Hoe u uw WordPress-blog kunt beveiligen

Het beveiligen van uw WordPress-blog is een essentieel iets dat u moet doen nadat u het op uw server heeft geïnstalleerd. Er zou geen enkele reden moeten zijn om uw WordPress wijd open te laten zodat hackers binnen kunnen sluipen en uw informatie kunnen stelen of uw gegevens kunnen vernietigen. Besteed een paar uur aan het beveiligen van WordPress, en u zult talloze uren besparen op het omgaan met constante aanvallen. Deze handleiding laat meerdere manieren zien om WordPress te beveiligen om uw gegevens en informatie veilig te houden.

Ook handig: u kunt een gratis SSL-certificaat voor uw WordPress-website krijgen om bezoekers van uw site te beschermen.

1. Gebruik een alles-in-één beveiligingsplug-in

Om het simpel te houden, begin je met een WordPress-beveiligingsplug-in die meerdere taken op één plek afhandelt. Een van de beste opties is All-In-One Security (AIOS) . Met een indrukwekkende beoordeling van vijf sterren op meer dan een miljoen installaties is het de moeite waard om toe te voegen aan uw site. Bovendien zijn veel van de functies volledig gratis.

De plug-in doet het volgende:

• Stopt brute force-aanvallen
• Maakt tweefactorauthenticatie mogelijk
• Verbergt uw inlogpagina voor bots
• Forceert uitloggen voor gebruikers die graag altijd ingelogd willen blijven
• Helpt de wachtwoordsterkte te verbeteren
• Verbetert WordPress Salts (onderdeel van het hash-proces om wachtwoorden te coderen) door 64 nieuwe tekens toe te voegen, die wekelijks veranderen
• Voegt firewallbescherming toe
• Inclusief malwarebescherming (alleen premium)
• Vermindert spamreacties

Dit is slechts een klein deel van wat er allemaal in zit. Alles instellen kan even duren, maar het beheren van één plugin is beter dan meerdere.

2. Stop brute force-aanvallen

Hackers kunnen uw inlogwachtwoord en inloggegevens gemakkelijk kraken met behulp van brute force-aanvallen. Om dit te voorkomen, installeert u de Login Lockdown -plug-in. Deze plug-in registreert het IP-adres en de tijdstempel van elke mislukte WordPress-inlogpoging. Zodra een bepaald aantal mislukte pogingen wordt gedetecteerd, wordt de inlogfunctie voor alle verzoeken uit dat bereik uitgeschakeld.

Het voegt ook twee andere handige functies toe: tweefactorauthenticatie en CAPTCHA. Deze verminderen ook drastisch de brute force-aanvallen.

3. Gebruik een sterk wachtwoord

Zorg ervoor dat u een sterk wachtwoord gebruikt dat voor anderen moeilijk te raden is. Gebruik een combinatie van cijfers, speciale tekens en hoofdletters/kleine letters om uw wachtwoord te vormen. U kunt ook de wachtwoordcontrole op WordPress 2.5 en hoger gebruiken om de sterkte van uw wachtwoord te controleren.

Een andere optie is het gebruik van een wachtwoordbeheerder om een ​​volledig willekeurig en veilig wachtwoord te genereren. Zelfs als u uw wachtwoorden niet opslaat, zijn dit nog steeds geweldige hulpmiddelen voor het genereren van unieke wachtwoorden voor uw site.

4. Bescherm uw WP-Admin-map

Uw map “wp-admin” bevat alle kritieke informatie over uw site en is de laatste plaats waar u anderen toegang wilt geven. De eenvoudigste manier om het te beschermen is door een extra wachtwoord toe te voegen. wp-adminZelfs als een hacker uw site binnendringt met de inloggegevens van een gebruiker, moet hij of zij nog steeds de inloggegevens van uw map achterhalen . Op dit punt bent u mogelijk al op de hoogte van de inbreuk en kunt u het wachtwoord van de gehackte gebruiker en uw wp-admin-wachtwoord wijzigen voor extra veiligheid.

Er zijn meerdere manieren om dit te doen. De eerste hangt af van uw webhost. Velen bieden cPanel aan. De stappen kunnen enigszins variëren, afhankelijk van de host.

• Log in op het cPanel-gedeelte van uw site. Uw webhost heeft instructies over hoe u dit moet doen.
• Scrol omlaag naar ‘Beveiliging’ en selecteer ‘Mappen met wachtwoordbeveiliging’.

• Selecteer ‘Directoryprivacy’.

• Selecteer de map die u met een wachtwoord wilt beveiligen en volg de aanwijzingen. Er is meestal een tutorial die dieper ingaat op hoe je mappen het beste kunt beschermen met deze methode.

De tweede methode is handmatig en wordt doorgaans niet aanbevolen. Als u dit niet correct doet, kunt u mogelijk geen toegang meer krijgen tot uw site.

• Maak een tekstbestand met uw favoriete teksteditor en noem het “.htaccess”
• Voeg het volgende toe aan het bestand, maar wijzig het AuthUserFile-pad naar waar u het wachtwoordbestand uploadt (in de volgende stap) en verander “uwgebruikersnaam” in uw gebruikersnaam.

AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

• Maak nog een tekstbestand met de naam “.htpasswd”
• Gebruik een htpasswd-generator om de bestandsinhoud te genereren. Hosting Canada , web2generators en AskApache hebben allemaal eenvoudig te gebruiken generatoren. Nadat u de generator heeft ingevuld, kopieert u de tekst die u krijgt naar het . htpasswd-bestand dat u hebt gemaakt.
• Kopieer beide bestanden naar uw wp-admin-map en u bent helemaal klaar.

5. Verwijder WordPress-versie-informatie

Veel WordPress-thema’s bevatten informatie over de WordPress-versie in de metatag. Hackers kunnen deze informatie snel in handen krijgen en specifieke aanvallen plannen die gericht zijn op het beveiligingsprobleem voor die versie.

Om de WordPress-versie-informatie te verwijderen:

• Log in op uw WordPress-dashboard.
• Ga naar “Ontwerp -> Thema-editor.”
• Zoek naar uw “Header” -bestand aan de rechterkant.
• Zoek naar de volgende regel code:

<meta name="generator"content="WordPress versionnumber"/>

• Verwijder deze regel en druk op ‘Bestand bijwerken’.

U kunt ook een WordPress-beveiligingsplug-in gebruiken, zoals Sucuri Security , om deze informatie te verbergen.

6. Verberg uw map met plug-ins

Als u naar de URL van uw website gaat: https://uwwebsite.com/wp-content/plugins en u ziet de hele lijst met plug-ins die u hebt gebruikt, dan is uw WordPress-site niet erg veilig. U kunt deze pagina eenvoudig verbergen door een lege “index.html” naar de plug-inmap te uploaden.

• Open uw teksteditor. Sla het lege document op als “index.html.”
• Upload de “index.html” naar de map “/wp-content/plugins” met behulp van een FTP-programma.

Ook handig: gebruik deze WordPress statistiekplugins om je website te meten.

7. Wijzig uw aanmeldingsnaam

De standaardgebruikersnaam is ‘admin’. Een eenvoudige manier om WordPress te beveiligen is door dit te veranderen. Anders kennen hackers al de helft van uw inloggegevens.

• Log in op uw WordPress-dashboard en selecteer ‘Gebruikers’.
• Selecteer ‘Nieuwe gebruiker’.

• Stel de rol in op ‘Beheerder’ en stuur een uitnodiging naar het gewenste e-mailaccount. Zodra de uitnodiging is geaccepteerd, kunt u inloggen, een wachtwoord aanmaken en het nieuwe beheerdersaccount worden.

• Zodra de nieuwe gebruiker is ingesteld, gaat u terug naar ‘Gebruikers’.
• Zoek het “admin”-account en verwijder het.
• Selecteer ‘Alle berichten en links toeschrijven aan’ en selecteer uw gebruikersnaam.
• Druk op ‘Verwijdering bevestigen’.

8. Upgrade naar de nieuwste versies

WordPress ontvangt, samen met thema’s en plug-ins, regelmatig updates. Dit voegt nieuwe functies toe, verhelpt bugs en verhelpt beveiligingsproblemen. Het laatste deel is het belangrijkste. Als hackers zich realiseren dat je een oudere versie hebt met beveiligingsfouten, zullen ze de opening onmiddellijk misbruiken.

Plan elke maand een dag om updates uit te voeren. Hoewel je misschien niet voor alles nieuwe updates hebt, kun je wel updates uitvoeren voor wat beschikbaar is. Dit omvat uw kerninstallatie van WordPress. Het is een eenvoudige manier om WordPress te beveiligen, maar zeer effectief.

Voordat u belangrijke updates uitvoert, moet u voor de zekerheid een volledige back-up van uw site maken.

9. Voer regelmatig beveiligingsscans uit

Elke WordPress-installatie heeft een beveiligingsplug-in nodig. All-In-One Security (AIOS) en Sucuri Security, die we al noemden, zijn geweldige opties. Je kunt ook het volgende proberen:

• Wordfence-beveiliging
• iThema’s Beveiliging
• Jetpack-bescherming
• SecuPress Gratis

10. Maak een back-up van uw WordPress-site

Hoe veilig uw site ook is, u wilt zich toch op het ergste voorbereiden. Installeer een WordPress-back-upplug-in en plan deze in om dagelijks een back-up van uw database te maken.

Je hebt een verscheidenheid om uit te kiezen, maar enkele van de beste opties zijn:

• Jetpack VaultPress-back-up
• Opwaartse luchtstroomPlus
• Back-upBuddy
• BlogVault
• Alles-in-één WP-migratie

11. Definieer gebruikersrechten

Als er meer dan één auteur voor uw blog is, kunt u de plug-in User Role Editor installeren om de mogelijkheden voor elke gebruikersgroep te definiëren. Dit geeft jou, de blogeigenaar, de mogelijkheid om te bepalen wat gebruikers wel en niet kunnen doen op de blog.

12. Upgrade naar SSL

Als u nog geen SSL-certificaat heeft, is dit het moment om er een aan te schaffen. Secure Sockets Layer (SSL) is een protocol dat codeert wat er tussen gebruikers en websites wordt verzonden. Veel webhosts bieden gratis of goedkope SSL-certificaten aan die ongelooflijk eenvoudig te installeren zijn. Deze zijn vooral belangrijk als gebruikers inloggen op uw site of aankopen doen. Bovendien geeft Google de voorkeur aan sites met SSL-certificaten.

• Handige SSL-winkel
• Globaal Teken
• DigiCert
• De SSL-winkel

13. Schakel bestandsbewerking uit

U kunt uw plug-in en themacode rechtstreeks vanuit het beheerdersgedeelte van uw site bewerken. Stel je voor dat iemand anders zonder jouw toestemming aan de code zou sleutelen. Om vervelende verrassingen te voorkomen, schakelt u het bewerken van bestanden uit.

Hoewel u een plug-in zoals Sucuri kunt gebruiken, kunt u ook een paar regels code toevoegen aan uw “wp-config.php” -bestand.

• Zoek het bestand “wp-config.php” in de hoofdmap van uw site. U kunt elke FTP-client gebruiken om toegang te krijgen tot uw bestanden.
• Download het bestand en open het in uw favoriete teksteditor, zoals Kladblok.
• Voeg het volgende toe aan de code:

// Disable file editdefine('DISALLOW_FILE_EDIT', true);

• Vervang het bestaande bestand “wp-config.php” door de nieuwe versie om het bewerken van bestanden uit te schakelen.

Ook handig: als u veel media aan uw website toevoegt, overweeg dan deze WordPress-beeldoptimalisatietips .

14. Gebruik tweefactorauthenticatie

Zelfs als hackers toegang krijgen tot de inloggegevens van een gebruiker, betekent tweefactorauthenticatie (2FA) dat de hacker nog steeds toegang tot een ander wachtwoord nodig heeft. In dit geval wordt er doorgaans een code naar de telefoon van de gebruiker gestuurd. U kunt beveiligingsplug-ins gebruiken, zoals die eerder in dit bericht zijn genoemd, of een speciale 2FA-plug-in, zoals miniOrange Google Authenticator of WP 2FA .

Afbeelding tegoed: Unsplash . Schermafbeeldingen door Crystal Crowder.