Beveiliging WordPress blog

Voor gebruikers van WordPress.org (eigen domein)

Het is geweten, WordPress is een fantastisch en veelzijdig content management systeem dat bovendien erg gebruiksvriendelijk is. Het heeft – en ook dat is algemeen bekend – echter een  achilleshiel: hackers en andere cybercriminelen vinden erg makkelijk de weg naar WordPress.org sites. En toch blijkt menig blogger erg laks met de beveiliging van diens WordPress blog.

WordPress is  een zogeheten open source pakket. Iedereen kan dus vrij aan de broncode om zo aanpassingen door te voeren aan de software en plugins te schrijven, bijvoorbeeld. Iedereen, dus ook mensen met minder goede bedoelingen.

Enquête

Onlangs werd een enquête* gehouden bij meer dan 500 WordPress-gebruikers. Daaruit blijkt onder meer dat een kwart van de ondervraagden weinig of geen opleiding te hebben genoten in (het gebruik van) WordPress. 44% heeft geen echte website-manager om de site te beheren.

De plugins blijken daarbij meer dan eens het kritieke punt. Goed 2 op 3 van de respondenten geeft aan dat een update van zo’n plugin ooit mislukte en 1 op 4 zegt dat zulks meerdere malen voorkwam. Dat is – samen met het gebrek aan scholing – vermoedelijk de reden waarom nogal wat gebruikers niet consequent updates van plugins doorvoeren. In doorsnee geldt voor plugins dat goed de helft van de gebruikers een verouderde versie ervan draait. Met alle veiligheidsrisico’s van dien.

Toch wel hallucinante cijfers als je bedenkt dat intussen zowat 24% van alle websites die op het internet te vinden zijn op WordPress draaien…

 Beveiliging WordPress blog : niet zo moeilijk

Goed, tot zover de verontrustende cijfers. Hoe verzorg je nu de beveiliging van je blog?

1. Wijzig de standaard gebruikersnaam van je WordPress blog

Die staat standaard ingesteld op “Admin.” En blijft bij veel bloggers ook jaar en dag zo staan. Hackers weten dit ook, natuurlijk! Hier lees je hoe je je gebruikersnaam wijzigt (plus nog wat andere gouden raad om rampscenario’s te voorkomen). Zo bouw je al een eerste horde in. Het kan geen kwaad om zowel je gebruikersnaam als het password van je WordPress site zo nu en dan eens te wijzigen.

2. Gebruik Limit Login Attempts

Of een equivalent ervan. Deze plugins beperken het aantal pogingen dat iemand kan ondernemen om in te loggen op je site, alvorens de toegang tot je site wordt geblokkeerd.

 3. Update WordPress naar de laatste versie

Ik zie eigenlijk geen enkele reden waarom je nog zou blijven bloggen met een verouderde versie van WordPress. Naast het aanbieden van andere kleurtjes en nieuwe features wordt zo’n nieuwe versie ook uitgebracht om veiligheidslekken te dichten.

Ja, het kan zijn dat je blogtheme of bepaalde plugins niet meer compatibel zijn met de laatste update. Mijn advies is simpel: tijd om naar alternatieven te zoeken.

4. Kies de juiste plugins

Gebruik dus de plugins die compatibel zijn met jouw versie van WordPress. En geef daarbij de voorkeur aan plugins die al vaak gedownload zijn én die recent zijn bijgewerkt. Zoek je tenslotte een bepaalde functionaliteit in WordPress (die je denkt te kunnen toevoegen middels een plugin), steek dan even je licht op in je netwerk en vraag naar tips en adviezen.

En dan nog kunnen er geen garanties worden gegeven: zelfs plugins met een grote verspreiding en een enorme staat van dienst kunnen geconfronteerd worden met grote problemen, die een doortastend optreden noodzakelijk maken.

5. Probeer het aantal plugins te beperken

In de eerste plaats omdat dat je helpt om zuinig om te springen met je beschikbare webruimte. Daarnaast verhoogt een wildgroei aan plugins de kans op (veiligheids)problemen. Haal eens in de zoveel tijd de bezem door je verzameling plugins en verwijder diegene die je niet meer gebruikt.

6. Werk al je plugins bij naar de laatste versie

Goede plugins worden regelmatig bijgewerkt. Ook om veiligheidslekken te counteren. Doe de moeite om op “Bijwerken” te klikken en hooguit enkele tientallen seconden te wachten.

7. Kies een goede hostingprovider

Met aan zekerheid grenzende waarschijnlijkheid betaal je wat meer voor je hosting (enkele tientjes per jaar). Maar bij calamiteiten merk je direct waar ‘m dat prijsverschil in zit: betrouwbare servers, een snelle en persoonlijke service, backups, mails die worden beantwoord in verstaanbaar Nederlands, adviezen op maat, medewerkers die niet te beroerd zijn om desnoods zelf in het dashboard van je blog te kijken om één en ander recht te trekken. Probeer dat allemaal maar eens gedaan te krijgen bij een spotgoedkoop hostingbedrijf uit Verwegistan.

8. Volg je hostingbedrijf via sociale media

Zo goed als alle internetbedrijven zijn te vinden op sociale media. Volg hen, want naast promotie voor het eigen merk, doen ze vaak hun duit in het zakje om waardevol advies te verspreiden. En zijn er echt grote bedreigingen die jou als blogger dwingen tot het nemen van maatregelen, dan brengen zij je vaak via social media op de hoogte.

Dit waren mijn tips ter beveiliging van jouw WordPress blog. Hopelijk ben je voorbereid op iets dat hopelijk nooit komt.


 

*= Bron:

photo credit: Robbery not allowed via photopin (license)