Zoals met alle populaire software, is ook WordPress regelmatig het doelwit van internetcriminelen, (kwaadwillende) hackers en spammers.

Het cms zit goed in elkaar, en er worden regelmatig updates uitgebracht met verbeteringen aan de beveiliging.
Maar, er is een aantal zaken die je zelf kunt regelen, zodat je site nog beter wordt beveiligd.

Om met het meest eenvoudige te beginnen, zaken die je aan kunt passen zonder enige programmeerkennis:

Loginnaam

Standaard na een installatie geeft het cms je de standaard inlognaam: ‘admin’. Die naam is algemeen bekend en is het eerste wat een botnet of andere malware probeert. Als je het niet hebt veranderd, dan hoeft alleen nog maar je wachtwoord gekraakt te worden, de helft van de login is dan al bekend.

Het loont de moeite om die naam dus te veranderen in iets veiligers. Dat kan je eigen naam zijn, of je kunt een gebruikersnaam genereren met een dienst als passwordsgenerator.

Ook als je je inlognaam niet hebt aangepast kan je dat alsnog doen. Maak een nieuwe gebruiker aan met beheerdersrechten en een unieke, veilige inlognaam. Verwijder daarna de oude inlog.

Wachtwoord

Een veilige inlognaam is niets zonder een uniek en veilig wachtwoord natuurlijk. WordPress geeft een indicatie van de sterkte van een wachtwoord op het moment dat je het invult.
Maar als je hetzelfde wachtwoord ook voor andere sites gebruikt, en je computer is geïnfecteerd met malware, dan is dat wachtwoord, hoe sterk WordPress ook aangeeft dat het is, toch niet zo veilig.
Gebruik daarom altijd een wachtwoord voor je site wat je niet ergens anders ook gebruikt. Of gebruik een dienst als Keepass of Lastpass, die onthouden alle unieke, ingewikkelde wachtwoorden voor je.

Beveilig WordPress: het inlogscherm

Zo moet het dus niet…

Twee-stap beveiliging

Omdat het wachtwoord zo belangrijk is, en ook vaak de zwakste schakel, is het mogelijk om via een plugin te zorgen dat het wachtwoord alleen niet genoeg is om in te loggen. Maar dat je bijvoorbeeld na het invullen van je wachtwoord een bericht op je mobiel ontvangt met een code die ingevuld moet worden op je site. Hier een aantal populaire plugins:

Recente versie

Bijna net zo belangrijk als een veilige inlog is om te zorgen dat je site gebruik maakt van de meest recente versie van WordPress. WordPress kan zichzelf tegenwoordig updaten (tenzij je hoster dat niet toestaat), dus je zult daar weinig moeite mee hebben. Maar het is belangrijk om het af en toe even te controleren.
Iedere update wordt voorzien van beveiligingsupdates die mogelijke zwakke plekken in oudere versies aanpakt. En natuurlijk komen er bij iedere update ook veel andere verbeteringen en functies bij, dus het is altijd een goed idee om regelmatig te updaten.

WordPress bijwerken

Maak backups van je installatie naar je computer of externe harde schijf of cloud storage.

Mocht er dan wat fout gaan, dan kun je een schone versie van je website (dus zonder enige vorm van oneigenlijke code erin) terugzetten. Afhankelijk van het soort aanval kan dit de enige manier zijn om je website weer helemaal goed te krijgen.

Houdt je computer schoon en virusvrij

Logisch. Je kunt nog zo’n sterk wachtwoord hebben, en allerhande maatregelen ter beveiliging hebben genomen, maar als je een virus of spyware op je computer hebt kan zo je wachtwoord worden uitgelezen en misbruikt, en hebben alle maatregelen geen enkele zin…

Lees ook de  andere berichten in deze serie:
Deel 2
Deel 3
Deel 4