Vragen over design, techniek of het ondernemen als WordPress webdesigner?

Plan een online koffiedate met mij in

Yes, maak een afspraak!

Zo voorkom je dat de websites van jouw klanten worden gehackt

WordPress is nog steeds een erg populair doelwit voor hackers. In de praktijk zie je nog regelmatig dat complete WordPress websites worden weggevaagd of dat bepaalde content wordt vervangen door verdachte linkjes. Heel vervelend! Daarom is het erg belangrijk dat je voorkomt dat de websites van jouw klanten worden gehackt. Hieronder deel ik 7 dingen die bijdragen ter voorkoming van hackpogingen.


01. Verstop de WordPress inlogpagina

Vrijwel elke WordPress website is toegankelijk via de websitenaam.nl/wp-admin pagina. Dat is dan ook de eerste plek waar hackers proberen toegang te verkrijgen. Het kan dus heel goed helpen om deze pagina te verstoppen, oftewel toegankelijk maken via een andere link. Met de plugin WPS Hide Login kun je dit instellen en daarbij kun je ook zelf kiezen wat de nieuwe link moet gaan worden.

  • Installeer en activeer de plugin.
  • Ga naar de Instellingen en scroll naar beneden.
  • Kies zelf een URL en een omleidings URL.
  • Sla de wijzigingen op.

wordpress website hackpoging voorkomen

02. Limiteer de WordPress inlogpogingen

Het kan gebeuren dat hackers alsnog de inlog pagina weten te vinden. Het is daarom aan te raden om een plugin te installeren waarmee je het aantal inlogpogingen kunt beperken. De hacker wordt dan na een x aantal pogingen geblokkeerd en (tijdelijk) de toegang ontzegt. Met deze functie houd je behoorlijk wat hackers buiten de deur! Zelf gebruik ik de Limit Login Attempts Reloaded plugin hiervoor. Handige bijkomstigheid is dat je een notificatie per mail ontvangt én dat je bepaalde ip-adressen vervolgens kunt blokkeren.

  • Installeer en activeer de plugin.
  • Ga in het menu naar Limit Login Attempts › Instellingen.
  • Vul bij ‘Stuur bericht bij uitsluiting’ jouw mailadres in én na hoeveel uitsluitingen (mislukte inlogpogingen) je een notificatie per mail wil ontvangen.
  • Scroll naar onder en vul in hoeveel inlogpogingen iemand mag doen voordat ze uitgesloten worden. Vul ook in na hoeveel tijd ze het weer mogen proberen. Let op: als jouw klanten dan verkeerde inloggegevens invullen, worden ze óók uitgesloten. Houd hier rekening mee bij het kiezen van de juiste instellingen.

Handig om te weten: bij ‘Logs’ kun je ook ip-adressen volledig laten blokkeren of juist toevoegen aan de white list. Op deze manier kun je ook voorkomen dat er (weer) inlogpogingen worden gedaan.

wordpress website beveiligen tegen hackers website wordpress beveiligen als webbouwer

03. Gebruik tweestapsverificatie bij het inloggen

Met tweestapsverificatie voeg je als het ware een extra beveiligingslaag toe aan de website. Heel belangrijk als je hackpogingen wil voorkomen bij de WordPress websites van jouw klanten, want men zal dan extra veel moeite moeten doen om de website te hacken. Dit houdt overigens ook in dat je zélf wat meer moeite moet doen om in te loggen. Ik gebruik graag de plugin Google Authenticator. Middels een app op jouw telefoon krijg je een extra beveiligingscode om in te loggen. Het komt er dus op neer dat een hacker óók jouw telefoon nodig heeft om in te kunnen loggen bij de WordPress omgeving.

  • Installeer en activeer de plugin.
  • Ga naar Instellingen › Google Authenticator.
  • Vink het vakje aan bij ‘Two Screen Signin’ en selecteer de gewenste gebruikersrollen.
  • Op je smartphone: download Google Authenticator via de Play Store of App Store.
  • Op je pc: ga naar een willekeurige pagina in het dashboard. Je ziet dan een grote QR code staan. Scan deze met de app op jouw telefoon.
  • En voilà. Voortaan heb je de app op je smartphone nodig om in te loggen bij de betreffende WordPress website. Let op: elke gebruiker dient deze stappen te doorlopen.

wordpress website veilig houden webbouwers

04. Houd WordPress en de plugins up to date

Heb jij je weleens afgevraagd waarom er altijd zoveel updates moeten worden gedaan bij WordPress websites? Dit heeft niet alleen te maken met techniek dat regelmatig veranderd, maar ook doordat WordPress, de thema’s én de plugins regelmatig worden bijgewerkt om de veiligheid te kunnen waarborgen. Hackers vinden steeds nieuwe manieren – en veiligheidslekken! – om toegang te verkrijgen tot jouw server en/of WordPress installatie. De updates voorkomen eventuele lekken. Het is dus extra belangrijk dat de WordPress websites van jouw klanten regelmatig worden geüpdatet! Verouderde installaties, thema’s en plugins zijn een veiligheidsrisico.

05. Werk samen met goede hostingpartijen

Bovenstaande tips hebben vooral te maken met hackers die via de WordPress installatie toegang proberen te verkrijgen. Maar dat is niet de enige manier! Ze kunnen ook proberen om via jouw server/hosting binnen te komen. Daarom is het belangrijk om altijd te kiezen voor goede webhosting bedrijven. In die ruim 15 jaar dat ik WordPress webbouwer ben, heb ik aardig wat hostingpartijen versleten. En ik kan je garanderen dat goedkoop toch echt duurkoop is wat hosting betreft!

06. Verberg het versienummer van WordPress

WordPress toont in verschillende bestanden op de server het versienummer van jouw installatie. Dit is echter niet zo veilig, omdat hackers dan precies weten welke versie jij gebruikt én welke veiligheidslekken er van toepassing zijn op die versie. Je kunt het versienummer heel makkelijk verbergen door onderstaande code toe te voegen in de functions.php. Let op: pas alleen de functions.php aan als je hier verstand van hebt. Maak ook altijd een back-up voordat je thema bestanden aanpast.

function bw_remove_version() { 
return '';
} add_filter('the_generator', 'bw_remove_version');

07. Gebruik alleen veilige wachtwoorden

Dat spreekt natuurlijk voor zich: hoe makkelijker het wachtwoord, hoe makkelijker het te achterhalen is. Toch kun je niet garanderen dat al jouw klanten verstandig genoeg zijn om goede wachtwoorden te kiezen (want: lekker makkelijk). Je kunt dit echter wel forceren door de plugin No Week Passwords te installeren op de WordPress websites. De gebruikers hebben dan geen andere keuze dan het kiezen van een super sterk wachtwoord.


WordPress websites beveiligen is als gatenkaas

Je kunt namelijk nooit 100% garanderen dat een website nooit wordt gehackt. Zie bovenstaande tips dan ook als verschillende lagen gatenkaas: geen van de lagen zijn een 100% garantie, maar als je meerdere van deze lagen stapelt, wordt het redelijk waterdicht. Zorg overigens ook altijd voor goede back-ups, zodat je in geval van nood wél een oudere versie terug kunt zetten.

← Terug naar overzicht