Firewall Blokkeer Slechte Query’s (BBQ)
BBQ is een supersnelle firewall die WordPress automatisch beschermt tegen pogingen om kwaadaardige code uit te voeren via URL-aanroepen. De plugin is eenvoudig te installeren en vereist geen verdere instellingen in de basisinstallatie. Trouwens, het is ook GDPR-compliant.
WordPress plugins en thema’s: Kwaliteit voorop
Plug-ins en WordPress-thema’s van derden hebben vaak beveiligingsproblemen als ze niet up-to-date zijn. Dit zet natuurlijk de deur open voor hackers. In principe mogen alleen die plug-ins worden geïnstalleerd die nuttig en absoluut noodzakelijk zijn. Hoe meer plug-ins in de WordPress-installatie zijn geïntegreerd, hoe groter het risico dat er compatibiliteitsproblemen optreden en dus systeemstoringen onvermijdelijk zijn.
Alleen plug-ins die in de officiële WordPress-directory staan, mogen ook worden gebruikt. U kunt er dus relatief zeker van zijn dat de geregistreerde plug-in-ontwikkelaars foutloze plug-ins leveren.
Als het gaat om WordPress-thema’s, is het ook belangrijk om ervoor te zorgen dat ze worden vermeld in de officiële WordPress Theme Directory: https://wordpress.org/themes/ . Dit geldt met name voor gratis thema’s.
Met betaalde thema’s en plugins (bijv. op Themeforest etc.) kun je er vrij zeker van zijn dat je kwaliteitsproducten voor je geld krijgt. In de meeste gevallen bieden de ontwikkelaars ook ondersteuning.
Up-to-dateness van de WordPress software
Voor een veilige WordPress website is de up-to-dateheid van de geïnstalleerde WP-software een doorslaggevende factor. De periodes van updates voor de WordPress-software zijn vrij kort. Er worden meerdere updates per jaar aangeboden. Voor de meeste plugins en thema’s zijn deze cycli nog korter ingesteld, waardoor er in de loop van het jaar een groot aantal updates in de WordPress installatie gedaan moet worden.
De updates zijn vooral belangrijk omdat ze meestal ook beveiligingslekken dichten. Vooral voor grote updates moet een volledige back-up van het hele systeem (bestanden en database) worden gemaakt. Dit betekent dat in geval van nood altijd kan worden teruggevallen op de originele gegevens en de oorspronkelijke installatie kan worden hersteld.
In het WordPress-dashboard worden updates altijd weergegeven met een melding. Zo weet je direct welke plugin toe is aan een update.
Regelmatige back-ups
Als er met kortere tussenpozen een back-up van uw website wordt gemaakt, is dit een goede bescherming tegen aanvallen van hackers. Op deze manier kan de website worden hersteld na infectie of vernietiging door een aanval in geval van nood. Voor websites die voortdurend worden bijgewerkt, moet dagelijks een back-up worden gemaakt. Als de website slechts af en toe wordt bijgewerkt met nieuwe inhoud, dan zijn wekelijkse of maandelijkse back-ups ook voldoende.
Handmatige back-up
Back-ups kunnen handmatig worden uitgevoerd. De gegevens kunnen via de FTP-client (bijv. FileZilla) van de webserver naar de lokale computer worden gedownload. De database wordt via PHPMyAdmin in het klantaccount van de provider geback-upt en ook op je eigen computer opgeslagen.
Automatische back-up via plug-in
Met een geschikte back-up plugin zoals BackWPup of UpdraftPlus kunnen zowel de gegevens als de database in verschillende formaten worden geback-upt en vervolgens lokaal op uw eigen pc worden opgeslagen. Het is echter ook mogelijk om het downloaden van de back-ups op te slaan in je eigen Dropbox of Google Cloud account.
Een back-up maken van het beheerdersgedeelte
Wat vooral belangrijk is, is dat het admin-gedeelte moet worden beschermd tegen hackers. Bij WordPress is de inloglink altijd: www.ihrewebsite.com/wp-admin of …/wp-login.php.
Om de inlog-URL te hernoemen, kunt u de plug-in “Rename wp-login.php” gebruiken. Hiermee wordt de inlogpagina volledig afgesloten.
Er is nog een plugin voor tweefactorauthenticatie: “Google Authenticator”. Deze beveiligt het inloggebied zodanig dat naast de normale toegangsgegevens nog een andere code in het inlogformulier moet worden ingevoerd. Wel heb je een app voor je smartphone nodig, die elke keer een nieuwe inlogcode genereert.
Back-up via .htaccess
Een andere beveiligingsmaatregel is de server-side bescherming van de “wp-login.php”. Hier moet je een .htaccess en .htpasswd bestand aanmaken, mits je host op een Apache webserver.
Beveiligingsplug-ins
Helaas is het gebruik van de meeste beveiligingsplug-ins niet langer in overeenstemming met de AVG, omdat ze gebruikersgegevens registreren. Daarom vermelden we deze plug-ins hier niet meer. In individuele gevallen kan echter ook worden gecontroleerd of de conformiteit nog bestaat.
Resultaat
Met de genoemde maatregelen kan je eigen WordPress installatie zeer goed beveiligd worden tegen aanvallen van hackers. Er bestaat echter niet zoiets als 100% zekerheid. Mocht je eigen website echt gehackt worden, dan heb je altijd de actuele back-up van je website bij de hand en kun je zo de website weer online zetten.
