WordPress beveiligen, hoe kan je dat het beste doen?

- Geschreven op 30 oktober 2013 -

WordPress beveiligen is erg belangrijk geworden, onlangs was er veel commotie over aanvallen specifiek gericht op WordPress websites. Men probeerde door middel van een brute force aanval toegang te krijgen tot de website. Tijdens zo’n brute force aanval probeert de aanvaller het wachtwoord te raden door alle mogelijke wachtwoorden te proberen. Hoe kan je WordPress beveiligen?

Opgelet: Dit artikel over “WordPress beveiligen” is enkel van toepassing op WordPress.org, leer meer over de verschilllende WordPress versies.

WordPress beveiligen basis

Het lijkt zeer logisch maar toch zijn veel mensen er niet van op de hoogte, je website is 100 keer beter beveiligd als je geen standaard gebruikersnaam neemt voor je beheerdersaccount. Hackers proberen je wachtwoord te raden in combinatie met een veel gebruikte gebruikersnaam zoals “admin” of “administrator”. Als je geen standaard gebruikersnaam gebruikt dan moet de hacker niet 1, maar wel 2 dingen raden voor hij toegang krijgt tot je website, dat duurt uiteraard veel, veel langer.

Moest je gebruik maken van een standaard gebruikersnaam dan kan je dit uiteraard gewoon veranderen, binnen WordPress zelf kan je je gebruikersnaam helaas niet aanpassen, als je technisch aangelegd bent dan kan je je gebruikersnaam wel in de databank aanpassen. Als je je databank liever niet wil bewerken dan kan je best een nieuwe gebruiker met beheerderrol aanmaken en de oude beheerder verwijderen, bij het verwijderen vraagt WordPress je wat je met de berichten van die gebruik wil doen, die kan je dan koppelen aan de nieuwe gebruiker.

WordPress inlogpogingen beperken

Als extra beveiliging kan je ook nog een plugin installeren “Limit Login Attempts”, deze plugin zorgt ervoor, je kan het misschien al raden, dat aanvallers slechts een paar pogingen krijgen om aan te melden, nadien moeten ze een bepaalde tijd wachten tot ze weer mogen aanmelden. Hoeveel pogingen je krijgt en hoelang je moet wachten na deze pogingen kan je volledig zelf instellen.

WordPress beveiligen - Inlogpogingen beperken
Zoals je ziet ben ik heel erg streng, zodra je meer dan 4 keer een fout wachtwoord intypt wordt je geblokkeerd voor 9999 minuten, bij een tweede blokkade wordt je geblokkeerd voor 9999 uren. Het lijkt misschien een beetje extreem, maar waarom zou ik niet zo streng zijn? Moest ik ook mijn wachtwoord vergeten en 4 keer fout antwoorden dan kan ik nog steeds de plugin manueel uitschakelen via FTP en dan heb ik gewoon terug toegang. Onderaan zie je ook welke blokkades er momenteel zijn en welke gebruikersnaam er gebruikt is bij de aanmeldpogingen, zoals je ziet is “admin” heel erg populair.

Conclusie

Zoals je ziet is het helemaal niet moeilijk om WordPress te beveiligen, een plugin installeren, je gebruikersnaam aanpassen en de kans dat je account gehackt wordt is veel kleiner geworden. Uiteraard zijn er ook nog een aantal andere zaken die je kan doen om je WordPress website extra te beveiligen, een mooi overzicht hiervan vind je in de WordPress Codex “Hardening WordPress

Blijf op de hoogte