Wist je dat er elke dag geprobeerd wordt om ook jouw WordPress website te hacken? Zonder te overdrijven……

WordPress wordt dagelijks bijna een miljoen keer gedownload en heeft een marktaandeel van ruim 61% van alle beheersystemen op het internet. Een kleine 25% van alle websites op het internet gebruikt WordPress. Dit maakt het systeem dus zeer lucratief voor hackers.
Als je WordPress website eenmaal gehacked is kan dit zeer nadelig voor je uitpakken. De kans is zeer groot dat de gehele website opnieuw ontwikkeld moet worden of er moet een schone installatie plaats vinden.

Kat en muisspel

Het blijft een kat en muisspel. Je probeert je website zo goed mogelijk te beveiligen tegen aanvallen van buitenaf, en hackers verzinnen steeds weer iets nieuws om je website over te nemen.
Het is niet alleen de website die de hacker over wilt nemen maar bijna in alle gevallen ook je computer, terwijl je het niet eens in de gaten hebt.

Zorg er dan ook voor dat niet alleen je website goed beveiligt is tegen hack pogingen maar ook dat je PC/ Laptop beschikt over een goede Firewall en Antivirus Software. Tips hiervoor zijn Eset Smart Security en Bitdefender.

Waarom zou iemand mijn website willen Hacken?

Om gevoelige informatie te stelen door bestanden te plaatsen op de server op je PC/ Laptop. Hackers kunnen malware installeren om zo je persoonlijke gegevens te stelen zoals creditcardgegevens of wachtwoorden;

Om controle over je website te krijgen en links te plaatsen naar de website van de hacker. Op deze manier krijt de hacker backlinks die de waarde van zijn website intensiveren. Als een website veel backlinks heeft wordt hij sneller, hoger gepositioneerd in Google;

De hacker wilt controle over je website om spam e-mails te versturen op grote schaal. Spam e-mails zijn lucratief voor de hacker aangezien ze vrijwel altijd verwijzen naar websites waarbij de hacker aangesloten is en een vergoeding krijgt voor een sale of click. De e-mails worden vanaf jouw server verstuurd en je website komt uiteindelijk op een Black list;

Om complete controle te krijgen over je website. In veel gevallen zie je je eigen website maar vanuit zoekmachines zoals Google wordt de bezoeker verwezen naar een andere website. Meestal zijn dat websites gebaseerd op gokken of sex/pornografische websites.

15 Tips om je WordPress website optimaal te beveiligen tegen hackers

1. Zorg dat je de laatste versie van WordPress installeerd/ update.

2. Houdt je Plugins up to date.
Zorg ervoor dat je niet teveel Plugins download (als het even kan met een functie……). Als je een Plugin download zorg dan dat je een Plugin kiest die getest is met de laatste versie van WordPress. Update z.s.m. als er een nieuwe versie uit is.
Als je een betaalde versie van een Plugin koopt op bv Themeforest moet je er voor zorgen dat de Plugin gemakkelijk te updaten is. Vaak is een betaalde Plugin lastiger te updaten. Heb je een Api nodig? Sla deze ergens op waar je er gemakkelijk bij kunt.
Zorg dat je reviews leest van Plugins!

3. Zorg dat je Database een prefix heeft.
Als je WordPress installeerd op de meest veilige manier of de gemakkelijke/ minder veilige manier dien je een database aan te maken. De Prefix zijn een aantal karakters vòòr de aangemaakte database en vind je in de wp-config.php.

db prefix image

4. Beveilig je wp-config.php in .htacces.
Door  het volgende toe te voegen in je .htaccess bestand laat je niemand toe in het belangrijkste bestand van je WordPress installatie. Plaats het volgende in je .htacces file:

<files wp-config.php>
order allow,deny
deny from all
</files>

Plaats deze voor of na de standaard WordPress code. Dat kun je zien door het # teken. Alles tussen de # kan WordPress overschrijven.

beveiligen tegen hackers

5. Zorg je ervoor dat je alleen met je eigen ip-adres in kunt loggen in de Backend van WordPress.

Plaats de volgend code in je .htacces bestand en upload deze naar je server (vervang het 111.111.111 door je eigen ipadres):

<FilesMatch "^(xmlrpc\.php|wp-trackback\.php|wp-login\.php|admin\.php)">
Order Deny,Allow
Deny from all
Allow from 111.111.111
</FilesMatch>

Weet je je eigen ip-adres niet? Kijk op www.whatsmyip.com. Plaats deze voor of na de standaard WordPress code. Dat kun je zien door het # teken. Alles tussen de # kan WordPress overschrijven.

deny wp config

6. Gebruik nooit, maar dan ook nooit Admin als gebruikersnaam.
Ook niet iets wat er op lijkt als administrator of webmaster. Dit zijn de eerste gebruikersnamen waar mee geprobeerd wordt in te loggen door een hacker.

7. Gebruik een sterk wachtwoord zoals de volgende: T&h2Wsl!y%B7A.
Sterke wachtwoorden zijn essentieel tegen aanvallen van hackers. Dit doen ze vaak met Brute Force Attacks. Dit zijn aanvallen waarbij er op enorm grote schaal met heel veel wachtwoorden i.c.m. gebruikersnamen geprobeerd wordt om in te loggen. De kans dat dit succesvol verloopt met een sterk wachtwoord wordt geminimaliseerd.

8. Verberg de WordPress versie die je gebruikt.
De WordPress versie kan gebruikt worden om specifiek te zoeken naar een versie, zijn zwakke plekken en gericht aanvallen te doen. Open header.php en verwijder de volgende regel. Upload header.php naar de server.

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

9. Gebruik een WordPress Thema uit het Dashboard
Een nieuw Thema kun je vinden in Weergave >> Thema’s, nieuwe toevoegen. Je kunt ervan uit gaan dat dit Thema’s zijn die geen malware bevatten. Als je een WordPress Thema download van een website die gratis Premium WordPress Thema’s aanbiedt bestaat er een reële kans dat er malware in is geplaatst.

10. Gebruik WordPress Secret Keys.
Om nog een extra versleuteling te geven aan je inloggegevens maakt WordPress gebruik van Secret Keys. Je hoeft deze niet zelf te verzinnen. In de wp-config.php staat een link naar de Api. Ga naar: https://api.wordpress.org/secret-key/1.1/ en copy & paste de karakters in je wp-config.php. Dit ziet er als volgt uit. Vergeet niet de wp-config.php te uploaden naar de server.

secret keys wordpress

11. Verberg je wp-admin URL.
Dit is de Url waar je inlogd in je WordPress Admin Panel. Dit kun je op een gemakkelijke manier doen met WordPress Better WP Security. Geef in het volgende veld aan op welke Url je in wilt loggen. Voorbeeld: www.jouwwebsite.nl/mijninlog . Ook nu kom je uit in de Backend van WordPress en zien anderen niet dat je WordPress gebruikt omdat de wp-admin verborgen is.

hide wp-admin

12. Iets wat altijd vergeten wordt!
Aangezien WordPress officieel als Blogsysteem in de wereld is gekomen en een Blog een auteur heeft wordt er vaak bij je Blogberichten en op de auteurpagina je gebruikersnaam weergegeven. Zorg dat je een voornaam invult in Gebruikers >> Je profiel, en kies voor weergeven als schermnaam.

beveiligen tegen hackers

13. Zorg dat je regelmatig een Backup maakt van je website.

14. Gebruik één van de volgende Plugins om je WordPress website optimaal te beveiligen:
Better WP Security;
Wordfence;
Bulletproof Security;

Tevens raad ik je aan Brute Protect te installeren.

15. Niet in paniek raken als je website is gehacked maar over laten aan iemand die er verstand van heeft!

Conclusie:

Om je website optimaal te beveiligen tegen hackers zijn er nog al wat beveiligingsmaatregelen nodig. Denk eraan dat je je website nog zo goed kan beveiligen maar je PC/ Laptop dient ook goed beveiligt te zijn. Zeker als je werkt met FTP om je website te uploaden naar de server.

Als je niet echt weet waar je mee bezig bent, zoals het wijzigen van je .htacces bestand, installeer dan één van de Plugins die ik je aanraad. Ik gebruik hoofdzakelijk Wordfence en Better WP Security en ben bezig om te expirimenteren met Brute Protect. Omdat ik nooit kan kiezen……whaahaa!  Wil je niet het risico nemen om zelf met deze Plugins te stoeien? Laat dan naar je WordPress website kijken door een expert.

Heb jij nog andere tips om je WordPress website nog beter te beveiligen tegen aanvallen van hackers? Vertel het me, deel en zorg dat het web veiliger wordt!

Bekijk ook eens deze artikelen:
1. Hoe installeer ik WordPress? >> WordPress installeren op de juiste manier
2. Wat zijn de belangrijkste WordPress Plugins? >> De belangrijkste WordPress Plugins
3. Hoe installeer ik een WordPress Thema? >> WordPress Thema installeren
4. Hardening WordPress

Tips van WordPress als je website is gehacked: