Je WordPress website beveiligen tegen ongewenste indringers: zo doe je dat!

Je Wordpress website beveiligen

Je WordPress website beveiligen? Ik raad het je zeker aan. Niet met één, niet met twee, maar MINSTENS met drie(!) lagen beveiliging.

Het is namelijk ronduit irritant als je gehackt wordt – op z’n minst. Op z’n ergst ruïneert het je business én je leven. Zo heb ik wel eens naar het verhaal van Xander Koppelmans zitten luisteren tijdens het Cybercrime Congres in Dordrecht. Xander was een florerende ondernemer met een eigen reclamebureau en verschillende grote opdrachtgevers, maar verloor door een hack zijn klanten, zijn medewerkers, zijn bedrijf, zijn huis (zijn hypotheek werd ingetrokken), zijn mentale gezondheid én zijn vrouw.

Zo ver kan het gaan. Google Xander eens – en je zult zien dat hij zichzelf nu als “De Gehackte Ondernemer” profileert.

Je zou dus denken dat je na zo’n verhaal extra voorzichtig bent. En dat was ik ook. Maar bij het opzetten van een nieuwe website – haast en spoed is zelden goed – was ik heel even nalatig (“Die beveiliging komt wel”).  En die nalatigheid kreeg ik niet veel later keihard teruggekaatst. Website gehackt. Volop spam.

Shit.

Je WordPress website beveiligen. Waarom eigenlijk?

Het verhaal van Xander Koppelmans roerde mij letterlijk tot tranen. Deze man zijn hele leven was geruïneerd. Xander heeft dit echter in een kracht weten om te zetten en is nu een veelgevraagd spreker. Maar hoeveel mensen is hetzelfde overkomen, zonder dat zij de kracht daarna hadden om weer op te krabbelen? Het kan ook anders lopen. Je kunt op straat komen te staan en van de voedselbank komen te leven.

Ik dacht zelf altijd als kleine ondernemer: “Ach, wat valt er bij mij nou te halen? Ik heb een WordPress website en die is toch al beveiligd?” Je komt er immers niet zomaar in. Daar heb je een gebruikersnaam en wachtwoord voor nodig. En toch… toch blijkt het dan nog steeds relatief simpel voor kwaadwillenden om jouw website “binnen” te komen.

Dat kan met allerlei zaken te maken hebben, maar ik geef je de twee meest voorkomende:

  1. Je gebruikt hetzelfde wachtwoord dat je ook voor andere websites gebruikt om in te loggen; en je gegevens zijn via één van die andere websites gelekt. Je kunt dit gratis controleren op de website haveibeenpwned.com
  2. Je bent niet opgewassen tegen een brute force attack (bijna niemand is dat, zonder extra beveiligingsmaatregelen). Een brute force attack is een aanval waarbij de gigantische rekenkracht van een computer wordt gebruikt om jouw wachtwoord te decoderen. Tijdens zo’n aanval probeert een script gewoon alle letter en cijfercombinaties uit om in te loggen, net zolang totdat het gelukt is. Dat kan dagen, weken of zelfs maanden duren.

Tip: als je de Jetpack plugin op je website geïnstalleerd hebt, zie je in het WordPress dashboard ook een kolom waarin het aantal kwaadaardige inlogpogingen wordt weergegeven. Bij mij zijn dat er aardig wat.

Hoe weet je of je gehackt bent?

Gehackt of niet gehackt? Je merkt het niet altijd direct, want het kan zijn dat degene die op jouw website binnen is gekomen een scriptje “plant” waar je in eerste instantie zelf niks van merkt. En soms merk je er zelfs een hele tijd niks van.

Andere keren merk je het wel direct. Hoe? Dit zijn de drie meest voorkomende hacksymptomen:

  1. Je website wordt “gegijzeld”. Je krijgt deze alleen terug als je een borgsom betaalt – meestal nog in Bitcoin ook. Zo’n borgsom varieert van ca. 2000 euro tot miljoenen euro’s.
  2. De links van je navigatie (menu-items) zijn gekaapt. Ze verwijzen niet gewoon naar jouw webpagina’s, zoals ze wel zouden moeten doen, maar ze linken ineens naar allemaal vreemde externe webpagina’s.
  3. Je krijgt ineens allemaal advertenties op je website te zien waarvan je toch écht zeker weet dat jij die daar niet hebt geplaatst. Soms zijn het zelfs advertenties die naar websites verwijzen die over seks, roken of gokken gaan.

Naast dat deze zaken ronduit irritant zijn, want het vraagt om redelijk wat speurwerk – en technische kennis – om de hack op te speuren, zijn ze ook niet lekker voor je imago. Zo zag ik ooit een bericht van iemand die therapeute was voor seksverslaafden, waarvan haar website dus gehackt was. Stonden er ineens allemaal advertenties van “foute” websites op haar webpagina’s.

Soms kun je het werk van een kwaadwillende nog redelijk makkelijk opspeuren, omdat diegene dan alleen een foute plugin op je website heeft geïnstalleerd. De oplossing? Even verwijderen en je bent klaar.

Maar zoals ik al schreef was ik dus ook gehackt en kreeg ik het zelf NIET opgespeurd. Dan kun je twee dingen doen: een expert inhuren voor grof geld – of je website deïnstalleren en weer opnieuw installeren. Ik koos voor dat laatste.

Je WordPress website beveiligen

Kun je jezelf volledig beschermen tegen hackers? Helaas is het antwoord daarop: nee. Gelukkig kun je wél een hele hoop doen om het ze zo moeilijk mogelijk te maken. Ik zet mijn tips voor je op een rijtje.

Een wachtwoordzin in plaats van een wachtwoord

Een wachtzin. Een wachtwoordzin. Noem het hoe je het wilt noemen. Het komt gewoon hierop neer: wachtwoorden zijn vaak best wel kort en redelijk makkelijk te “hacken”. Zéker wanneer er dus zo’n brute force attack op je website uitgevoerd wordt. Daarom raad ik je – om mee te beginnen – een wachtwoordzin aan.

Bijvoorbeeld:

!!Hoejij77geldverdientisJouwKeuze23532

In plaats van:

Amsterdam25!

Ja, ik weet het. Zo’n wachtwoordzin is een stuk irritanter om te onthouden. Maar wel een stuk veiliger! Schrijf hem desnoods ergens voor jezelf op.

Gebruik voor elke online dienst een ander(e) wachtwoord(zin)

Ik gebruik best wel online diensten. Webshops. Social media. SaaS-oplossingen. Et cetera. Voor elke online dienst heb ik inloggegevens. En vrijwel altijd is dat een gebruikersnaam met een wachtwoord.

Zoveel online diensten.
Zoveel wachtwoorden.

En datalekken via zulke online diensten zijn nooit volledig uit te sluiten. Een datalek betekent dus dat jouw gegevens “gestolen” of “gelekt” zijn, waaronder je wachtwoord. Zorg er daarom altijd voor dat je verschillende wachtwoorden gebruikt.

Stel dat jouw gegevens gelekt worden en je gebruikt voor AL je online diensten hetzelfde wachtwoord, dan kunnen de mensen die nu over jouw gegevens beschikken dus overal inloggen – waaronder misschien ook wel je WordPress website. Niet echt wenselijk, toch?

WPS Hide Login

Oké, weer even terug naar WordPress.

Dit Content Management System draait op open source software. En de login url is voor vrijwel elke domeinnaam hetzelfde: www.jouwdomein.nl/wp-admin.

Hackers weten dit.

Dit is dan ook de eerste url waar ze heen surfen als ze bij je in willen breken.

Maar jij kunt die url veranderen. Met de “WPS Hide Login” kun jij een unieke slug (een slug is het stukje achter je domeinnaam) aanmaken. Dus in plaats van wp-admin kun jij er iets anders van maken.

Dan krijg je bijvoorbeeld zoiets als www.jouwdomein.nl/hahadeenigediehierinlogtbenik!

Verzin iets. En hou het geheim voor anderen.

WPS Hide Login

Limit Login Attempts

Ook deze plugin is onmisbaar om je WordPress website te beveiligen. Deze beschermt je namelijk tegen eindeloze inlogpogingen. Zoals bij een brute force attack bijvoorbeeld gebeurt. Je kunt met deze plugin zelfs bepaalde ip adressen blokkeren en je eigen ip adres als “veilig” markeren.

Je kunt ook zelf het aantal toegestane mislukte inlogpogingen instellen. Én je kunt instellen hoelang iets of iemand geblokkeerd is nadat diegene [x] keer foute inloggegevens heeft ingevoerd.

Maar het allerfijnste van deze plugin? Je kunt bepaalde gebruikersnamen op een zwarte lijst zetten. Denk bijvoorbeeld aan de standaard gebruikersnaam “admin” of “beheer” of “[jouw naam]”. Zorg er natuurlijk wel voor dat de gebruikersnaam die jij daadwerkelijk gebruikt hier niet tussen staat dan hè.

Ik raad je ook aan om een gebruikersnaam te kiezen die niet makkelijk te raden is. Deze pas je aan via de “Gebruikers”-tab in het backend menu van je WordPress website.

Limit Login Attempts

MiniOrange’s Two Factor Authentication

Twee Factor Authenticatie. Met andere woorden: je koppelt je inlogproces aan je mobiele apparaat. Dat kan in WordPress snel & gratis dankzij de plugin “MiniOrange’s Two Factor Authentication”.

Je kunt dan ook de daarbij behorende “Authenticator” app op je telefoon installeren. Kies tijdens het installeren van de plugin voor Google Authenticatie. Elke keer als je dan inlogt met je gebruikersnaam en je wachtwoord op je WordPress website, ontvang je een melding van de Authenticator app met een unieke code. Die code moet je op je inlogscherm invoeren om toegang te verkrijgen.

Dit is een dubbele beveiligingsmethode en hij mag zeker niet ontbreken op jouw website!

Vergeet je hosting niet!

Hackers kunnen toegang verkrijgen tot je CMS doordat ze direct via je website proberen in te loggen. Ze kunnen echter ook voor een “achterdeurtje” kiezen: je hosting. Eenmaal ingelogd in je hosting kun je met een aantal klikken namelijk zomaar WordPress in komen, zónder dat er beveiligingsvragen worden gesteld.

Dus ook voor je hosting geldt:

  • Kies een unieke wachtwoordzin
  • Schakel het liefst twee factor authenticatie in!
  • En kies voor een betrouwbare hosting partij*

*Antagonist is wat mij betreft een echte aanrader. Dit is een betaalbare, Nederlandse, award-winnende hostingpartij.

Ik was dus… gehackt

Toen ik mijn website, merindedoes.nl, nét helemaal af had qua tekst, vormgeving en UX design werd ik dus… gehackt. Ik kon de hack niet opspeuren en dat zorgde ervoor dat ik mijn hele website moest deïnstalleren en weer opnieuw moest opbouwen. Gelukkig stonden er nog geen honderden blogs op, want dan had ik waarschijnlijk nóg chagrijniger geweest.

Ik heb m’n website 2x moeten maken. Allemaal verloren tijd. En dat gebeurde midden in mijn lancering. Niet echt ideaal. En het komt ook nooit op een gelegen moment.

Wat mij betreft – en ik spreek uit ervaring – is het dus cruciaal om je WordPress website te beveiligen. In dit geval geldt écht: voorkomen is beter dan genezen.

Geef een antwoord

*