WordPress is een van de meest gebruikte systemen om websites in te bouwen: WordPress zorgt voor 27% van het hele internet (*). Niet verwonderlijk, want in een paar minuten kan je een website in WordPress online hebben staan en je kan WordPress voor veel doelen gebruiken, zeker niet alleen voor blogs.

Nu is een van de grote nadelen van systemen die door heel veel mensen worden gebruikt, dat het ook een interessant platform is voor hackers en kwaadwillenden. Niet gek, want als je eenmaal een gat in de beveiliging hebt gevonden, dan kan je op veel plekken schade aanrichten. Daarom nu even tijd voor veiligheid voor je WordPress website.

Praktische tips:

Altijd laatste versie

Zorg dat je WordPress installatie zoveel mogelijk op automatische updates staat. De kleine updates, vaak een kleinere bugs en beveiligingsreparaties, worden dan automatisch geïnttalleerd. De grotere updates moet je nog altijd zelf installeren, omdat deze vaak gepaard gaan met nieuwe functionaliteit. Bij de nieuwere installaties (sinds versie 3.7) staan de Automatic Background Updates aan. En hoe je de updates verder ook regelt: zorg dat je altijd de laatste versie gebruikt.

Gebruikersnamen en wachtwoorden

Standaard maakt WordPress een gebruiker ‘admin’ aan. Dit account wordt als eerste geprobeerd te kraken bij een zogenaamde Brute Force Attack. Dus verwijder deze direct na aanmaken van je website. Gebruik daarbij ook altijd goede wachtwoorden voor je website. En hergebruik dit wachtwoord niet op andere websites. Minimaliseer ook het aantal accounts met admin-rechten.

Veilige verbinding via https

Overweeg een SSL-certificaat. Deze zorgt ervoor dat je website beschikbaar is via https, een beveiligde verbinding die het verkeer afschermd. Zeker als je een shop, profielen of privé communicatie aanbiedt via de website dan is het een must. Daarbij, ook zoekmachines en sociale netwerken geven websites met https steeds meer voorrang. Het eenvoudigste is een SSL certificaat te regelen via je eigen hostingpartij.

Zo weinig mogelijk plugins

Gebruik zo weinig mogelijk plugins. Het is erg verleidelijk om voor ieder dingetje een nieuwe plugin te installeren. Echter, iedere plugin is ook weer een stuk code die onderhouden moet worden. Wees vooral bedacht op plugins die niet meer worden onderhouden, want zeker daarin kunnen bekende beveiligingsproblemen zitten die misbruikt kunnen worden.

Als je een plugin wilt installeren, zoek dan goed en bekijk de Ratings. Als er een overweldigende hoeveelheid 4 en 5 sterren zijn gegeven, dan kan je er aardig van op aan dat het een goede plugin is. Echter, let ook op wanneer de laatste update van de plugin is uitgebracht. Als dat meer dan een half jaar geleden is, dan moet je al op je hoede zijn.

Hosting partij

Belangrijk is ook de keuze van je hostingpartij. Zelf heb ik mijn websites draaien bij Savvii, een premium WordPress host. Het is belangrijk om bij een partij te zitten die snappen hoe WordPress werkt, en dat de infrastructuur daarop is ingericht. Mijn advies is om niet zomaar op zoek te gaan naar de goedkoopste partij, maar naar een partij die specifiek WordPress hosting aanbiedt.

Spam beveiliging

WordPress biedt je bij installatie al de plugin van Akismet aan. Deze zorgt ervoor dat je geen last hebt van spam in je reacties. Zet deze zeker aan. Je kan ook de reacties op blogs instellen op niet automatisch publiceren. Mijn advies is om alle reacties met links altijd te reviewen. Dat kan je instellen onder ‘Instellingen‘ – ‘Reacties‘ en dan onder de optie ‘Reacties modereren‘.

Als je toch op deze pagina bent, zet de eerste twee instellingen onder ‘Standaard berichtinstellingen’ uit (dus ‘Probeer elk ander blog gelinkt in dit artikel te benaderen‘ en ‘Sta linkmeldingen van andere blogs toe (pingbacks en trackbacks) op nieuwe artikelen‘). Dat zijn in mijn ogen totaal nutteloze opties die alleen maar zorgen voor vervuiling van je reacties.

Backups

Zorg dat je van je WordPress installatie op regelmatige basis een backup maakt. Liefst gewoon dagelijks een backup van de files en van de database. Zelf heb ik het geregeld bij mijn hostingpartij (is een standaard optie bij een premium WordPress hosting service)

Je kan het zelf proberen te regelen (er zijn plugins (1, 2, 3) die het voor je regelen, waarbij je bijvoorbeeld backups wegschrijft naar Dropbox of een FTP server), maar je kan het ook regelen met een service. Deze kost meestal wat geld, maar dan ben je ook ontzorgd. Check Vaultpress.com »

Limiet op inlogpogingen

Zoals eerder gezegd, er wordt vaak geprobeerd met een Brute Force Attack in je website in te breken. Daarbij worden lijsten met wachtwoorden uitgeprobeerd op je website. Plugins kunnen helpen om verkeer te blokkeren na een aantal foute inlogpogingen zoals All In One WP Security & Firewall. Deze plugin kan ook je standaard URL veranderen voor je inlog formulier.