Loading...

WordPress niet veilig?

Home / BLOG / NIEUWS / WordPress niet veilig?

WordPress is het meest gebruikte CMS ter wereld en daarmee een gewilde prooi voor hackers. Localink bouwt het grootste deel van de websites in WordPress. Regelmatig vragen klanten ons: Is mijn WordPress website nog wel veilig? Ons antwoord: Elk systeem is te kraken. En WordPress is een target omdat 27% van het web erop draait. Maar dat betekent aan de andere kant ook dat er veel belanghebbenden zijn om WordPress veilig te maken. En dát betekent dat er uitstekende plugins op de markt zijn waarmee je de site heel goed kunt dichttimmeren. En trouwens, weet je hoe de meeste systemen gehackt worden? Door slecht gekozen wachtwoorden (password is het meest gebruikte wachtwoord wereldwijd). Zo kom je natuurlijk elk systeem binnen.

Bij Localink beveiligen we onze WordPress sites op verschillende niveaus, o.a.:
1. Gebruikers worden geforceerd een moeilijk wachtwoord in te stellen
2. Wij installeren meerdere krachtige beveiligingsplugins en configureren deze heel ‘strak’.
3. Wij hebben een systeem waarin elke kwetsbaarheid wordt getoond zodra deze is gepubliceerd. Wij krijgen een melding op welke websites een bekend lek is ontdekt en kunnen die daarmee in no-time fixen.
4. Wij testen altijd uitvoerig en duiken echt de code in voordat we een plugin gebruiken. Daarnaast is WordPress heel goed te optimaliseren.

In het Localink zekerheidsplan zitten standaard de volgende 6 veiligheidsmaatregelen:

Maatregel 1. Beveiligingssoftware op CMS-niveau
Standaard installeren wij op iedere WordPress website een tweetal security plug-ins. Naast enkele andere methoden doe we standaard gebruiken om de veiligheid zo goed mogelijk te waarborgen maken wij op dit moment gebruik van Wordfence en Sucuri. Daarmee scannen we je website op malware; trojans, virussen en andere kwetsbaarheden. Wordfence doet permanente checks om een DDOS aanvallen te voorkomen, checkt rootbestanden, thema’s en plugins die verouderd zijn en het scant de DNS op ongeoorloofde aanpassingen. Tevens maakt het een vergelijking van de bestanden in de huidige situatie met de originele situatie. Zijn er wijzigingen, dan zijn deze niet nodig én waarschijnlijk kwaadwillend van karakter.

Ook wordt er na te veel foutieve inlogpogingen vanaf een IP-adres de toegang tot je website automatisch geblokkeerd. Standaard stellen wij dit allemaal al vrij strak in, zodat ongewenste bezoekers direct worden geblokkeerd en uitgesloten van de site.

Wat Sucuri betreft kunnen we naast het opzetten van een ‘strak-ingestelde’ Firewall ook de mappen, welke nodig zijn om een WordPress website draaiend te houden, beveiligen en voorkomen dat de onderliggende bestanden beschreven kunnen worden door derden. Ook wordt het onmogelijk gemaakt om in deze mappen bestanden neer te zetten door kwaadwillende.

Tegelijkertijd worden de gebruikte gebruikersnamen en wachtwoorden constant bijgehouden en is het alleen mogelijk om deze aan te maken door specifieke gebruikers en met standaard vereisten, zodat ze niet te hacken zijn.

Maatregel 2. Updates
Om te beginnen moet je heel goed weten welke plugins en themes je moet gebruiken. Je kunt niet zomaar alles installeren. Wij testen altijd uitvoerig en duiken echt de code in voordat we een plugin gebruiken. Daarnaast is WordPress heel goed te optimaliseren.

Localink zorgt voor continue updates van WordPress en gebruikte plug-ins. WordPress biedt je 2 tot 3 keer per jaar een update aan met heel veel nieuwe functionaliteit. Zo blijf je bij met de ontwikkelingen in de markt. WordPress geeft automatisch aan of je WordPress website of plug-in verouderd is. Door de WordPress installaties bij te werken naar de meest recente versie worden beveiligingslekken gedicht en blijft je website draaien op de nieuwste techniek.

Maatregel 3. Full Service Hosting
Samenwerking met professionele hostingproviders. Alle WordPress websites worden door Localink ondergebracht bij slechts twee hostingproviders. Deze providers garanderen optimale beveiliging van servers, monitoren 24/7 alle activiteit, maken dagelijkse backups en hebben een heel hoog servicelevel en bieden 24/7 support. Niet standaard bij Localink, maar wellicht ter overweging bieden wij de mogelijkheid de website te hosten op een eigen VPS-server, die je niet deelt met andere klanten. In dat geval ondervind je geen hinder van problemen van andere klanten, maar de kosten van hosting zijn wel hoger dan een standaard webhostingpakket.

Maatregel 4 Double Backup policy
Dankzij de samenwerking met slechts enkele professionele Nederlandse hostingproviders (zie maatregel 3) worden er dagelijks backups van je website gemaakt. In geval van een crash of fatale cyberaanval gaat er dus nooit meer informatie verloren dan van maximaal een dag. Daar bovenop maken wij bij Localink ook lokaal eenmaal per week een backup van je website. Voor het uitzonderlijke geval dat het datacenter door een grote ramp getroffen wordt.

Maatregel 5. Google Webmaster Tools
Als vijfde maatregel melden wij jouw website aan bij Google Webmaster Tools. Daarmee laten we Google als het ware ook meekijken en krijgen we direct meldingen wanneer je website mogelijk is gehackt of geïnfecteerd met bijvoorbeeld malware.

Zoals je ziet, doen we er bij Localink alles aan om de risico’s zo klein mogelijk te maken. Omdat we veel contacten hebben met collega’s en andere specialisten in ons vakgebied, blijven we op de hoogte van de laatste ontwikkelingen op gebied van dreiging en bescherming. Toch kun je ook zelf ook nog iets doen om de veiligheid van je WordPress website te vergroten. We geven je twee bekende maar nog steeds hele belangrijke tips.

Maatregel 6. SSL Certificaten
Steeds meer domeinen bij Localink worden voorzien van een SSL certificaat. In het kort zorgt een SSL-certificaat ervoor dat de gegevensuitwisseling tussen de bezoeker en uw website via een versleutelde verbinding verloopt. Standaard is een verbinding niet beveiligd en kan informatie dus onderschept worden. Door het SSL-certificaat geeft u aan dat uw website betrouwbaar is en dat u de privacy van uw bezoekers respecteert. Voor de bezoeker is uw veilige website te herkennen aan een slotje voor de url in de adresbalk van de browser. Door hierop te klikken kan deze dan ook uw geverifieerde bedrijfsinformatie zien.

Wat kun je zelf doen aan de veiligheid van uw online zichtbaarheid?

Tip 1. Unieke Gebruikersnaam
Gebruik geen standaard gebruikersnamen. Wanneer je een nieuwe WordPress installatie uitvoert, heb je de mogelijkheid om een andere gebruikersnaam te kiezen dan ‘Admin’. Wanneer je hier een eigen gebruikersnaam kiest, verklein je de kans op een hack. Wanneer je al een WordPress website hebt kun je het beste je gebruikersnaam wijzigen.

Tip 2. Sterke wachtwoorden
Je kunt jouw inloggegevens versterken door naast een andere gebruikersnaam ook een nieuw en sterk wachtwoord aan te maken. Een sterk wachtwoord bestaat uit minimaal acht tekens waar ook een cijfer en een speciaal teken in zit.

WordPress niet veilig? Dat ligt voor een belangrijk deel aan de ontwikkelaar en aan de gebruiker. Bij Localink doen we er alles aan om veilige WordPress websites te ontwikkelen.