1. Gebruik geen tijdelijke of eenvoudige Passwords
Het grootste gevaar met uw WordPress website is de inlogpagina.
Aanvallers hebben tegenwoordig de beschikking over programma’s en robots die per seconde duizenden passwords en login namen tegelijk proberen op uw website. Deze aanvallen komen vaak van hele legers van samenwerkende zombie computers (botnets). Gebruikt u een simpel password, dan is het een kwestie van seconden voor ze binnen zijn. Ook al worden beveiligings plugins gebruikt die dit tegen proberen te gaan.
Wij adviseren het gebruik van WP Fail2Ban. Deze module werkt samen met onze systemen en wij raden u met klem aan om deze plugin te installeren. Gewoon installeren en aktiveren. Verder hoeft u niets te doen.
Als u een password aan maakt, gebruik dan altijd minstens 10 tekens, waaronder een combinatie van cijfers, hoofdletters en kleine letters en speciale tekens als: #@$%&*, etc.
2. Update uw plugins en themes regelmatig
Het WordPress Security Team werkt hard om WP veilig te houden. Themes en Plugins worden dus regelmatig verbeterd of veiligheidsproblemen worden opgelost.
Maar al dat werk is voor niets als u de plugins en themes niet updated. WordPress heeft het u heel gemakkelijk gemaakt en updaten is vaak niet meer dan een “druk op een knop”.
3. Verwijder plugins en themes die u niet gebruikt
Een theme of plugin die u niet gebruikt, kunt u het beste verwijderen. Zo kost hij u geen dure opslagruimte of servergeheugen. Ook bent u er dan niet meer verantwoordelijk voor als er toch iets mis mocht gaan met zo’n theme of plugin.
4. Gebruik uw Beheerder- of Administrator-account NIET om zaken te publiceren
De meeste WordPress beheerders realiseren zich niet dat ze met het publiceren van een artikel hun gebruikersnaam bekend maken. De meesten doen dit als Admin en kwaadwillenden weten dit. Ze hoeven dan immers al geen admin-username meer te raden:
Maak daarom een speciaal Admin-account aan met een moeilijk te raden username, bijvoorbeeld “ikke4822”
5. Geef nooit uw Beheerder- of Administrator-account aan anderen
Het Administrator Account moet u altijd privé houden. U kunt anderen wel Administrator rechten geven, maar doe dat nooit zomaar.
U zou het kunnen geven aan een SEO specialist, een IT specialist, etcetera.
Maak voor dat gebruik altijd een nieuwe user aan en verwijder deze als de persoon klaar is met zijn werk.
6. BACKUPS
Installeer een plugin als Backup Buddy en stel een “remote backup” in.
Doe nu echt een Remote Backup, want in het uitzonderlijke geval als een complete server gehackt wordt, dan heeft u nog ergens uw eigen backup.
7. Plugin en Themes bron van herkomst
Waar download u uw themes en plugins? Denkt u daar wel over na? De WordPress repo is prima. Themeforest.net is ook prima.
Gebruikt u wel eens zgn “nulled plugins” of “nulled themes”? NIET DOEN. In deze themes en plugins zitten namelijk ALTIJD backdoors ingebouwd die ervoor zorgen dat de hacker in uw website binnen kan komen als Administrator.
Koopt u ergens een plugin of theme van iemand? Verifiëer dan altijd of het helemaal legitiem is.
8. Hardening WordPress
WordPress heeft een artikel gewijd aan het beter beveiligen van WordPress. U zou dit moeten gaan lezen.
9. Beveiligings plugins
Bent u echt serieus bezig met de beveiliging van uw website? U wilt een tip van ons over welke plugin u moet gebruiken? Er zijn er zoveel. Sommige simpel. Sommige moeilijk. Sommige nutteloos en andere weer zwaar overdone.
Tedoc heeft op server-nivo al een aantal veiligheidslagen ingebouwd voor uw WordPress-hosting. Overleg daarom eerst met ons, alvorens u besluit om allerlei plugins te installeren en uit te proberen. Wij kunnen u goed adviseren welke plugin te gebruiken en welke niet conflicteerd met ons IDS.
NOGMAALS: Installeer sowieso de plugin WP Fail2ban. Het is gratis en al onze servers zijn reeds hiervoor geconfigureerd.
10. FTP login-gegevens
Het allergrootste veiligheidsgat schuilt tegenwoordig in malware die FTP gegevens van uw PC of werkstation steelt.
Kortom: uw website kan nog zo goed beveiligd zijn, maar als uw PC of netwerk is besmet, dan heeft u een groot probleem.
Lees eens het volgende artikel Watch out for malware that may steal your FTP credentials.