WordPress is het populairste websiteplatform, en daardoor ook het meest interessante platform voor hackers om beveiligingslekken in te zoeken. Doordat veel websites gebruikmaken van de ‘standaardinstellingen’ en niet goed worden beschermd tegen kwaadwillenden, kunnen zij belangrijke gegevens achterhalen en websitebeheerders in problemen brengen. In dit artikel geven we een paar simpele tips die je direct kunt toepassen bij jouw website.
1. Een malwareplugin installeren
Een beveiligingsplugin zoals bijvoorbeeld Wordfence kan helpen jouw WordPress-website veilig te houden. De plugin controleert de website op malware – oftewel schadelijke virussen die op jouw server kunnen staan – en houdt jou hierover op de hoogte. Er zijn verschillende plugins die dit kunnen, en ze hebben allemaal hun eigen voor- en nadelen. Het is een kwestie van verschillende plugins uitproberen, en kijken welke voldoet aan jouw eisen. Wordfence geeft ook een lijst weer met alle verdachte inlogpogingen op jouw website. Zo kun je dus precies zien welke pagina’s benaderd worden door hackers en waar de zwakke plekken zitten.
2. Een anti-spamplugin installeren
Er zijn vele bots op het internet die spam achterlaten in reacties van artikelen of in contactformulieren. Om dit tegen te gaan kan het verstandig zijn om een anti-spamplugin te gebruiken. Een bekend voorbeeld hiervan is Akismet. Zulke plugins controleren het bericht en beoordelen of het lijkt op spam, of dat de afzender op een ‘zwarte lijst’ staat. Zo verlaag je de kans op spam op jouw website aanzienlijk.
3. De loginpagina’s aanpassen
Elke WordPress-website heeft standaard dezelfde login-url’s. Dit betekent dat hackers dus ook weten dat nieuwe websites hun beheerdersportaal benaderen via de websitenaam met /wp-admin of /wp-login erachter. Doordat deze url’s publiekelijk benaderbaar te zijn, proberen hackers de loginpagina’s te vinden van zo veel mogelijk website’s, en proberen daar in te loggen. Doordat ze allerlei verschillende combinaties van gebruikersnamen en wachtwoorden gebruiken, kan het zijn dat ze de juiste combinatie raden en toegang krijgen tot de website.
Dit kun je voorkomen door de url’s van de loginpagina’s te wijzigen. Dit kun je handmatig doen via de WordPress-bestanden op de server, of je kunt hier een plugin voor installeren die dit voor jou doet. Een populaire plugin hiervoor is WPS Hide Login. Na het installeren van de plugin kies je slechts welke url je wil gebruiken om in te loggen. De plugin doet vervolgens de rest.
