Beveilig je WordPress website: voorkom hacks!

Vanwege de sterke groei van WordPress is het CMS een geliefde prooi voor hackers geworden. Gehackte websites worden soms gevuld met malware, ontdaan van de content (‘defaced’), en soms zelfs volledig onklaar gemaakt. Het merendeel van de hack-pogingen kan je afweren door enkele simpele handelingen. Het doel van dit artikel is om mensen met beperkte technische kennis te helpen om hun website voor 99% te beveiligen. Bovendien leggen we uit wat je kan doen als je WordPress website toch een keer gehackt wordt.

Wat is een gehackte website?

Wanneer uw site is geïnfecteerd, gebeurt dit meestal omdat een hacker via een zwakke plek het beheer over uw site heeft kunnen overnemen. De hacker kan ook de inhoud van de site wijzigen (bijvoorbeeld door spam toe te voegen) of extra pagina’s aan de site toevoegen, meestal met phishing als doel (gebruikers misleiden zodat ze persoonlijke en creditcardgegevens opgeven). De hacker kan ook schadelijke code (malware) toevoegen, bijvoorbeeld scripts of iFrames die inhoud van een andere website ophalen die probeert elke computer aan te vallen waarop de pagina wordt weergegeven.

Onder de term ‘malware’ vallen alle soorten schadelijke software die zijn bedoeld om een computer of netwerk te beschadigen. Voorbeelden van malware zijn onder andere virussen, wormen, spyware en Trojaanse paarden. Zodra een site of computer is beschadigd, kan deze worden gebruikt om schadelijke inhoud te hosten, zoals phishing-sites (sites bedoeld om gebruikers te misleiden zodat ze hun persoonlijke en creditcardgegevens opgeven). Sommige hackers kunnen zelfs het beheer over een gehackte site overnemen.

Bron: Google

Stappenplan om te voorkomen dat je WordPress website wordt gehackt

1. Veilige inlog met gebruikersnaam en wachtwoord

De meeste hackpogingen zijn valse inlogpogingen (Brute Force Attacks). Op basis van de inhoud van je website en een lijst met veel voorkomende wachtwoorden, wordt dan geprobeerd om in te loggen. Op die manier kunnen hackers in een kort tijdsbestek duizenden inlogpogingen uitvoeren. Je kan voorkomen dat hackers je wachtwoord vinden door ervoor te zorgen dat je een uniek en veilig wachtwoord gebruikt. Ook adviseren we om geen gebruik te maken van admin als gebruikersnaam.

2. Update WordPress en plugins

Vaak zien we dat WordPress gebruikers liever geen updates meer uitvoeren op hun website. Om veilig te blijven moet je je website echter wél blijven updaten. Dat gaat in WordPress bovendien heel eenvoudig. En als je gebruik maakt van populaire plugins, dan gaan updates bijna altijd goed. Mocht er toch iets mis gaan, dan val je terug op je backup.

3. Maak backups

In veel gevallen bewaart je hosting provider backups over een periode van zo’n 14 dagen. Maar het kan voorkomen dat je er pas later achter komt dat je website gehackt is. Wij adviseren daarom om ook zelf regelmatig een volledige backup te maken en deze minimaal een half jaar te bewaren. Een volledige backup is een backup van zowel de database als alle bestanden. Soms kan je backups downloaden via je hosting provider, maar er zijn voor WordPress ook diverse plugins die dit doen, zoals BackWPup (gratis) of BackupBuddy (betaald).

4. Meld je aan bij Google Webmasters

Omdat Google jouw website met regelmaat bezoekt, kan Google soms ook herkennen dat je website is gehackt. Door je aan te melden bij Google Webmasters kan je erop vertrouwen dat je van Google een melding krijgt als er iets mis is. Ook biedt Google Webmasters de mogelijkheid om je website aan te melden voor een malwarecontrole.

5. Zorg voor goede hosting

Last but not least: zorg voor goede hosting! Webhosting is een markt voor prijsvechters; voor enkele tientjes per jaar kan je een website een jaar lang laten hosten. Maar hoe minder je betaalt, des te minder ruimte de host heeft om een optimale veiligheid te garanderen. Onze Premium WordPress hosting monitort inlogpogingen, gewijzigde php-bestanden, verkeer van en naar de servers, onverwacht bezoekersgedrag, etc. Wij – en anderen die zo werken – zijn niet de goedkoopste, maar staan wel garant voor een optimale beveiliging.

Wat kan je nog meer doen om je website te beveiligen?

Met bovenstaande punten kan je je website preventief beveiligen tegen hackers. Je kan nog een stap verder gaan en extra plugins installeren die je helpen om de beveiliging nog verder aan te scherpen. Hier zijn talloze plugins voor, waarvan we hier de meest populaire zullen bespreken. De plugins bevatten een scala aan functionaliteiten om je website extra te beveiligen. Je kan bijvoorbeeld de gebruikersnaam van de admin-gebruiker aanpassen, het bestand wp-login.php alleen toegankelijk maken voor specifieke IP-adressen, aanpassing doen aan de WP_-prefix in de database, etc.

Wat moet je doen als je website is gehackt?

A. Backup terugzetten en alles updaten.

Als je technisch bent kan je zelf kijken in welke bestanden vreemde code te vinden is, maar onze ervaring is dat het probleem zich daarmee meestal niet oplost. Malware-code wordt vaak in meerdere bestanden verwerkt en goed verstopt in de bestanden van WordPress, plugins en themes. Een volledige backup terugzetten is daarom de beste oplossing. Maar let op: nadat je je backup hebt teruggezet, is je website nog niet beschermd! Update daarna daarom direct je WordPress installatie, plugins en thema’s! En vertrouw je het toch niet helemaal? Lees dan Stap B!

B. Laat Sowmedia de gehackte website schoon maken

Sowmedia biedt de WordPress Hackvrij dienst: een dienst waarmee we websites voor een vast bedrag schoon maken van malware, defaces, achterdeurtjes en andere sporen die hackers hebben achtergelaten. Daarbij kun je kiezen voor schoonmaakacties binnen een werkdag tot binnen een werkweek. Lees meer over het schoonmaken van gehackte WordPress websites door Sowmedia.

WordPress website gehackt?

3 reacties op “Beveilig je WordPress website: voorkom hacks!”

  1. Ik gebruik Wordfence op sommige sites, het plugin biedt je veel mogelijkheden om hackers buiten de deur te laten. Wanneer alleen een kleine groep moet inloggen is het ook een prima keuze om wp-amin en wp-login.php met htaccess te beveiligen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Gerelateerde artikelen

GDPR Consent Pro voor WordPress ondersteunt nu Google Consent Mode V2

Als je bekend bent met Google Analytics en Ads, dan weet je waarschijnlijk wel dat je voor maart 2024 Google Consent Mode V2 moet installeren. Doe je dat niet, dan loop je alle nauwkeurige metingen via het marketingplatform mis. 

Lees verder
WordPress cookie plugin

De 3 beste geteste WordPress cookie plugins (2024)

Is jouw WordPress website al volledig AVG-proof? De drie cookie WordPress cookie plugins in dit blog kunnen je hier een handje mee helpen.

Lees verder

Beste gratis WordPress thema’s 2024

Zoek je de beste gratis WordPress-thema’s voor 2024? Dan zit je hier goed! Met zoveel keuzes is het lastig om te weten welke thema’s het…

Lees verder