Er zijn een aantal verantwoordelijkheden die je als eigenaar van een website moet overnemen. Dus de belangrijkste vraag is: wat doe je om te voorkomen dat je site wordt gehackt?
Na het toepassen van deze tactieken en het opvolgen van doorlopende beveiligingscontroles ben je goed op weg om jouw WordPress site voorgoed te beveiligen.


Beveilig jouw WordPress site door de inlogpagina te beschermen en brute force-aanvallen te voorkomen.

Iedereen kent de standaard WordPress inlogpagina-URL. De backend van de website is vanaf daar toegankelijk en dat is de reden waarom mensen brute kracht proberen te gebruiken. Voeg gewoon /wp-login.php of / wp-admin / aan het einde van je domeinnaam toe en daar ga je.
Wat ik aanbeveel is om de inlogpagina-URL en zelfs de interactie van de pagina aan te passen. Dat is het eerste wat je website ontoegankelijker voor aanvallers maakt.

Zes tips om eenvoudig je WordPress Website beter te beschermen.

  1. Stel een vergrendelingsfunctie voor websites in en verbied gebruikers

Een vergrendelingsfunctie voor mislukte inlogpogingen kan het enorme probleem van continue brute force-pogingen oplossen. Wanneer er een hackpoging met herhaalde verkeerde wachtwoorden plaatsvindt, wordt de site vergrendeld en word je op de hoogte gebracht van deze ongeautoriseerde activiteit.

Ik kwam erachter dat de iThemes Security-plug-in een van de beste dergelijke plug-ins is en ik gebruik het al geruime tijd. De plug-in heeft in dit opzicht veel te bieden. Samen met meer dan 30 andere geweldige beveiligingsmaatregelen, kun je een bepaald aantal mislukte inlogpogingen opgeven voordat de plug-in het IP-adres van de aanvaller verbiedt.

2. Gebruik authenticatie met twee factoren

Het invoeren van een 2-factor authenticatie (2FA) module op de inlogpagina is een andere goede beveiligingsmaatregel. In dit geval verstrekt de gebruiker inloggegevens voor twee verschillende componenten. De eigenaar van de website beslist wat die twee zijn. Het kan een normaal wachtwoord zijn, gevolgd door een geheime vraag, een geheime code, een reeks tekens of meer populair, de Google Authenticator-app, die een geheime code naar jouw telefoon verzendt. Op deze manier kan alleen de persoon met jouw telefoon (u) inloggen op jouw site.

Ik gebruik liever een geheime code tijdens het gebruik van 2FA op een van mijn websites. De Google Authenticator-invoegtoepassing helpt me daarmee in slechts een paar klikken.

3. Gebruik jouw e-mailadres om in te loggen

U moet standaard jouw gebruikersnaam invoeren om je aan te melden bij WordPress. Het gebruik van een e-mail-ID in plaats van een gebruikersnaam is een veiligere aanpak. De redenen liggen voor de hand. Gebruikersnamen zijn gemakkelijk te voorspellen, terwijl e-mail-ID’s dat niet zijn. Ook wordt elk WordPress-gebruikersaccount gemaakt met een uniek e-mailadres, waardoor het een geldig ID is om in te loggen.

Met verschillende beveiligingsinvoegtoepassingen kun je aanmeldingspagina’s instellen, zodat alle gebruikers hun e-mailadres moeten gebruiken om in te loggen.

4. Hernoem jouw login-URL om jouw WordPress site te beveiligen

Het wijzigen van de inlog-URL is eenvoudig. Standaard is de WordPress-aanmeldingspagina eenvoudig toegankelijk via wp-login.php of wp-admin toegevoegd aan de hoofd-URL van de site.

Wanneer hackers de directe URL van jouw inlogpagina kennen, kunnen ze proberen brute kracht in te werken. Ze proberen in te loggen met hun GWDb (Guess Work Database, dwz een database met geraden gebruikersnamen en wachtwoorden, bijvoorbeeld gebruikersnaam: admin en wachtwoord: p @ ssword … met miljoenen van dergelijke combinaties).

Op dit moment hebben we de aanmeldingspogingen van gebruikers al beperkt en gebruikersnamen voor e-mail-ID’s omgewisseld. Nu kunnen we de login-URL vervangen en 99% van de directe brute force-aanvallen verwijderen.

Deze kleine truc beperkt een niet-geautoriseerde entiteit van toegang tot de inlogpagina. Alleen iemand met de exacte URL kan dit doen. Nogmaals, de iThemes Security-plug-in kan je helpen jouw inlog-URL’s te wijzigen. Zoals zo:

Verander wp-login.php in iets unieks; bijv. my_new_login

Verander / wp-admin / naar iets unieks; bijv. my_new_admin

Verander /wp-login.php?action=register in iets unieks; bijv. my_new_registeration

5. Pas jouw wachtwoorden aan

Speel met jouw wachtwoorden en verander ze regelmatig om jouw WordPress site te beveiligen. Verbeter hun kracht door hoofdletters en kleine letters, cijfers en speciale tekens toe te voegen. Veel mensen kiezen voor lange wachtzinnen omdat deze bijna onmogelijk zijn voor hackers om te voorspellen, maar gemakkelijker te onthouden zijn dan een stel willekeurige cijfers en letters.

LastPass is een van de gemakkelijkste manieren om jouw wachtwoorden te bekijken. Het genereert niet alleen veilige wachtwoorden voor u, maar slaat deze vervolgens op in een invoegtoepassing voor de browser, waardoor je zich geen zorgen hoeft te maken om ze te onthouden

6. Log automatisch inactieve gebruikers uit jouw site

Gebruikers die jouw WordPress-site op hun scherm openen, kunnen een ernstig beveiligingsrisico vormen. Elke voorbijganger kan informatie op jouw website wijzigen, het gebruikersaccount van een persoon wijzigen of zelfs jouw site geheel blokkeren. U kunt dit voorkomen door ervoor te zorgen dat jouw site mensen afmeldt nadat ze een bepaalde periode niet actief zijn geweest.

U kunt dit instellen met behulp van een plug-in zoals BulletProof-beveiliging. Met deze plug-in kun je een aangepaste tijdslimiet instellen voor inactieve gebruikers, waarna ze automatisch worden uitgelogd.

Wil je deze tips direct toepassen? Met onze cPanel Hosting pakketten kun je eenvoudig zelf WordPress installeren.

Gepubliceerd door Ramon Horst

Hosting provider, web developer, internet services. Emmen, Nederland