Zo houd je jouw WordPress site veilig

rand-bottom-standard
25 November 2019 • Jelmer Weken

Je website is jouw thuisbasis op het internet, die wil je natuurlijk goed beschermen tegen hackers, spammers en trollen! Sommige aspecten van cyber-security zijn complexe technische aangelegenheden waar niet iedereen zijn weg in kent. Maar er zijn een aantal zaken waar je zelf op kunt letten.

#1 Een goed wachtwoord!

De zwakste schakel in de beveiliging van iedere website is de mens. Er kan nog zo’n goed slot op je deur zitten, als je de sleutel zomaar laat rondslingeren komen kwaadwillenden gemakkelijk naar binnen.

Waar moet een wachtwoord aan voldoen?

Een goed wachtwoord bestaat in principe uit zoveel mogelijk verschillende soorten tekens in een zo willekeurig mogelijke volgorde. Dat zorgt ervoor dat je wachtwoord niet word geraden door derden of ‘gekraakt’ door een computer die met brute kracht alle denkbare mogelijkheden uitprobeert.

  • Minimaal 8 tekens, maar meer = beter
    • Overweeg om in plaats van een wachtwoord een ‘wachtzin‘ of ‘passphrase’ te gebruiken
  • Gebruik geen makkelijk te raden persoonlijke informatie
  • Gebruik hoofdletters, cijfers en leestekens
  • Gebruik wachtwoorden maar 1 keer

Hoe onthoud ik mijn wachtwoord?

Het is verleidelijk om hetzelfde eenvoudige wachtwoord overal te gebruiken omdat het makkelijk te onthouden is. Maar dat betekent ook dat als er in 1 database wordt ingebroken waar jij geregistreerd bent, jouw gegevens overal op het internet gevaar lopen.

Een veilig supercomplex lang wachtwoord voor je WordPress Login kan moeilijk te onthouden zijn. Zeker als je ook wachtwoorden moet onthouden voor je computer, je mail, social media en ga zo maar door…

  • Schrijf het ergens op!
  • Gebruik een password manager

De makkelijkste manier is om het gewoon ergens op te schrijven. Vroeger werd het vaak met klem afgeraden om je wachtwoord op te schrijven, het zou namelijk fysiek toegankelijk worden voor boeven. In de praktijk blijkt dit echter geen reeël gevaar.

Houd gerust een excel, of tekstbestand bij op een harde schijf zolang die niet rechtstreeks via het internet toegankelijk is. Of nog veiliger: schrijf je wachtwoorden op een stuk papier.

Doe je dit toch liever niet, dan kan je ook een password (of keychain) manager gebruiken. Daarmee kun je wachtwoorden bewaren in een kluis die je met 1 master-password opent. De meeste moderne browsers bieden je de mogelijkheid om wachtwoorden op te slaan. Ook voor desktop zijn er diverse opties om je wachtwoorden te beheren.

Vaak komen uitgebreidere tools ook met de functie om wachtwoorden te genereren. Je maakt dan automatisch een zeer veilig wachtwoord aan wat wordt opgeslagen en dat je dus niet zelf hoeft te onthouden.

#2 Hou je website up to date!

Zorg ervoor dat de software op je server en de code van je website zelf niet verouderd raakt een daarmee kwetsbaar wordt voor aanvallen. Update regelmatig je versie van WordPress en alle plugins die je op je website gebruikt.

Het internet is constant in ontwikkeling. Door de jaren heen zijn visueel websites complexer en aantrekkelijker geworden, maar ook de moterkap zien websites er totaal anders uit dan 10 jaar geleden. Veel zwakke plekken in data veiligheid ontstaan doordat niet overal op het internet deze ontwikkelingen even snel gaan.

Houd je WordPress dashboard dus in de gaten en kom in actie als je de melding krijgt dat er updates beschikbaar zijn!

Zorg ook dat je certificaten up to date blijven. Dit heeft niet direct impact op jouw eigen veiligheid, maar SSL certificaten maken aan de rest van het internet kenbaar dat jij te vertrouwen bent en dat jouw server goed is ingesteld voor encrypted communicatie.

Dit zorgt er ook voor dat Google jouw registreert als betrouwbaar en dit heeft een positieve invloed op je ranking.

#3 Formulieren

Formulieren zijn van nature kwetsbare plekken op een website. Formulieren sturen data naar je server en deze wordt daar verwerkt. Hackers gebruiken formulieren om schadelijke data naar je server te sturen en spammers gebruiken formulieren om je lastig te vallen met reclames en links naar websites die op hun beurt ook weer potentiële veiligheidsrisico’s zijn.

Gebruik een ‘honeypot’

Een honeypot veld is een veld dat verborgen is door middel van styling. Echte gebruikers zien dit veld niet en zullen het dus ook niet invullen. Spambots die door de code van je website crawlen zien dit veld wel en vullen dus ook vaak iets in. Doordat dit veld is ingevuld weet je server dat het om spam gaat en filtert hij deze entry eruit.

Overweeg een reCaptcha

Bots worden steeds slimmer, en helaas zijn er steeds meer bots die zich niet voor de gek laten houden door de genoemde ‘honeypot’ methode. Gelukkig zijn er nog alternatieven!

Vroeger bestond er ‘Captcha’ waarbij je letters en cijfers over moest nemen van een ‘distorted/verdraaide’ afbeelding. Het idee was dat bots deze tekst niet konden lezen maar mensen wel. Helaas bleek in de praktijk dat ook mensen nogal moeite hadden met deze afbeeldingen.

Daarom heeft Google ‘reCaptcha’ ontwikkeld waarbij je een foto opdracht moet voltooien. Bijvoorbeeld: ‘Selecteer alle afbeeldingen met een auto’. Deze werkt al iets gebruiksvriendelijker, maar het is nog steeds een flinke inbreuk op je user experience.

Recentelijk heeft Google de nieuwe reCaptcha v3 gelanceerd waarbij dit niet het geval is. Deze versie van Captcha maakt gebruik van machine learning om het browse gedrag van gebruikers te analyseren en op basis daarvan onderscheid te maken tussen bots en echte gebruikers.

Wees voorzichtig met upload velden

Velden waarbij de gebruiker zelf bestanden kan uploaden naar je server zijn net iets risicovoller dan andere velden. Een hacker kan proberen om via zo’n veld een schadelijk bestand of stuk code te uploaden.

Gelukkig is het vaak mogelijk om in te stellen dat je voor het uploaden de bestandstypen controleert. Verwacht je een afbeelding? Dan kun je checken of het geselecteerde bestand eindigt op .jpg, jpeg, .png of .gif. Doet het dat niet, dat wijs je de upload af.

Pas hier in het bijzonder op met vector-bestanden. Dit zijn afbeeldingen die beschreven zijn als code. Dit zijn doorgaans legitieme bestanden en als je de herkomst ervan kent en vertrouwd is er ook niks aan de hand, maar ze kunnen schadelijk zijn.

blog-image

Jelmer Weken

Developer
Na mijn eerste studiejaar Art & Technology heb ik een zomerstage gelopen bij TeamCreative. Na die stage ben ik naast mijn studie parttime blijven werken en sinds ik afgestudeerd ben werk ik hier full-time.

Ik hou me vooral bezig met het bouwen van websites en webshops

Stel je vraag via WhatsApp!
Stuur ons een bericht.

Kunnen we jou ergens mee helpen?
Klik hier!