Een veilige WordPress website begint bij de bron: de WordPress installatie en zijn plugins. Daar houdt het echter niet op, want wie zijn website niet onderhoudt, loopt onnodig veel extra risico. Lees verder om te zien hoe jij jouw WordPress website veilig kunt houden.
1. Hackers buiten de deur houden
Iedereen weet dat je de WordPress back-end kunt benaderen vanaf de wp-admin en wp-login.php. Dat zijn dan ook de eerste plaatsen waar hackers proberen je website binnen te komen. Zorg ervoor dat ze buiten de deur blijven door bijvoorbeeld de gratis WPS Hide Login plugin te gebruiken.
Hiermee kun je jouw eigen login- en admin-urls bedenken, die alleen jij weet. Schrijf deze urls ergens op, zodat je niet zelf de toegang tot je eigen website kwijt raakt!
Daarnaast doe je er goed aan om een softwarematige firewall te installeren binnen je WordPress omgeving. Persoonlijk ben ik erg te spreken over WordFence, maar ook iThemes Security biedt een erg complete set tools.
2. Updaten, updaten, updaten!
De meestvoorkomende manier voor kwaadwillenden om binnen te komen in je WordPress website, is via oude code in plugins, thema’s en WordPress zelf. Dit kun je zelf voorkomen door te zorgen dat jouw website niet ten onder gaat aan achterstallig onderhoud.
Maak minimaal 1x per maand een backup van je website en update vervolgens alle onderdelen van je WordPress website: van de software zelf, tot je gebruikte thema en plugins.
Last but not least: verwijder plugins en thema’s die je niet gebruikt.
3. Beveilig je accounts
Je DigiD, internetbankieren, online betalingen en al je belangrijke persoonlijke informatie is veilig opgeborgen achter dubbele authenticatie. Waarom zou je niet gewoon hetzelfde doen met je belangrijke WordPress websites?
Dit is makkelijker dan je denkt, want met een plugin als Two-Factor Authentication heb je binnen een paar klikken al jouw WordPress accounts achter dubbel slot en grendel gezet. Zo komt niemand meer je website binnen door alleen je wachtwoord te raden of hacken en zal er altijd een bevestiging nodig zijn vanaf jouw telefoon of email.
4. Back it up
Bij punt 2 was al te lezen dat het verstandig is om maandelijkse backups te draaien van je complete website, maar daar houdt het niet op. Een backup is pas een backup als je hem in geval van nood kunt gebruiken.
Zorg er dan ook voor dat je backups niet (alleen) op dezelfde plek opgeslagen zijn als je website, want als je webserver eruit ligt, is je backup ook niet beschikbaar.
Maak bijvoorbeeld gebruik van een plugin als UpdraftPlus en stel het zo in dat jouw backups automatisch periodiek worden gemaakt. UpdraftPlus biedt je daarnaast de mogelijkheid om je backups te versturen naar een externe locatie, zoals Dropbox, Google Drive of Microsoft OneDrive. Zo staat de laatste backup van je website ook altijd ergens in de cloud. Handig!
5. Fix je SSL en mixed content
Heb je nog geen mooi SSL-slotje in je adresbalk en wordt jouw WordPress website nog niet over https uitgeserveerd? Vraag dan meteen een SSL-certificaat aan.
Heb je nog geen mooi SSL-slotje in je adresbalk en wordt jouw WordPress website nog niet over https uitgeserveerd? Vraag dan meteen een SSL-certificaat aan.
6. Laat zien dat je website veilig is
Tot slot: zorg altijd dat jouw privacy statement en cookie statement reflecteert wat jouw WordPress website doet. Stel een goed statement op waarin staat dat jouw website goed beveiligd is (met SSL), welke gebruikersdata je verzamelt (cookies, formulieren) en hoe lang alles bewaard wordt.
Het opstellen van een cookie- of privacystatement is sinds mei 2018 verplichte kost en kan best een opgave zijn, maar met behulp van websites als VeiligInternetten.nl kom je een heel eind.