3 tips om je WordPress site beter te beveiligen
Omdat WordPress het populairste CMS is en door meer dan de helft van alle websites op het internet wordt gebruikt, hebben ook hackers, botjes en andere kwaadwillenden grote interesse om WordPress te misbruiken. In deze blogpost kijken we naar een drietal veiligheidsmaatregelen die je kunt nemen om je WordPress site beter te beveiligen tegen spammers en hackers:
- Voorkomen dat je WordPress site spam verstuurt
- Voorkomen dat botjes je WordPress wachtwoord raden en kunnen inloggen op je site
- Voorkomen dat er misbruik kan worden gemaakt van Application Passwords
Voorkomen dat je WordPress site spam verstuurt
Helaas krijgen we elke week meldingen binnen over WordPress websites die spam versturen. In de meeste gevallen komt dit door het contactformulier op de betreffende website. Maar hoe kan dat dan? En belangrijker nog, wat doe je eraan?
Er zijn zogenaamde botjes die automatisch het internet afzoeken naar WordPress websites met een contactformulier, of een formulier voor het achterlaten van een reactie/commentaar. Vervolgens gaan ze het formulier geautomatiseerd invullen met spamcontent, en dit doen ze dat dan vele malen achterelkaar. Als je pech hebt, heb je zomaar honderden mails in je mailbox zitten. Aan de serverkant valt er helaas weinig aan te doen, maar jij of de beheerder van je website kan dit wel.
Vaak is het voldoende om als anti-spammaatregel een recaptcha in te zetten. Vroeger zag je nog wel eens een formulier waar je een rekensom moest beantwoorden of tekens uit een plaatje moest overnemen. Helaas houdt dit tegenwoordig geen spam meer tegen; botjes worden ook slimmer en geavanceerder. Recaptcha - een dienst van Google, en bekend van de "ik ben geen rebot" tekst - houdt wel meer dan 90% van de spam tegen. De meeste contactformulier-plugins hebben een optie om Recaptcha toe te voegen. Je kunt ook kiezen voor een aparte plugin die ook direct alle andere formulieren beschermd.
Wat betreft reactieformulieren: de meeste WordPress websites hebben deze optie niet nodig, omdat het met name interessant is voor blogs. De beste optie is dan ook om de reactiemogelijkheid helemaal uit te schakelen.
Voorkomen dat botjes je WordPress wachtwoord raden en kunnen inloggen op je site
Er zijn veel botjes op het internet die proberen om in te loggen op je WordPress website. Je wilt natuurlijk niet dat een onbevoegde op je WordPress website kan inloggen en vervolgens overal bij kan.
Gelukkig hebben onze servers al een ingebouwde beveiliging tegen botjes die proberen in te loggen, maar is niet 100% waterdicht. Een IP adres krijgt een Recaptcha te zien op het loginformulier van WordPress als er te veel foutieve inlogpogingen voorbij komen vanaf dat IP adres. Daarnaast hebben veel websites die via Installatron zijn geïnstalleerd een plugin met de naam "limit login attempts reloaded" actief, die een stukje extra beveiliging biedt. Toch is het verstandig om zelf nog aanvullende maatregelen te nemen.
Allereerst kun je de standaard gebruikersnaam "admin" wijzigen in iets anders. Een hele simpele, maar doeltreffende maatregel.
Verder kun je nog gebruik maken van een plugin die je loginformulier beschermt tegen botjes door middel van Recaptcha. Hiermee ben je gelijk al vanaf loginpoging nummer 1 al beschermd.
Een derde optie die je nog hebt is zorgen dat je zelf een loginlink kiest voor je WordPress site. Standaard kun je via /wp-admin of /wp-login,php inloggen op WordPress. Met de onderstaande plugin kun je dit aanpassen in iets anders. Echter is het nadeel dat als je vergeet wat je gekozen hebt als loginlink, het lastig wordt om in te loggen.
Voorkomen dat er misbruik kan worden gemaakt van Application Passwords
In een eerdere blog schreven we over WordPress versie 5.6 met daarin als nieuwe mogelijkheid de "Application Paswords". Deze nieuwe functie kan een veiligheidsricico vormen. Via kwaadwillende sites of mails zou je - als je even niet goed op let - toegang kunnen geven tot je WordPress site. Het is daarom aan te raden om deze functie uit te schakelen via de functions.php van je thema met de onderstaande code:
add_filter( 'wp_is_application_passwords_available', '__return_false' );
Mochten er dingen in deze blogpost staan die te technisch voor je zijn, neem dan contact op met je websitebouwer of zoek een websitebouwer bij jou in de buurt in ons partneroverzicht.
Mocht je zelf nog suggesties hebben voor beveilging van WordPress? Laat het ons dan weten, dan kunnen we anderen ook weer helpen hun beveiliging beter op orde te brengen!