wordpress beveiligen

WordPress beveiligen, deel 1

Laatst benoemde ik in een blog het beveiligen van je WordPress blog. Hackers zijn er dol op om WordPressjes te kraken, op welke manier dan ook. Ik ga je in deze serie verschillende plugins aanraden en vertellen hoe je ze moet instellen. De volgende blog zal ik dieper op bepaalde dingen ingaan, maar de stappen in deze blog zijn een goed begin om je WordPress te beveiligen!

1. Wordpress spam blokkeren

Als je een WordPress blog hebt, ben je zeker weten bekend met een hoop onzin comments van spambots. Waarschijnlijk ben je ook al bekend met Akismet. Akismet is een goede gratis plugin om spam tegen te houden. Heb je Akismet nog niet, installeer deze dan zeker! In eerste instantie is Akismet gratis, als je meer features wil is het verstandig om een betaald abonnement te nemen.

Soms komt er echter wel spam door Akismet heen. Dit kunnen pieken zijn, een klein aanvalletje, maar het kan ook langer aanhouden. Dan is het wijs om een extra plugin naast Akismet te installeren. Ik raad je dan WP Spam Shield aan. De basis instellingen in deze plugin zijn vaak al voldoende om je blog te beschermen. Heb je er iets meer verstand van, duik dan wat dieper in de geavanceerde opties.

2. All-in-one Security plugin

Dit is een rete belangrijke plugin. Met mega veel opties trouwens. Ik licht de – naar mijn idee – belangrijkste functies in deze plugin uit. Elke website die ik bouw, beveilig ik met deze plugin. Behalve dat het de ellende tegenhoudt, geeft het je ook inzicht in wat er eigenlijk gebeurt. Hoeveel mensen er binnen proberen te komen, waar ze vandaan komen en waar de zwakke punten zitten in je site.

Installeer de plugin als eerste en zodra je op het dashboard landt, zie je een klein toerentellertje met je security punten. Ik zit precies op de 300 punten, maar ik heb m’n blog dan ook strak beveiligd. Ik heb veel last gehad van brute force attacks – een aanval van bots die binnen proberen te komen via de login pagina. Dit liep echt de spuigaten uit, 1300 attempts per uur soms. En op vakantie was het ook 2 dagen raak. Toen zat ik ‘s ochtends om half 8 al achter m’n laptop om de boel nog harder te beveiligen. Dus ik zit bovenop die beveiliging, snap je. Sommige mensen hebben hierdoor moeite om bij mij een reactie achter te laten. Sorry hiervoor! Maar ik moet wel.

Mijn blog wordt gehost bij het bedrijf waar ik werk, 2makeITwork. Hij staat op een server waar ook veel andere klanten hun websites hosten. Ik kan het risico niet lopen dat mijn blog geïnfecteerd raakt en andere klanten hierdoor hinder ondervinden. Dus veiligheid boven alles 🙂

Oke, terug naar de plugin.

  • Ten eerste: verander je wp-admin login pagina.
    • Dit vind ik een belangrijke. Elke WordPress site heeft wp-admin (sommige mensen gebruiken wp-login.php) maar hoe dan ook: elke hacker weet dit te vinden. Dit vind je onder het kopje ‘Brute Force’ en het is gelijk het eerste tabje: rename login page. Vink het blokje aan en vul eronder je gewenste naam in van de login page. Gebruik iets leuks, iets wat alleen jij weet. Zo is jouw login page alweer moeilijker te vinden!
  • Captcha
    • Op dezelfde pagina vind je het tabje ‘Login Captcha’. Vink deze 3 opties allemaal aan. Ja, captcha’s zijn irritant maar ze zijn wel nodig! En je hoeft geen 5 plaatjes aan te vinken met winkelpuien of te ontkennen dat je een robot bent. Hier hoef je alleen te rekenen. En dat kan iedereen, toch? 🙂
  • Login Lockdown
    • Onder het kopje User Login vind je de login lockdown. Door deze functie kwam ik erachter hoe vaak bots probeerden in te loggen op hetismarg.nl. Vink de volgende vakjes aan:
      • Check this if you want to enable the login lockdown feature and apply the settings below
      • Check this if you want to instantly lockout login attempts with usernames which do not exist on your system
    • Ik ben nogal streng, dus bij deze heb ik dit ingevuld:
      • Set the value for the maximum login retries before IP address is locked out: 1. 1 fout wachtwoord, 1 tikfout in de gebruikersnaam and you’re out. Jep, ik heb mezelf ook wel eens buitengesloten. Shit happens! Gelukkig ken ik trucjes waardoor ik er wel weer in kwam 🙂
      • If the maximum number of failed login attempts for a particular IP address occur within this time period the plugin will lock out that address: 60. 
      •  Set the length of time for which a particular IP address will be prevented from logging in: 380
    • Ik had ook de notify by email optie aanstaan, maar toen ik er 1300 in een uur kreeg was ik er wel klaar mee en heb ik dit uitgevinkt 🙂
  • Filesystem Security
    • Deze functie zorgt ervoor dat hackers je php of txt bestanden niet kunnen bewerken via je WordPress. Vink de vakjes bij PHP File Editing en WP File Access aan.
  • User Accounts
    • Standaard is een gebruikersnaam bij WordPress ‘admin’. Ik hoop dat jij dit niet hebt 🙂 Hackers proberen altijd als eerste binnen te komen met deze gebruikersnaam. Mocht dit wel zo zijn, dan kan je deze veranderen bij User Accounts onder het tabje WP Username.
    • Bij de andere tabjes kan je kijken of je gebruikersnaam gelijk is aan je schermnaam en hoe veilig je wachtwoord is.
  • Misc
    • Onder Miscellaneous kan je nog de opties aanvinken zodat mensen niet meer kunnen rechterklikken – of dat ze niet meer jouw content in frames kunnen plaatsen. Het is aan jou om te kiezen: ik vind niet meer kunnen rechterklikken heel irritant maar het laden van mijn site in een iFrame blokkeer ik hier wel.

De belangrijkste les ever: laat je gebruikersnaam geen ‘admin’ zijn

Nou, dit artikel lijkt me lang genoeg voor het eerste deel van de cursus WordPress beveiligen 😀 Als je nog vragen hebt, stel ze gerust! Volgende keer meer!

Deze tips zijn geen garantie voor een waterdichte blog. Ook kan je mij niet verantwoordelijk houden voor wanneer je toch gehackt wordt.

26 Comments

  1. Had al zo vaak gehoord dat je admin aan moet passen, maar het leek bij de gewone settings dat dat niet mogelijk was. Nu eindelijk een goede uitleg en dat je dat met een plugin moet doen. Ik zit nu op 110 punten, dus ben wel erg benieuwd welke andere settings je hebt aangepast en ook wat dan de trucjes zijn om er weer in te komen als je geblokkeerd bent (proberen via ander IP-adres?). Voordat ik zeker weet wat die trucjes zijn, durf ik hem nog niet zo streng in te stellen. Super bedankt en ik kijk nu al uit naar deel 2!

  2. Oh ik moet hier echt nog wat aan doen.. Heb een goede security hoor, maar dubbelop en deze is heel zwaar! Op de to-do-list dus, thankx voor de tips babe xx

  3. Wat een handig artikel, dank voor het delen. Ik ga me erin verdiepen. Echter toen ik begon met WP had ik geen idee dat ik mijn gebruikersnaam kon veranderen. Het is dus toch admin maar ik kan dit niet veranderen. Weet jij misschien hoe ik dit moet doen?

    1. Zie je het kopje ‘User Accounts’ aan de zijkant in het menu staan? Daar kom je gelijk in de tab ‘WP Username’. Laat je me weten of het lukt?

        1. Hoi Saskia, als je even een berichtje stuurt via het contactformulier dan zal ik daar op antwoorden, dan heb je mijn emailadres en kan je me dan een screenshot sturen? Ik ga je proberen zo goed mogelijk te helpen!

          1. Hoiiii! Ik ga dit weekend zelf me er nog even in verdiepen, niet echt tijd nog voor gehad. Mocht het niet lukken stuur ik je een email, dank! xxx

    1. Oh balen zeg! Wat was er gebeurd? Ik gebruik Wordfence vooral om te kijken ‘waar’ al mijn valse inlogs vandaan komen, en ik laat Wordfence ook gelijk mensen die proberen in te loggen met onjuiste gebruikersnamen blokkeren. En ik krijg er emails van! Dus dat is echt top.

  4. Bedankt voor de goede uitleg Margo! Had eerst een andere security plug-in maar heb nu deze geïnstalleerd zodat ik hem kon instellen volgens jouw tips, haha! Ik zou het heel tof vinden als je ook wilt uitleggen waarvoor alle honderd andere settings zijn, vind dat toch wel interessant om te weten. (:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *