Beveilig je WordPress website: zo voorkom je dat je website wordt gehackt | 10 tips

🕑 31 januari 2024

Jouw website is vaak een belangrijke bron van inkomsten en leadgeneration. Het laatste wat je dan wilt is dat jouw website wordt gehackt en ineens een totaaaaaal andere (en behoorlijk ongepaste) inhoud vertoont. Believe me: ik heb het meegemaakt. Waarschijnlijk denk je dat jij met je kleine simpele website geen doelwit zal zijn, maar niks is minder waar. Iedere zich zelf serieus nemende ondernemer met website doet er goed aan om zijn of haar website goed te beveiligen om hacks te voorkomen. Maar hoe zorg je dan voor een beveiligde website? In deze blog deel ik 10 tips met je.

1. Maak gebruik van sterke wachtwoorden

Een inkoppertje wellicht, maar ik benoem ‘m toch maar even. Want nog steeds is het níet gebruiken van een sterk wachtwoord een van de redenen dat systemen kunnen worden gehackt. Kies dus nooit voor de naam van je favoriete huisdier of geboorteplaats, maar kies iets wat niet voor de hand liggend is en met zoveel mogelijk verschillende tekens erin.

Het aanmaken én onthouden van een reeks ingewikkelde wachtwoorden is natuurlijk wel een uitdaging. Ik ben daarom zelf echt een fan van de tool LastPass. Hiermee kan jij gemakkelijke sterke en unieke wachtwoorden maken en veilig opslaan in een versleutelde kluis. Het enige dat jij hoeft te onthouden is slechts één hoofdwachtwoord om toegang te krijgen tot al je wachtwoorden. Ik kan echt niet meer zonder! Via deze link kun je LastPass gratis afsluiten of voor 3 dollar per maand (betere beveiliging + toegang via meerdere apparaten).

En wellicht nóg een inkoppertje: maar wijzig je wachtwoorden regelmatig. Ook bij gebruik van LastPass!

2. Update je website regelmatig

Nog een inkoppertje? Ik weet het niet, voor mij lijkt het namelijk wel zo, maar ik zie dit nog veels te vaak mis gaan! Het regelmatig bijhouden van je plugins, thema en WordPress is ontzettend belangrijk. De updates bevatten vaak belangrijke ‘updates’ die kwetsbaarheden in het systeem oplossen, waardoor je website goed beschermt blijft tegen nieuwe aanvallen. Deze updates uitvoeren is écht geen hogere wiskunde, maar het moet wel goed gebeuren én regelmatig.

Om handmatig updates uit te voeren, log je in op je WordPress-dashboard en ga je naar het gedeelte ‘updates’. Hier zie je een lijst van beschikbare updates voor WordPress, thema’s en plugins. Je kunt kiezen welke updates je wilt uitvoeren door de betreffende items aan te vinken en op de knop ‘Nu bijwerken’ te klikken. Het is altijd een goed idee om eerst een backup van je website te maken voordat je updates uitvoert, voor het geval er iets misgaat. Ook raad ik aan om eerst je plugins te doen, dan pas je thema’s en als laatste je WordPress.

Hoewel WordPress je toestaat om automatische updates in te stellen voor thema’s en plugins, is het bij grote updates, zoals die voor WordPress zelf, vaak beter om dit niet te doen. Automatische updates zijn handig voor kleinere, minder ingrijpende updates, maar grote updates kunnen soms onvoorziene problemen met je huidige thema’s of plugins veroorzaken. Door grote updates handmatig uit te voeren, heb je meer controle en kun je ervoor zorgen dat je site goed blijft functioneren. Bovendien geeft dit je de kans om de compatibiliteit en functionaliteit te testen na elke grote update.

3. Beveiligingsplugins installeren

Het versterken van de beveiliging van je WordPress-website kan aanzienlijk vereenvoudigd worden door het installeren van betrouwbare beveiligingsplugins. Deze plugins bieden een breed scala aan beveiligingsfuncties, van firewallbescherming en malware-scanning tot inbraakpreventie en real-time monitoring. Twee voorbeelden van deze plugins zijn Wordfence en Solid Security (voorheen iThemes security).

Het installeren van deze plugins is eenvoudig. Ga naar het dashboard van je WordPress-site, navigeer naar ‘Plugins’ en klik op ‘Nieuwe plugin toevoegen’. Zoek vervolgens naar Wordfence of Solid Security en klik op ‘Nu Installeren’. Na de installatie activeer je de plugin en volg je de setup-instructies om je websitebeveiliging te optimaliseren.

4. Tweestapsverificatie (2FA) Implementeren

Een zeer effectieve manier om de beveiliging van je WordPress-website aanzienlijk te verhogen, is door het implementeren van Two-Factor Authentication (2FA). 2FA voegt een extra laag van bescherming toe bovenop je gebruikersnaam en wachtwoord. Naast het invoeren van je wachtwoord, vereist 2FA dat je een tweede vorm van verificatie uitvoert, zoals het invoeren van een code die naar je telefoon wordt gestuurd of gegenereerd door een authenticator-app.

Voor WordPress zijn er verschillende plugins beschikbaar die 2FA ondersteunen. Deze plugins zijn eenvoudig te installeren via het ‘Plugins’ gedeelte in je WordPress-dashboard. Nadat je een 2FA-plugin hebt geïnstalleerd en geactiveerd, volg je de instructies om het op te zetten. Gewoonlijk zal dit het koppelen van je account aan een mobiel apparaat of een authenticator-app inhouden.

5. Verander de URL van je login-pagina

Maak het hackers extra moeilijk door jouw standaard URL van je login-pagina te wijzigen naar iets dat alleen voor jou bekend is. Plugins zoals WPS Hide Login of Solid Security bieden een eenvoudige manier om dit te doen.

Met WPS Hide Login kun je de standaard inlog-URL (bijvoorbeeld jouwwebsite.com/wp-admin) wijzigen in iets anders, iets dat alleen jij kent en weet. Na installatie van de plugin, vind je onder Instellingen een optie om je nieuwe inlog-URL in te stellen.

Solid Security (die ik hiervoor al heb genoemd) biedt ook een vergelijkbare functie. Naast het veranderen van de inlog-URL, biedt het een scala aan andere beveiligingsfuncties. Het instellen van een aangepaste inlog-URL via Solid Security vind je via geavanceerde opties > verberg backend. Klik op het vinkje ‘Activeer de verberg backend functie’. Bij ‘Login Slug’ voor je jouw aangepaste login URL in. Bewaar deze goed!

6. Installeer een SSL-certificaat

Het hebben van een SSL-certificaat kan je tegenwoordig niet meer omheen. Het zorgt ervoor dat je website gebruikmaakt van HTTPS in plaats van HTTP, ook herkenbaar aan het groene slotje aan de linkerkant van je URL. Het gebruik van SSL/HTTPS is niet alleen goed voor de beveiliging, maar het helpt ook bij de SEO van je website, aangezien Google veilige websites voorrang geeft in de zoekresultaten. Heb jij geen certificaat? Dan zal het een kleine kans zijn dat jij hoog scoort in Google!

Bij de meeste hosts kan jij gratis een SSL-certificaat aanvragen. Aan te raden is om dit direct in te stellen op het moment dat jij een nieuwe website gaat of laat maken. Doe je dit niet en moet je dit op een later moment instellen dan kan het voorkomen dat de optie via je host niet volledig dekkend is en niet alles op je website wordt omgezet van HTTP naar HTTPS.

Met de plugin Really Simple SSL kan je dit oplossen.

Het gebruik van SSL/HTTPS is niet alleen goed voor de beveiliging, maar het helpt ook bij de SEO van je website, aangezien Google veilige websites voorrang geeft in de zoekresultaten. Daarom is het implementeren van SSL een win-win situatie voor zowel beveiliging als zichtbaarheid.

7. Kies voor een betrouwbare hostingpartij

Het kiezen van een hostingpartij is niet alleen belangrijk voor de beveiliging van je WordPress website, maar ook voor de snelheid en support. Hoewel het verleidelijk kan zijn om voor de goedkoopste optie te gaan, is dit vaak een geval van ‘goedkoop is duurkoop’. Budget-hosting heeft vaak beperkingen op he gebied van beveiliging, prestaties en support. Hierdoor is je website kwetsbaarder voor aanvallen en storingen.

Bij het selecteren van een hostingpartij, is het belangrijk om te kijken naar ondersteuning voor de nieuwste PHP-versies, aangezien oudere versies beveiligingsrisico’s kunnen bevatten. Een goede host zal regelmatig updates uitvoeren naar de nieuwste PHP-versies om de beveiliging en prestaties van je website te optimaliseren.

Twee hostingproviders waar ik goede ervaringen mee heb zijn SiteGround en Vimexx. Ik ben zelf echt fan van Vimexx vanwege de goede prijs-kwaliteitverhouding en de (Nederlandse) support. Ook vind ik het persoonlijker fijner om in de Vimexx-hosting omgeving te werken dan in die van SiteGround, maar dat is puur persoonlijk én waarschijnlijk maar net wat je gewend bent. Beide providers bieden automatisch dagelijkse back-ups en actieve beveiligingsmonitoring.

8. Beperk het Aantal Inlogpogingen

Een veelgebruikte methode door hackers om toegang te krijgen tot WordPress-sites is via brute force-aanvallen. Hierbij worden automatische scripts gebruikt die eindeloos verschillende wachtwoordcombinaties proberen om je inloggegevens te kraken. Om dit soort aanvallen tegen te gaan, is het beperken van het aantal inlogpogingen een effectieve strategie.

Plugins zoals Solid Security en Wordfence bieden functies om het aantal mislukte inlogpogingen te beperken. Door het instellen van een limiet, bijvoorbeeld drie pogingen, wordt een gebruiker na het overschrijden van deze limiet geblokkeerd. Dit voorkomt dat een aanvaller oneindig veel pogingen kan doen om je wachtwoord te raden.

Solid Security biedt daarnaast de mogelijkheid om IP-adressen die verdacht gedrag vertonen, automatisch uit te sluiten. Dit verhoogt de beveiliging tegen geautomatiseerde aanvallen aanzienlijk. Echter, het is belangrijk om voorzichtig te zijn met deze functie. Zorg ervoor dat je je eigen inloggegevens correct onthoudt, want ook jij kunt tijdelijk worden uitgesloten na te veel mislukte pogingen. Een handige functie is dat je je eigen IP-adres als ‘veilig’ kunt markeren, waardoor je jezelf niet per ongeluk uitsluit.

zo voorkom je dat je website wordt gehackt | 10 tips

9. Maak regelmatig een back-up van je WordPress website

Zelfs met alle voorgaande beveiligingsmaatregelen kan er toch iets misgaan, en in zo’n geval is het essentieel om een (recente) back-up van je site te hebben. Deze back-ups zorgen ervoor dat je snel en effectief je website kunt herstellen naar een eerdere versie.

Veel hostingpartijen, zoals SiteGround en Vimexx, bieden back-updiensten als onderdeel van hun hostingpakketten. Deze automatische back-ups zijn handig en bieden een basisniveau van beveiliging.

Ik raad wel altijd aan om ook zelf controle te hebben over je back-ups. Dit geeft je de optie om gerichte back-ups te maken voordat je grote updates uitvoert of belangrijke wijzigingen aanbrengt op je website. Ga jij bijvoorbeeld zélf sleutelen aan je website en ben je niet blij met het resultaat of gaat het helemaal mis? Dan zet je eenvoudig met een back-up de voorgaande versie terug!

Een populaire plugin om zelf je back-ups te regelen is UpdraftPlus. Na installatie kan je direct heel eenvoudig een back-up maken van je gehele website en deze op laten slaan op een externe locatie zoals jouw eigen Google Drive of Dropbox.

Voordat je belangrijke updates uitvoert of experimenteert met nieuwe functies, is het een goed idee om eerst een back-up te maken. Mocht er iets fout gaan, dan kun je altijd terugvallen op deze meest recente back-up.

10. Kies voor een betrouwbaar WordPress thema, en plugins

Het is belangrijk om alleen voor betrouwbare WordPress thema’s en plugins te kiezen en om overbodige of ongebruikte thema’s en plugins te verwijderen. In de basis heb je slechts één thema nodig – het thema dat je actief gebruikt.

Bij het kiezen van plugins is het belangrijk om echt kritisch te zijn over wat JIJ nodig hebt. Elke geïnstalleerde plugin voegt een extra element toe dat onderhouden moet worden, en potentieel een risico kan vormen. Een goede manier om de betrouwbaarheid van een plugin te beoordelen, is door te kijken naar het aantal installaties en de gebruikersbeoordelingen. Deze informatie vind je eenvoudig wanneer je de plugin opzoekt in WordPress Veel installaties en positieve beoordelingen zijn meestal een teken van een veilige en betrouwbare plugin.

Loop je plugins regelmatig na en beoordeel of je deze nog echt nodig hebt. Is dat niet het geval? Dan kan je deze plugins beter direct verwijderen. Dit helpt niet alleen om de beveiliging op peil te houden, maar verbetert uiteindelijk ook de snelheid en prestaties van je website.

Ben jij veilig tegen hackers?

Zoals hopelijk duidelijk is geworden met deze blog is het beveiligen van jouw WordPress website niet iets eenmaligs, maar een voortdurend proces. Consistentie is hierbij ontzettend belangrijk en mijn advies is om dit wekelijks óf minimaal om de 2 weken te controleren.

Behoorlijk tijdrovend zal je denken, al helemaal wanneer dit niet echt ‘in jouw straatje’ ligt en jij je liever bezig houdt met andere zaken. Maar geen nood! Ik kan je hierbij helpen. Met mijn WordPress website onderhoud pakket zorg ik voor de beveiliging van je website, dagelijkse back-ups en wekelijkse updates van je plugins. Nieuwsgierig? Op deze pagina vind je hier meer informatie over.

*In dit artikel maak ik mogelijk gebruik van affiliatelinks. Als je iets koopt via deze links, krijg ik een klein percentage over het totale bedrag, zonder extra kosten voor jou.

Lees meer!