Niks is zo eenvoudig als een WordPress website opzetten en inhoud te maken. Eens alles live staat, wordt je website ook interessant om eens op in te breken.
In deze meetup hielden we een rondetafelgesprek om zo alle aanwezige kennis samen te brengen in tips en suggesties. Hierbij keken we verder dan enkel extra plugins installeren, maar zo spraken we ook over je verbinding met de server, wachtwoorden, …
Het gesprek ging wat heen en weer en het was niet zo dat we een vooraf vastgelegd lijstje afliepen. Om de tips toch enigszins gestructureerd weer te geven, groeperen we de tips.
Ontwikkeling
Deze tips en suggesties zijn vooral nuttig tijdens de ontwikkeling en het opzetten van je website(s).
- Gebruik nooit admin als gebruikersnaam
- Deze gebruikersnaam wordt het meest getest door scripts om in te breken op je website. Als admin je gebruikersnaam is, moeten ze enkel nog het wachtwoord raden
- Kies sterke wachtwoorden en help je gebruikers ook om sterke wachtwoorden te kiezen
- Hoe ziet een sterk wachtwoord er uit? Dit beeld zegt meer dan 100 woorden
- Gebruik steeds een uniek wachtwoord per website. Maak eventueel gebruik van een Password manager; houd zeker geen excel-file of iets dergelijks bij waar een inbreker in 1 slag al je wachtwoorden kan vinden.
- Is je wachtwoord gelekt bij een data breach? Controleer het via de website Have I Been Pwned
- Ga op zoek naar de beste plugin.
Sommige plugins worden gebruikt om malafide code in je website te brengen. Enkele mogelijke criteria die gebruikt kunnen worden om de beste plugin te kiezen- Is er een premium versie? Ja, dan is de ontwikkelaar gebaat met een goede support!
- Trackrecord van de ontwikkelaar
- Goede reviews
- Laatste update; afhankelijk van de functie van de plugin
- Hou de kwaliteit van je code in het oog
- Vermijd het gebruik van FTP
- Alle verkeer dat over het FTP protocol gaat, is onversleuteld. Ook gebruikersnamen en wachtwoorden.
- Je kan minstens proberen gebruik te maken van SFTP. Nog beter zou echter zijn als je via SSH verbinding maakt met de server, waarbij het aanmelden kan gebeuren met publickey
- Laat niet toe dat gebruikers vanuit de wp-admin bestanden aanpassen. Dit is een instelling in de wp-config.php
Onderhoud
Eens je website live staat, is er altijd nog veel dat je kan doen om de beveiliging op te volgen.
- Hou je updates goed bij
- Denk aan WP Core en alle plugins!
- Indien je meerdere websites mag onderhouden, zijn er verschillende diensten en hostingpartners die je hierin ondersteunen. Vaak bieden ze ook nog extra diensten aan zoals back-ups, malware scans, …
- Enkele bekende diensten: ManageWP, InfinteWP, MainWP
- Installeer een Web Application Firewall om inbraakpogingen tegen te gaan
- Controleer je bestandsrechten en zet ze juist indien nodig.
- Beveilig je website dmv HTTPS zodat al het verkeer over je website (inclusief het beheerdersdashboard) versleuteld wordt (Let’s Encrypt)
- Stimuleer je gebruikers om 2-Factor Authentication (2FA) in te stellen
- Dit is jammer genoeg een extra drempel, maar maakt het wel een stuk moeilijker om in te breken in de website.
- Je kan zeggen dat enkel beheerders 2FA moeten gebruiken.
- Plugins die dit ondersteunen zijn iThemes security en Wordfence.
Om te eindigen
Bedankt aan alle deelnemers voor het delen van de vele tips, suggestie!
De volgende Meetup zal plaatsvinden op 1 april. Locatie en onderwerp worden nog vastgelegd.
One reply on “WordPress Beveiliging”
[…] Lees het volledige verslag […]