AlterSquare- veilige WordPress website - boodschutterHoe zorg je ervoor dat de website een veilige WordPress website is? Neem eenmalig een paar uur de tijd om de veiligheid goed te organiseren en het zal veel energie, zorgen en tijd kunnen besparen. Dit betekend nieuwe gewoontes aanleren en consequent werken. Bescherm de website en de gegevens daarachter goed, want de schade kan verder reiken dan direct zichtbaar. De website wordt niet alleen door de welwillende bezoeker bezocht. Toegang tot  klantgegevens, of direct toegang tot geld of bankzaken zijn natuurlijk doemscenario’s die men ten alle tijden wil voorkomen.

Waar beginnen

Heeft de wordpress website nog een Admin gebruiker? Dan is de kans groot dat er nog niet veel met de veiligheid is gedaan, en dit is echt een beginnersfout. Niet iedereen hoeft een ‘Fort Knox ‘ van de website te maken, maar laten we de deur niet openzetten om misbruik te voorkomen. Iedere website eigenaar kan in een paar stappen een basis beveiliging neerzetten die de eerste klappen kunnen opvangen.

Speerpunten

  • Verwijder de Admin gebruiker. Dit is een standaard in WordPress en dit betekend dat de 50% van de inloggegevens (de gebruikersnaam) al wordt prijsgegeven. Maak eerst een nieuwe gebruiker met de beheerders rol, log in met de nieuwe gebruiker en verwijder Admin.
  • Zorg voor een goede gebruikersnaam en wachtwoord is het basis advies dat ik blijf geven. Kies geen clichés (geboortedatum, je huisnummer, 0000 of 1234) als onderdeel van het wachtwoord. Ik maak jaarlijks voor mijzelf een lijst met STERKE wachtwoorden die ik afzonderlijk van elkaar gebruik en een app waar ik wachtwoorden veilig kan beheren.
  • Zorg dat de bloggers (publicerende rollen) op de website geen beheerdersrol hebben. Omdat de rol wordt gepubliceerd en de inlognaam daarmee ook eenvoudig te vinden is. Net als bij Admin geef je dan al de helft weg en is ‘inbreken’ makkelijker.
  • Beperkt het aantal inlogpogingen. Ook kan je bepaalde IP-adressen blokkeren bij te veel pogingen. Voor deze functies kunnen plugins als Ithemes Security of WordFence goed helpen.
  • Update de software regelmatig. De meest veilige wordpress is vaak de laatste versie (oook voor thema’s en plugins). Ook voor de software van de hosting moet worden geupdate. Vraag de hosting naar hoe zij zich beveiligen.
  • Maak regelmatig een Backup. Vooral als er veel verandert op de website. Zo kan de website goed worden hersteld als er toch wat gebeurd.

Hackers

Bezoekers op je website is leuk. Maar niet als zij komen met bedoelingen die je liever niet hebt. Websites met financiele, politieke of provocerende inhoud zijn interessant voor hackers. Zij gaan opzoek naar gegevens die je liever niet wil delen of vrij toegankelijk wil hebben. Ze breken als het ware in op de website en nemen de gegevens mee of passen deze zelfs aan. Hackers zijn globaal in de telen in twee groepen. Black hats en White hats. Maar alles is zeker niet zo eenvoudig zwart-wit. Bekende gevallen als Julian Assange en Anonymous noemen zichzelf White hats, zij vechten voor het verbeteren van de wereld. Black hats zijn vooral gericht op het verbeteren en verrijken van zichzelf. Dit kan direct of indirect. Bij de gevolgen van het direct stelen van gegevens kan iedereen zich wel wat voorstellen. Indirect valt er ook een hoop geld te verdienen met zogenaamde zero-days. Een hacker meld dan dat er een lek is gevonden, wanneer de partij betaald verteld de hacker waar het lek zit.

Verdedigen?

Wat betekend dit voor de gemiddelde website eigenaar? Ga goed na waarom een hacker bij de website naar binnen zou willen. Staan de gegevens van klanten in de website? Gaat er een geldstroom door de website? Bedenk dan dat dit voer is voor hackers. Is dit niet het geval, en heeft de website geen provocerende of politieke achterrond dan is de kans nog kleiner. Maar een website kan ook een hulpmiddel zijn voor hackers. Het domein word dan bijvoorbeeld gebruikt om schadelijke e-mails te versturen. Blijf alert en houdt activiteiten rond de website altijd in de gaten. Een website waar een oogje in het zeil wordt gehouden is een veilige website.

AlterSquare- veilige WordPress website - boodschutter

Crawlers, spam en ander gespuis

Een bezoeker is niet altijd een persoon. Zogenaamde crawlers en bots zijn ‘programmaatjes’ die systematisch het internet afspeuren om gegevens te verzamelen of te verspreiden. Zoekmachines gebruiken crawlers om website af te speuren zodat de website kan worden geïndexeerd en worden getoond wanneer men zoekt in de zoekmachine. Deze crawlers laat je dus graag binnen op de website zodat je goed gevonden kan worden. Andere crawlers laten reacties op blogs achter of proberen zelfs een account aan te maken. Hen houden we liever buiten. Een goed beleid voor je htacces en robots.txt doet wonderen. Vraag aan de webbouwer om een veilige wordpress neer te zetten met botsbeheer.

Spam zijn ongewilde berichten die worden verzonden of achtergelaten (in de reactie sectie onder een blog) door personen of bots. De berichten bevatten vaak links, of informatie die ten goede komt aan de verzender en niet aan de ontvanger. Met een Captcha (vooral de nieuwste google reCaptcha) vang je de eerste problemen op. Zelf adviseer ik ook de reactie sectie van een blog te sluiten na een aantal weken of maanden. Tenzij de blog zeer veel wordt bezocht en de discussie actief is kan dit een hoop spam schelen.

AlterSquare- veilige WordPress website - boodschutter

Samen een veilige wordpress neerzetten

Begint het al te duizelen? En zie je een hoop beren op de weg?
AlterSquare helpt bij het beter beschermen van de website door optimalisatie tegen bots en crawlers. Maak samen mat mij een een plan voor een veilige wordpress. Ook voor vermindering in de hoeveelheid spam kunnen samen veel oplossingen worden bedacht.
Vraag het aan Altersquare >