Zodra je eigen website echt online staat, is deze onderdeel van het wereldwijde web. Meestal is het hebben van een eigen website vooral leuk: je krijgt bezoekers, positief commentaar en nieuwe klanten. Maar omdat letterlijk iedereen jouw site kan bezoeken, en helaas niet iedereen van goede wil is, is beveiliging ook belangrijk. Je eigen WordPress website beveiligen is gelukkig vrij eenvoudig.
Tip 1: wees geen ‘admin’ van je eigen WordPress website
Dit is echt de simpelste van de simpele tips. Een andere gebruikersnaam kiezen houdt ontzettend veel hackers tegen. Deze ‘hackers’ zijn vaak geen personen. Het zijn computerprogramma’s die binnen een paar seconden duizenden combinaties van gebruikersnaam en wachtwoord uitproberen op jouw inlogpagina. Natuurlijk zijn de makers van die programma’s ook niet van gisteren, en weten zij net zo goed als jij en ik dat de standaard gebruikersnaam ‘admin’ vaak blijft staan. Dat is dus het eerste wat ze uitproberen!
Je gebruikersnaam en wachtwoord pas je heel eenvoudig aan in je WordPress dashboard. Klik op de knop Users (Gebruikers voor de mensen met een Nederlandstalig dashboard) in de linkerzijbalk. Maak daarna een nieuwe gebruiker aan (Add new) met een mooie naam en een ingewikkeld wachtwoord. Log daarna uit.
Log vervolgens in met je nieuwe account en gooi het oude ‘admin’ account weg. Heb je al pagina’s en berichten gemaakt als ‘admin’? Geen nood! WordPress verwijdert deze niet, maar zal je vragen of je ze wilt overzetten naar je nieuwe account. Druk op de knop, en klaar.
Tip 2: gebruik een ingewikkeld wachtwoord
Stel dat het hackprogramma jouw gebruikersnaam heeft geraden. Of erger nog, dat het jouw gebruikersnaam al kent omdat het is gevonden in een andere database? Dan is een goed wachtwoord je tweede verdedigingslinie.
Ik vind het zelf een verschrikking om al die verschillende wachtwoorden te moeten onthouden. Omdat ik meerdere sites onderhoud voor opdrachtgevers gaat het nooit lukken om ze allemaal uit het hoofd te leren. Gelukkig zijn er een paar trucs om veel wachtwoorden veilig te bewaren.
Als je alleen werkt, in je eigen kantoor, heb je een simpele en veilige manier bij de hand. Schrijf gebruikersnamen en wachtwoorden in een schriftje en berg dat vervolgens goed op wanneer je het niet gebruikt.
Maar als je veel onderweg bent, of je werkt in een kantoor met andere collega’s, dan is een schriftje weer niet de veiligste keus. Zelf gebruik ik een aparte app om al die wachtwoorden te onthouden. Er zijn er verschillende te koop (sommige hebben ook vrij uitgebreide gratis versies) en de meeste zijn goed bruikbaar. Mijn eigen wachtwoorden-app kan ik zowel op de computer als op de telefoon gebruiken, en ik kan hem direct in de browser laten werken. Hij heet Enpass.
Tip 3: gebruik een firewall-plugin
Eén van de fijnste dingen aan WordPress is dat je het kunt uitbreiden met zowat iedere functie die je kunt bedenken. Als iemand er ooit om gevraagd heeft, kun je ervan uitgaan dat het bestaat. Dat is de kracht van open source software en nu zijn we er extra blij mee. Je eigen WordPress website beveiligen gaat prima met behulp van plugins. Gelukkig maar, want dat is technisch zo ingewikkeld dat het zowel leken als de meeste professionals boven de pet gaat.
Een firewall voor je website werkt eigenlijk net zo als die voor je computer. Hij houdt de meeste aanvallen tegen en waarschuwt je wanneer hij verdachte files op je website tegenkomt, of wanneer iemand probeert in te breken. En net als voor je computer, is voor je website de firewall echt onmisbaar!
Je hebt een hoop keuze wat deze plugins betreft. Ze verschillen sterk in zowel prijs als kwaliteit. Waarbij niet gezegd is dat de duurste plugin ook meteen de beste is. Een goede gratis optie, en prima om te kijken wat een firewall voor je site betekent, is WordFence. Wil je toch een extra goede firewall? Dan kun je WordFence upgraden naar de betaalde versie, of je kunt een andere firewall gebruiken zoals bijvoorbeeld Sucuri. Doe vooral even onderzoek voordat je kiest voor een betaalde firewall, want ze zijn niet goedkoop.
Tip 4: geen blog? Dan ook geen reacties!
Een andere sneaky manier waarop hackers je website proberen te slopen, is door stiekem programmaatjes te laten draaien via een reactie op een bericht. Je kunt natuurlijk een plugin installeren om zulke reacties te blokkeren, maar als je überhaupt niet blogt?
Dan kun je het geven van reacties op berichten heel eenvoudig stopzetten. Klik daarvoor op de knop ‘Settings’ in de linkerzijbalk van je dashboard en kies voor ‘Discussion’. In het scherm dat dan verschijnt, haal je het vinkje weg bij ‘Allow people to submit comments on new posts’.
Blog je wel? Dan is de oplossing nog eenvoudiger. Dé plugin voor het tegengaan van reactiespam is Akismet. Die is zo vanzelfsprekend dat WordPress hem zelfs al voor je heeft geïnstalleerd. Je hoeft hem alleen nog maar te activeren op je plugin-pagina.
Tip 5: bewaar backups niet online
Voor het geval dat er iets misgaat, kun je van je eigen WordPress website een backup maken. En ook daar zijn plugins voor. Dat is fijn, want om zelf een backup te maken heb je enige kennis van website techniek nodig. Helaas bewaren de meeste van die plugins de backups die ze maken online. Een hacker kan er dus zo bij.
Mijn eerste advies is dus ook: geen plugin gebruiken, maar zelf doen. Je vindt hier een goede handleiding voor het handmatig maken van backups van je website. De eerste manier die daar wordt beschreven, via je DirectAdmin, lukt bijna altijd.
Gebruik je wel een plugin, kies er dan eentje die de backups ergens anders neerzet. In je Dropbox bijvoorbeeld. Ga ook vooral voor een plugin die het makkelijk maakt om je backup ook weer terug te zetten, mocht er inderdaad iets met je site gebeuren.
Dat was het voor de beveiliging!
Ik hoop dat deze tips je iets verder hebben geholpen met het beveiligen van je eigen WordPress website. Als je echt zorgeloos door je online leven wilt gaan dan kun je je site ook door mij laten onderhouden vanaf €300,- per jaar. Check hier alle dingen waar je dan niet meer zelf aan hoeft te denken!