door Sabra Issa

Je hoort het wel eens: WordPress moet je niet nemen. Dat kan m’n 12-jarige buurjongen nog hacken. Het zit vol met lekken. En gaten. En…nou ja…echt veilig kun je het niet noemen.

WordPress is sinds zijn lancering 11 jaar geleden uitgegroeid tot het grootste blog- en content management platform, met bijna 75 miljoen gebruikers. Ook bij Blue Leopard ontwikkelen we websites binnen WordPress. We – en onze klanten – zijn er zeker tevreden over. Maar liegen doen we niet op dit blog: het is ook wel eens misgegaan. Een website werd gehackt. Of zelfs volledig offline gehaald.

Wordpress beveiligen

Vanwege zijn grote aantal gebruikers is WordPress aantrekkelijk voor hackers. Een slimme jongen van een klantenservice zij recentelijk tegen mij:

“Wordpress is net Windows. Je hebt altijd meer virussen dan voor Mac OS.”

Hoewel de vergelijking nergens over gaat, had hij op een bepaald niveau wel een punt. Hoe zorg je er nou voor dat jouw WordPress website veilig is? En wat doe je als het toch mis gaat?

1. Zorg dat je ontwikkelaar niet je 12-jarige buurjongen is

Een veilige WordPress website begint bij de ontwikkeling. Jouw ontwikkelaar moet er voor zorgen dat hij geen gebruikt maakt van plugins, thema’s of login gegevens die niet veilig zijn. Nu kun je je programmeur op zijn blauwe ogen vertrouwen, of je vraagt hem even deze plugin te installeren zodat ie het daadwerkelijk kan controleren.

2. Zorg dat de boel up-to-date is!

Nadat je website netjes is opgeleverd, kan het zijn dat jij het onderhoud zelf wil doen. Daar is niks mis mee. Het enige lastige van WordPress updaten, is dat je het niet moet vergeten. Dus log in ieder geval elke twee weken in, om te kijken of er een nieuwe versie is. Kan je meteen even een blog tikken. 😉 (vergeet ook niet je plugins up-te-daten!)

3. Ga geen oude plugins installeren

WordPress heeft duizenden plugins gratis beschikbaar om mee te spelen. En hoewel dat leuk speelgoed is, kan het de veiligheid van je website in gevaar brengen. Wanneer je binnen je WordPress backend zoekt naar plugins, kun je details bekijken over de plugin zelf. Hier moet je op letten wanneer je zelf een plugin aan je website wil toevoegen:

  • Is de plugin getest met je huidige versie van WordPress? Zo ja, dan staat er een vinkje. Zo nee, overweeg dan een nieuwere variant.
  • Hoeveel sterren heeft een plugin?
  • Hoeveel keer is de plugin gedownload? Populaire plugins worden vaak beter onderhouden en zijn dus veiliger.
  • Hoe lang is het geleden dat de plugin voor het laatst is geupdate?

4. Login gegevens

Iedereen haat wachtwoorden onthouden. Ik ook. Maar je zal wel moeten. WordPress gebruikers die een zwak wachtwoord hebben, zijn vele malen makkelijker te kraken. Dus let op het volgende:

  • Zorg dat je gebruikersnaam, niet in je wachtwoord voorkomt.
  • Zorg voor een hoofdletter in je wachtwoord
  • Zorg voor cijfers in je wachtwoord. Dat mag best je dochter d’r geboorte datum zijn. Of je pincode.

De plugin die ik eerder noemde, heeft een handige wachtwoord tool. Daarmee kun je zien of je wachtwoord sterk genoeg is.

5. Wie heeft jouw inlog gegevens?

Dit heeft niet zo zeer te maken met hackers, en zelfs niet altijd met slechte intenties. Toch kan er een hoop mis gaan wanneer jij niet meer weet wie nou eigenlijk jouw WordPress en FTP inlog gegevens hebben. Hier zijn een aantal scenarios om aan te denken:

“Een van je medewerkers wil een blog plaatsen. Prima, denk jij, altijd mooi meegenomen. Maar dan moet jij eerst inloggen en een gebruiker voor hem aanmaken. Het liefst een met zo min mogelijk rechten. Je hebt haast. Wat een gedoe, denk je. Ik geef hem gewoon even mijn login, dan kan ie verder.”

Je medewerker heeft nu alle rechten binnen WordPress als jij, eigenaar van je website. En de kans is groot dat jij daarna vergeet je wachtwoord te veranderen. Hoe leuk je medewerker ook is, vermijd deze situatie. Maak voor je mede-bloggers een gebruikers account aan met de rol “Auteur”. Zo’n gebruiker kan alleen zijn eigen berichten publiceren, aanpassen en verwijderen.

“Je ontwikkelaar wil toegang tot je FTP server om je website te ontwikkelen. Nadat de website is opgeleverd ben jij blij en ga je verder met de dagelijkse gang van zaken. Je denkt er niet aan, het wachtwoord van je FTP server te veranderen.”

Je FTP server geeft letterlijk toegang tot elke bestand van jouw website. Als ik jouw FTP gegevens heb, kan ik binnen 3 seconden je website verwijderen. Tenzij je knallende ruzie hebt met je programmeur, is daar geen enkele aanleiding toe.

Tenzij je programmeur regelmatig op een laptop werkt. En deze laptop gestolen wordt. Want dat gebeurd nou eenmaal vaker als je hem overal mee naar toe sleept. Dus verander je FTP wachtwoord nadat je website opgeleverd is.

6. En als het toch fout gaat? Wat dan?

Backups! De grote liefde van iedere webdesigner. Waar we ooit alles met de hand moesten back-uppen (is dat een woord?) kan dat tegenwoordig gewoon automatisch. Dus val je programmeur nog eens lastig, en zeg hem dat een tool zoals UpdraftPlus automatisch je backups maakt. En ze nog naar een opslag medium (zoals Google Drive of Dropbox) stuurt ook. Mocht het dan echt fout gaan, dan ben je met 10 minuten weer online.

Laat een reactie achter