We schrijven regelmatig over de noodzaak de updates van je website bij te houden en niet te denken ‘Dat doe ik nog wel een keertje’. Sommige updates bevatten alleen verbeteringen die het gebruik van WordPress, je thema of plug-in perfectioneren, en die hebben niet zo’n haast. Maar andere updates worden puur gemaakt om je website te beschermen tegen aanvallen van hackers. En die hebben wel haast!
Laten we er geen doekjes om winden: het aantal aanvallen van hackers (en andere criminelen) neemt toe. Hoe komt dat? Is WordPress onveilig, zoals sommigen zeggen? En wat kun (en moet) jij doen om je website veilig te houden?
Veiligheidsgoeroe Tony Perez sprak op 27 mei op de conferentie YoastCon. Hier werd het vijfjarige bestaan van Yoast gevierd, compleet met koffie, taart en goodybag. (Yoast: dat is het oer-Hollandse bedrijf van Joost de Valk en zijn kompanen. Zij hebben de wereldwijd meest gebruikte gratis SEO plug-in van WordPress ontwikkeld, die door miljoenen mensen wordt gebruikt.) Spijtig genoeg moesten wij het feestje missen, maar Anne volgde de lezing van Tony Perez via live stream. Het verhaal van Tony is aanleiding voor ons om nog eens op een rijtje te zetten hoe het zit met hackers en consorten, en wat je zelf kunt (en moet) doen om je site veilig te houden.
Waarom zijn er meer aanvallen?
WordPress is met stip het meest gebruiksvriendelijke systeem om een blog of website bij te houden. Wanneer je je ontwerp simpel houdt, kun je met een beetje moeite je eigen website bouwen. Zonder enige kennis van programmeren kun je al veel doen, mits je tevreden bent met standaard opties. Die gebruiksvriendelijkheid en de toegankelijkheid van de achterkant van websites (het dashboard) is de kerngedachte van WordPress. Het is ook de grote kracht van WordPress en de reden dat het razend populair is geworden. Er kleeft echter een grote maar aan deze gebruiksvriendelijkheid:
‘Het risico op een aanval van hackers is het ongewenste neveneffect van de grootste kracht van WordPress… -Tony Perez
Om precies te zijn is 23,9% van alle websites die nu online zijn gebouwd met WordPress. Als je zo veel mogelijk websites tegelijk wilt kraken, is het logisch dat je het meest gebruikte type aanvalt. Dat is de reden dat WordPress kan rekenen op de warme belangstelling van mensen met slechte bedoelingen. Of je website ooit aangevallen zal worden is volgens Perez niet eens meer de vraag: het is de vraag wanneer. Net zoals je ongetwijfeld wel eens besmet zult worden met een griep- of verkoudheidsvirus, zo kun je er volgens hem van uitgaan dat je website een keer doelwit van een aanval zal zijn. Het is vooral zaak je weerstand zo sterk mogelijk te houden door goed voor je website te zorgen. En dat is niet eens zo heel ingewikkeld.
Websitebeheer is meer dan het plaatsen van een blog
De ontwikkelaars van WordPress werken hard om WordPress zo veilig mogelijk te maken zonder dat het systeem inboet aan gebruiksvriendelijkheid. Hetzelfde geldt voor de makers van plug-ins en thema’s. Dat helpt enorm, maar het is niet genoeg: beheerders van websites hebben ook een taak. Een cruciale taak zelfs. Want:
‘Het echte risico van WordPress wordt gevormd door de eindgebruikers’ -Tony Perez
Eigenaars van een WordPress website zijn vaak de beheerder van hun eigen website. Het vervangen van een foto, een tekst aanpassen of een blog plaatsen: je doet het dankzij het grote gebruiksgemak in een handomdraai. Maar een website beheren is meer dan dat. En meestal hebben website eigenaren niet de kennis die een professionele beheerder heeft om hun website veilig te houden. Tijd voor een minicursus website beheren dus.
Minicursus Website beheren
Beheer jij ook zelf je website? Lees deze 10 tips – en vergeet niet ze toe te passen!
Tip 1: Gebruik een goed wachtwoord
We kunnen het niet vaak genoeg zeggen: gebruik een onlogische combinatie van cijfers en letters, en niet de naam van je kind/poes/partner/oma/hond. Wil je echt topsafe zijn? Gebruik een random wachtwoord generator. Zoek even op Google naar ‘wachtworod generator’, dan vind je er vast een. Wanneer wij een website opleveren, krijgt onze klant ook altijd zo’n onmogelijk te onthouden wachtwoord. Weersta vooral de verleiding om hem te vervangen door iets dat je gemakkelijker onthoudt!
Tip 2: Bewaar je wachtwoorden niet in de Cloud
Verstop je wachtwoord in een (liefst beveiligd) document of, heel ouderwets maar topsafe: bewaar je wachtwoord niet op je computer maar schrijf het op.
Tip 3: Gebruik een goede hostingpartij
Volgens ingewijden bepaalt je hosting wel 50% van de veiligheid van je website. Of dat cijfer helemaal klopt is niet duidelijk, maar goede hosting is zeker van groot belang voor een goed beveiligde website. Waarom? Omdat een goede host als een goede gastheer zorgt voor zijn klanten en dus alert en adequaat reageert op aanvallen. Ga dus niet in zee met een obscuur bedrijf omdat het zo ongelooflijk goedkoop is, want je snijdt jezelf in de vingers. Natuurlijk helpen we je graag met het kiezen van een goed hostingbedrijf dat biedt wat jij nodig hebt én over de veiligheid van je website waakt.
Tip 4: Gebruik alleen betrouwbare plug-ins en thema’s
Goede makers van plug-in en thema’s zitten net zo bovenop de beveiliging van hun thema of plug-in als de mensen van WordPress zelf en zullen regelmatig updates maken. Maar dat geldt niet voor iedere plug-in maker. Check daarom voordat je een plug-in installeert altijd of de plug-in recent is geüpdate en door hoeveel mensen hij wordt gebruikt. Weet je het niet zeker? Je kunt het gerust bij ons navragen.
Tip 5: Gebruik een veilig formulier
Heb je zelf een aanmeldings-, contact-, of inschrijfformulier geïnstalleerd? Zorg er voor dat dit een veilig formulier is. Je maakt het formulier een stuk veiliger door er Captcha aan te hangen. Ook zijn er formulieren die op een andere manier beveiligd zijn, zoals Gravity Forms.
Tip 6: Beperk het uitproberen van wachtwoorden
Met de plug-in Limit Login Attempts beperk je heel eenvoudig het aantal keren dat iemand kan proberen in te loggen. Wij installeren dit standaard op iedere website die we bouwen. Ook hiervoor geldt: niet uitzetten!
Tip 7: Installeer een goede Firewall
Bijvoorbeeld: All In One WP Security & Firewall of Wordfence Security.
Tip 8: Beperk de rollen van anderen op je website
Als je wilt dat iemand anders berichten kan plaatsen, hoef je hem of haar geen beheerder te maken. Via dashboard>gebruikers beslis je zelf hoe veel toegang je iemand geeft. Niet omdat je jouw mensen niet vertrouwt, maar omdat hackers via iedereen met toegang tot jouw website kunnen aanvallen.
Tip 9: Update, update, update!
Nogmaals: hou je website bij en zorg dat updates óf automatisch worden verwerkt, óf doe het zo snel mogelijk handmatig nadat je het bericht van een update hebt ontvangen. Zorg er wel voor dat je een backup maakt voordat je update. Heb je een update-abonnement bij ons? Dan zorgen wij voor geregelde updates van alle plug-ins, het thema en WordPress.
Tip 10: Sluit gebruikers uit verre landen uit
Als jij geen zaken doet met China, waarom zouden Chinezen dan jouw blog moeten lezen? Je kunt simpel aangeven welke landen geen toegang tot je blog hebben, of alleen de achterkant van je website blokkeren. Hier zijn verschillende plug-ins voor, zoals IQ Block Country.
Natuurlijk helpen wij je graag. Neem gerust contact op.