WordPress beveiligen

Drie weken geleden kreeg ik van mensen uit mijn omgeving te horen dat hun websites waren geïnfecteerd, gehackt of op andere wijze niet meer optimaal werkten. WordPress beveiligen kwam als onderwerp opnieuw ter sprake. Eerder schreef ik daarover in het kader van groei. De groeiende hoeveelheid WordPress sites maakt de sites een interessant doelwit voor cybercriminelen en puberale computeraars.

WordPress beveiligen

malwareIn dat bericht staan enkele basale tips waarmee al veel leed kan worden voorkomen. Niet omdat ze veiligheid garanderen. Maar omdat ze degenen die ze toepast een voorsprong geven op de vele websites waar die basale ingrepen niet zijn uitgevoerd.

Aanleiding van dat bericht was overigens de eerste en enige keer dat deze site besmet was. En dat werd toen ook nog veroorzaakt door het tijdelijk instellen van een standaard thema van WordPress.

Door de berichten van de mensen in mijn omgeving heb ik mijn eigen sites weer eens onder de loep genomen. Ter aanvulling op het eerdere bericht, nam ik de maatregelen die ik hieronder beschrijf. Daarmee wordt de voorsprong op andere sites nog groter. De kans dat ik slachtoffer wordt van de, vaak geautomatiseerde, aanvallen wordt daarmee nihil. Maar zoals de ouwe Lips, de slotenmaker, me ooit zei ‘garanties kan ik natuurlijk niet geven. We kunnen de inbrekers hooguit voor blijven’.

Basale tips

Laat ik eerst de basale tips geven:

  • zorg dat je altijd de laatste versie van een thema, plugin en WP gebruikt
  • maak regelmatig een backup voor als het toch eens fout gaat
  • verwijder thema’s en plugins die je niet gebruikt

Bij de beveiliging van mijn eigen sites heb ik vooral naar de verschillende mogelijkheden gekeken. Bij mijn keuzes heb ik niet alleen functionaliteiten beoordeeld, maar ook gemak en dergelijke. Met andere woorden, als een plugin veel kan, maar bewerkelijk is in onderhoud dan koos ik liever voor een andere plugin; die de functies heeft die ik minimaal nodig heb en eenvoudig is in gebruik. We leven tenslotte niet om onze dagen te vullen met onderhoud van een site.

Geen paniek

Ik ga er vanuit dat je pas begint met verdergaand beveiligen als je bent aangevallen en je virusprogramma een malware waarschuwing geeft. Hé, je leest ook geen handleidingen toch. Leer mij de mens kennen.

Dus stap 1 is Geen Paniek en lees mijn eerdere bericht over de stappen die je kunt nemen als je website al is besmet.

Heb je je website schoongemaakt na besmetting. Of ben je die uitzondering op de regel, wacht je niet op besmetting en wil je jouw nog schone site verdergaand beveiligen, dan is stap 2 Installeer Akismet.

Akismet

Maak een lange neus tegen cybercriminelen en puberale computeraars

Maak een lange neus naar cybercriminelen en puberale computeraars

Akismet is SPAM-protectie. De plugin wordt standaard meegeleverd met WordPress. Net zo standaard verwijderde ik het altijd… maar het blijkt handig. Op sites waarop ik het niet installeerde kreeg ik continue reacties van bezoekers uit allerlei landen. Onzin reacties.

Het is heel goed mogelijk dat er ergens mensen om welke reden dan ook reacties schrijven. Reacties met links erin waarvan ze hopen dat er op wordt geklikt. Echte mensen dus, die in staat zijn de CAPTCHA in te vullen.

Na het activeren van Akismet heb ik geen onzin reactie meer gehad.

Admin veranderen

Admin is de standaard gebruikersnaam van WordPress. Als deze blijft bestaan is het een klein kunstje voor mensen die kwaad willen en een robot, een geautomatiseerd programmaatje, gebruiken. De gebruikersnaam kennen ze a (admin dus). Ze hoeven alleen nog verschillende  wachtwoorden uit te proberen om je site binnen te komen met deze ‘Brute Force Attack’.

Je kunt de admin op verschillende manieren veranderen. Bij het installeren van WP kun je direct een andere naam gebruiken. Maar als je dat niet hebt gedaan is de methode:

  1. Maak een nieuwe gebruiker aan en geef deze ook volledig beheer. LET OP, geef een andere schermnaam (de auteursnaam) op dan de gebruikers-/inlognaam (bijv. gebruikersnaam: vaasxadmin en de auteursnaam: René)
  2. Log uit en log weer in onder de nieuwe gebruikersnaam
  3. Verwijder de gebruiker ‘admin’. WP vraagt wat het met de berichten van Admin moet doen. Kies voor alle berichten en links naar de nieuwe gebruiker.

Een alternatief is het installeren van de plugin ‘admin-renamer-extended’. Deze kun je na de actie natuurlijk direct weer verwijderen.

Wachtwoord kiezen

Er zijn allerlei programmaatjes die helpen met het genereren van wachtwoorden en zijn er allerlei tips. Maar evenals bij de gekozen gebruikersnaam is het verstandig iets te kiezen dat jij makkelijk kunt onthouden en dat niet allerlei onhandige toetsaanslagen vergt.

Tenminste dat vind ik. Functionaliteit is voor mij net zo belangrijk als gebruiksgemak.

Er zijn mensen die het gebruik van wachtwoord database programma’s aanbevelen om je wachtwoorden te beheren. Dat kan wellicht handig zijn. Want het is verstandig verschillende wachtwoorden te gebruiken voor verschillende sites. Niet alleen voor je eigen sites, maar ook voor het inloggen op externe sites.

Ik heb een eigen systeem om mijn wachtwoorden te onthouden. Daar kan ik uit veiligheidsoverweging niets over zeggen, haha. Als troost hier een leuk, kort filmpje over wachtwoordprogrammaonthoudmateriaal.

Automatische updater

Niet echt een beveiligingsprogramma, maar wel handig. Plugins en thema’s worden regelmatig vernieuwd. Dan worden functies toegevoegd, beveiligingen aangebracht en dergelijke. Updaten is, zoals bij de basale tips al aangegeven, verstandig. Met een automatische updater hoef je niet per se in te loggen om te kijken of er nieuwe versies van geïnstalleerde plugins zijn.

Met bovenstaande maatregelen heb je WordPress volgens de makers voor meer dan 99% beveiligd. Dit is voor een groot deel gebaseerd op het feit dat veel WordPress-gebruikers hun site niet beveiligen. Vandaar ook mijn berichttitel ‘ING en het land der blinden’, in dat land is immers éénoog koning.

Scannen van je site

Er zijn meerdere plugins waarmee je jouw site kunt scannen. Uiteindelijk zijn er twee het vermelden waard, vind ik: Wordfence Security en WP-security scan. Je kunt ze beide installeren of voor één van beide kiezen.

Zelf installeer ik bij het beveiligen van een site eerst WP-security scan om het enkele activiteiten te laten uitvoeren. Daarna verwijder ik de plugin weer. Ik gebruik het dus zoals hierboven de ‘admin renamer’.

Het mag even zijn kunstje uitvoeren. Omdat de plugin dat nu eenmaal makkelijker doet dan ik het handmatig doe. Daarna gaat het er weer af.

WordFence

WordFence is een uitgebreid programma. Het houdt diverse zaken in de gaten, zoals ongeoorloofd inloggen en veranderingen in basisbestanden. Het let ook op schijfruimte en andere zaken. De talrijke mogelijkheden lijken verwarrend, maar dat valt reuze mee. Je kunt ook instellen welke waarschuwingen je wilt ontvangen per email. Daardoor hoef je niet eerst in te loggen om te zien dat iemand probeert in te breken.

Ik raad aan vrijwel alle opties van WordFence aan te zetten en daarna naar eigen voorkeur de opties en de waarschuwingen per email terug te brengen. Ik had bijvoorbeeld ‘immediately lock out invalid usernames’ aangevinkt.

Het gebeurt echter in mijn ongeduld te vaak dat ik zelf typefouten maak bij het inloggen. Ik kon mijn eigen site pas weer op na het beantwoorden en bevestigen van emails. Dat vinkje heb ik dus weer verwijderd. Ik krijg wel een waarschuwing als iemand probeert in te loggen met een onjuiste/onbekende gebruikersnaam. Dat vind ik genoeg.

Beide programma’s, WordFence en WP-security, hebben enkele opties die alleen beschikbaar zijn wanneer je een gering bedrag betaalt.

WP-Cleanfix

In het kader van ‘wat er niet is kan ook geen schade opleveren’ noem ik ook WP-Cleanfix als onderdeel van beveiliging. Zoals ik hierboven schrijf dat je plugins die je niet gebruikt het best kunt verwijderen, zo geldt dat ook voor de spam reacties, revisie-berichten en talrijke andere overbodigheid op je site en in je database.

Met Cleanfix houdt je de boel schoon. Denk aan de uitdrukking ‘gelegenheid maakt de dief’; wellicht moet je de cybercrimineel ook zo min mogelijk gelegenheid geven je overvolle ‘vervuilde’ database als een doel of ingang te gebruiken.

Succes

In de lijn van wat de ‘oude’ Lips in 1982 tegen me zei herhaal ik ‘bovenstaande middelen zijn geen garantie’. Maar als we alert blijven en niet weggaan zonder ‘ramen en deuren te sluiten’ behouden we een voorsprong. Volgens WordPress een voorsprong van ruim 99% op andere WordPress gebruikers.

Update nov. 2017: bovenstaand bericht is uit 2013. Hoewel er nog veel bruikbare informatie in staat, is er ook wel wat veranderd rondom WordPress. Zo genereert het programma zelf een wachtwoord, dat je vanzelfsprekend kun negeren en vervangen door een eigen wachtwoord. Ook kun je het programma nu instellen op het automatisch updaten. Je hebt dan altijd de nieuwste versie van WordPress.

Print deze pagina
Bovenstaand bericht is geschreven op 29 april 2013 door in de categorie 2013, Algemeen

Vorige en volgende berichten

« Ouder: Nieuwer: »

Een willekeurig bericht

Ik schrijf op deze site over allerlei onderwerpen. Soms is het heel persoonlijk, soms vooral informatief of beschouwend. Hieronder een willekeurig bericht uit ruim 2000 berichten.

Comments are closed.