Cookie "^.*$" "%{REQUEST_URI}; SameSite=Strict; Secure"
Header always set Referrer-Policy "same-origin"
</IfModule>
#Fix to counter DOS ATTACKS for load-scripts
<FilesMatch "load-scripts\.php|load-styles\.php">
Order allow,deny
Deny from all
</FilesMatch>
Wat doen deze regels in je .htaccess-bestand?
- Strict-Transport-Security (HSTS):
- Dit zorgt ervoor dat browsers altijd de veilige HTTPS-versie van je site gebruiken. Zelfs als iemand per ongeluk HTTP invoert, wordt de gebruiker automatisch doorgestuurd naar HTTPS. Dit beschermt tegen aanvallen waarbij gegevens kunnen worden onderschept.
- X-Frame-Options:
- Deze regel voorkomt dat je website wordt geladen in een iframe op een andere site, wat beschermt tegen zogenaamde clickjacking-aanvallen. Alleen pagina’s van dezelfde site mogen je website in een frame weergeven.
- X-Content-Type-Options:
- Dit voorkomt dat browsers proberen te raden welk bestandstype wordt verzonden, wat kan helpen om bepaalde soorten aanvallen te blokkeren waarbij een browser de verkeerde inhoud laadt.
- X-XSS-Protection:
- Deze regel activeert een filter in de browser dat voorkomt dat kwaadaardige scripts worden uitgevoerd. Dit beschermt je site tegen Cross-Site Scripting (XSS) aanvallen.
- Permissions Policy:
- Deze regel beperkt de toegang tot bepaalde functionaliteiten van de browser, zoals het gebruik van de camera of microfoon, wat de kans op misbruik vermindert.
- Content-Security-Policy (CSP):
- Deze regel bepaalt van welke bronnen de inhoud van je site mag worden geladen, wat helpt bij het voorkomen van Cross-Site Scripting (XSS) en andere aanvallen. In dit geval kan je website alleen inhoud laden van de eigen server.
- Set-Cookie Header:
- Deze regel zorgt ervoor dat cookies alleen via een veilige HTTPS-verbinding worden verzonden en beperkt het gebruik ervan tot dezelfde site, wat bescherming biedt tegen Cross-Site Request Forgery (CSRF).
- Referrer-Policy:
- Dit zorgt ervoor dat de informatie die in de Referer-header wordt verzonden, beperkt is tot dezelfde site. Dit verbetert de privacy van gebruikers.
- FilesMatch (load-scripts.php/load-styles.php):
- Wat is het probleem? load-scripts.php en load-styles.php zijn bestanden die door WordPress worden gebruikt om scripts en stijlen efficiënt te laden. Hackers kunnen echter proberen deze bestanden te misbruiken om je website te overspoelen met verzoeken, wat een vorm van Denial of Service (DoS) aanval is.
- Wat doet deze regel? Deze regel blokkeert alle toegang tot deze bestanden. Dit betekent dat niemand, behalve de server zelf, deze bestanden kan benaderen, wat voorkomt dat hackers ze kunnen misbruiken voor aanvallen.
Met deze maatregelen ben je goed op weg om je WordPress-website te beschermen tegen veelvoorkomende bedreigingen. Vergeet niet dat beveiliging een doorlopend proces is: blijf op de hoogte van nieuwe dreigingen en beveilig je site regelmatig. Zo zorg je ervoor dat je website veilig blijft voor zowel jou als je bezoekers.
Klaar voor succesvolle business?
Voel je vrij om contact met ons op te nemen om te sparren met één van onze developers. We willen graag jouw verhaal horen en gaan de uitdaging aan om van jouw website een succesverhaal te maken.