10 weinig bekende, supereffectieve tips om uw WordPress-blog te beveiligen
Een blog gehackt krijgen en jaren na jaar blogwerk van de ene dag op de andere verliezen, is een trieste realiteit die mensen feitelijk hebben doorgemaakt. Onderzoek toont zelfs aan dat 37.000 websites elke dag worden gehackt en dat WordPress ongeveer 25,4% van alle websites voedt, dus je kunt er zeker van zijn dat een groot aantal WordPress-blogs elke dag worden gehackt.
WordPress-beveiliging is een heel ander spel; als je eenmaal een WordPress-blog hebt, zijn tips als een moeilijk te raden gebruikersnaam en een wachtwoord dat zo hard is als rock niet langer voldoende. EEN single buggy-thema, de verkeerde plug-in of een verkeerd beveiligd bestand kan ertoe leiden dat je blog 's nachts wordt gehackt.
Of je nu onervaren bent met WordPress, of je hebt het platform sinds zijn bestaan gebruikt, dit artikel heeft 10 praktische en avondmaal effectieve manieren om uw WordPress-blog te beveiligen die iedereen kan implementeren. Je zult de meeste van deze tips niet vinden in populaire 'hoe je je blog kunt beveiligen', maar ze kunnen je blog heel goed redden op een dag!
1. Schakel de WordPress Theme & Plugin Editor uit
WordPress heeft een handige functie die site-eigenaren meer flexibiliteit biedt door hen in staat te stellen hun thema's en plug-ins rechtstreeks vanuit het WordPress-dashboard aan te passen en te bewerken, maar deze functie heeft de meeste blogs ongedaan gemaakt.
Met deze functie, a een kleine fout kan uw site doen crashen en u uitsluiten van uw eigen website. Hackers kunnen gemakkelijk schadelijke code in uw thema invoegen om ze toegang tot uw site te geven, of zelfs uw site volledig overnemen, door controle te krijgen over een account met voldoende rechten om het thema en de plug-inseditor te gebruiken.
Je kunt jezelf beschermen door de plug-in en de thema-editor uit te schakelen, het onmogelijk maken om uw thema's en plug-ins zonder FTP-toegang aan te passen.
Doe dit door de volgende code toe te voegen aan uw wp-config.php-bestand:
define ('DISALLOW_FILE_EDIT', true);
2. Schakel authenticatie met twee factoren in
Twee-factor authenticatie is hard op weg om een van de meest betrouwbare manieren te worden om uw online accounts te beschermen, en de meeste betrouwbare websites zullen erop aandringen dat hun gebruikers het inschakelen.
Hoewel WordPress niet noodzakelijkerwijs is uitgerust met tweefactorauthenticatie, kunt u twee-factorenauthenticatie inschakelen op uw blog door de volgende plug-ins te installeren:
- Google Authenticator
- Authy
- Sleutel
- Rublon
3. Beperk logins op basis van het aantal mislukte pogingen
Hackers proberen op veel manieren toegang te krijgen tot je blog en een van de meest gebruikte technieken is een bruteforce-aanval: een hacker probeert een combinatie van gebruikersnamen en wachtwoorden, steeds opnieuw, totdat hij / zij in staat is om succesvol toegang te krijgen jouw blog.
Standaard is WordPress niet beschermd tegen deze aanval. Door plug-ins te installeren die aanmeldingen beperken na een bepaald aantal mislukte pogingen van een bepaald IP-adres, kunt u het voor hackers veel moeilijker maken om toegang te krijgen tot uw blog.
De Jetpack Protect Module-plug-in kan u ook beschermen tegen bruut aanvallen.
4. Scan uw blog regelmatig
Themabestanden, plug-ins, koppelingen en andere schijnbaar ongevaarlijke elementen kunnen worden gebruikt om toegang te krijgen tot uw blog. Wacht niet tot uw website volledig is geïnfecteerd voordat u maatregelen neemt. Installeer in plaats daarvan beveiligingsscanplug-ins om uw website regelmatig te scannen en u op de hoogte te stellen als uw bestanden veranderen.
Een goed voorbeeld van een beveiligingsscan-plug-in is Wordfence. Naast dat je de optie hebt om je WordPress-blog handmatig / automatisch te scannen, wordt je ook meteen gewaarschuwd wanneer verdachte activiteit op je blog wordt uitgevoerd.
Het stuurt ook informatie over mogelijk kwaadaardige opmerkingen en het vergelijkt uw thema- en plug-inbestanden met de WordPress-repository naar laat het je weten als je versie van een plug-in of thema is gewijzigd en kan mogelijk dienen als achterdeur voor hackers op uw site.
Andere beveiligingsinvoegtoepassingen waarmee u uw blog kunt scannen op malware en exploits, zijn:
- Sucuri beveiligingsscanner
- Acunetix WP-beveiliging
- iThemes-beveiliging (voorheen bekend als "Betere WP-beveiliging")
5. Verander je host
Hoewel dit klinkt als simplistisch advies, heeft het eigenlijk veel gewicht. Uit onderzoek blijkt dat 41% van de gehackte WordPress-websites dat waren gehackt door beveiligingsproblemen op hun hostingplatform. Dit is veel meer dan uit andere bronnen, waaronder het hebben van een zwak wachtwoord.
Uw gastheer kan een belangrijke rol spelen bij het al dan niet gehackt zijn; zorg ervoor dat je alleen ga voor betrouwbare webhosts die de tand des tijds hebben doorstaan en dat voldoen aan de beste praktijken in de branche.
6. Verberg uw WordPress versienummer
WordPress geeft standaard uw versienummer van WordPress weer; dit maakt het gemakkelijk voor WordPress om bij te houden hoeveel WordPress-blogs wereldwijd actief zijn. Dit kan echter ook een grote bron van problemen zijn; hackers en bots kunnen scan het web op blogs gebruik makend van een versienummer van WordPress met een bekend beveiligingslek, om je een gemakkelijk doelwit te maken.
Je kunt dit probleem eenvoudig oplossen met uw versienummer van WordPress verbergen. Om uw versienummer van WordPress te verbergen, voegt u simpelweg de volgende code toe aan uw functions.php-bestand:
add_filter ('the_generator', '__return_null');
7. Schakel PHP-foutrapporten uit
Wanneer een plug-in of een thema niet goed werkt op uw WordPress-blog, kunnen PHP-foutmeldingen u helpen door een bericht weer te geven dat de oorzaak van de fout aangeeft. Echter, in dit voordeel ligt een nadeel: wanneer een PHP-fout wordt gerapporteerd, is dit bevat het volledige serverpad van de fout, waarbij informatie wordt weergegeven die hackers tegen je kunnen gebruiken.
Je kunt jezelf beschermen door uitschakelen PHP foutrapportage. Voeg eenvoudig de volgende code toe aan uw wp-config.php-bestand:
error_reporting (0); @ini_set ('display_errors', 0);
8. Werk aan uw WordPress-bestandsmachtigingen
Als het erom gaat uw WordPress-site te beveiligen tegen misbruik, is het essentieel om dit te doen zorg ervoor dat je de juiste bestandsrechten hebt. Dit maakt het moeilijk voor een hacker om plug-ins, thema's of bestanden op uw server te manipuleren om uw website over te nemen.
Zorg dat WordPress map machtigingen zijn ingesteld op 755 of 750; het dossier machtigingen zijn ingesteld op 640 of 644; en dat permissie wp-config.php is ingesteld op 600.
9. Zorg voor regelmatige back-ups
Zelfs grote websites met een team van beveiligingsexperts en consultants worden gehackt en terwijl het volgen van best practices uw website sterker kan maken dan 99,9% van de websites, kunnen dingen nog steeds breken.
De beste beveiliging die je hebt tegen WordPress hack-aanvallen is een goede back-up; zorg ervoor dat u regelmatig een back-up maakt van uw site - indien mogelijk dagelijks. Op deze manier, als uw website is gehackt, heeft u uw bestanden op hun plaats en kan dingen onmiddellijk herstellen.
Hier zijn enkele van de beste WordPress back-upplug-ins:
- BackUpWordPress
- Klaar! backup
- VaultPress
- BackupBuddy
10. Beperk de toegang tot uw inlogpagina
Als het erop aan komt, moet je misschien wat drastische actie ondernemen. Een zeer betrouwbare manier om je blog te beschermen tegen hackpogingen is voorbij volledig blokkerende toegang tot uw wp-admin en wp-login.php pagina.
Dit wordt alleen aanbevolen als u gebruik één IP-adres dat niet verandert (je wilt jezelf niet buitengesloten houden van je blog!). U kunt deze optie nog steeds gebruiken als u meer dan één IP-adres gebruikt, maar houd die adressen bij.
Om de toegang tot uw inlogpagina te beperken, voegt u de volgende code toe aan uw .htaccess-bestand:
RewriteEngine op RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! ^ Uw IP-adres 1 $ RewriteCond% REMOTE_ADDR! ^ Uw IP-adres 2 $ RewriteCond% REMOTE_ADDR! ^ Uw IP-adres 3 $ RewriteCond% REMOTE_ADDR! ^ Uw IP-adres 4 $ RewriteCond% REMOTE_ADDR! ^ Uw IP-adres 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Zorg ervoor dat je bewerkt Uw IP-adres 1 door naar Uw IP-adres 5 met de verschillende IP-adressen waartoe u toegang wilt geven; u kunt gewoon een regel toevoegen of verwijderen om toe te staan of te voorkomen dat meer IP's uw site bezoeken.
Conclusie
Natuurlijk moet u basale veiligheidstips niet negeren, zoals het niet gebruiken van een voorspelbare gebruikersnaam, een sterk wachtwoord hebben, regelmatig bijwerken van uw WordPress-installatie, enz. Bovenstaande zijn echter enkele, vaak genegeerde beveiligingstips die uw WordPress blog net iets veiliger.
Opmerking van de uitgever: Deze gast post is geschreven voor Hongkiat.com door John Stevens. John is een WordPress en hosting expert. Hij is de oprichter en CEO van HostingFacts.com, een portal waar hij webhosts beoordeelt en beoordeelt op basis van prestaties.