Blogger laks met beveiliging WordPress blog

Beveiliging WordPress blog

Voor gebruikers van WordPress.org (eigen domein)

Het is geweten, WordPress is een fantastisch en veelzijdig content management systeem dat bovendien erg gebruiksvriendelijk is. Het heeft – en ook dat is algemeen bekend – echter een  achilleshiel: hackers en andere cybercriminelen vinden erg makkelijk de weg naar WordPress.org sites. En toch blijkt menig blogger erg laks met de beveiliging van diens WordPress blog.

WordPress is  een zogeheten open source pakket. Iedereen kan dus vrij aan de broncode om zo aanpassingen door te voeren aan de software en plugins te schrijven, bijvoorbeeld. Iedereen, dus ook mensen met minder goede bedoelingen.

Enquête

Onlangs werd een enquête* gehouden bij meer dan 500 WordPress-gebruikers. Daaruit blijkt onder meer dat een kwart van de ondervraagden weinig of geen opleiding te hebben genoten in (het gebruik van) WordPress. 44% heeft geen echte website-manager om de site te beheren.

De plugins blijken daarbij meer dan eens het kritieke punt. Goed 2 op 3 van de respondenten geeft aan dat een update van zo’n plugin ooit mislukte en 1 op 4 zegt dat zulks meerdere malen voorkwam. Dat is – samen met het gebrek aan scholing – vermoedelijk de reden waarom nogal wat gebruikers niet consequent updates van plugins doorvoeren. In doorsnee geldt voor plugins dat goed de helft van de gebruikers een verouderde versie ervan draait. Met alle veiligheidsrisico’s van dien.

Toch wel hallucinante cijfers als je bedenkt dat intussen zowat 24% van alle websites die op het internet te vinden zijn op WordPress draaien…

 Beveiliging WordPress blog : niet zo moeilijk

Goed, tot zover de verontrustende cijfers. Hoe verzorg je nu de beveiliging van je blog?

1. Wijzig de standaard gebruikersnaam van je WordPress blog

Die staat standaard ingesteld op “Admin.” En blijft bij veel bloggers ook jaar en dag zo staan. Hackers weten dit ook, natuurlijk! Hier lees je hoe je je gebruikersnaam wijzigt (plus nog wat andere gouden raad om rampscenario’s te voorkomen). Zo bouw je al een eerste horde in. Het kan geen kwaad om zowel je gebruikersnaam als het password van je WordPress site zo nu en dan eens te wijzigen.

2. Gebruik Limit Login Attempts

Of een equivalent ervan. Deze plugins beperken het aantal pogingen dat iemand kan ondernemen om in te loggen op je site, alvorens de toegang tot je site wordt geblokkeerd.

 3. Update WordPress naar de laatste versie

Ik zie eigenlijk geen enkele reden waarom je nog zou blijven bloggen met een verouderde versie van WordPress. Naast het aanbieden van andere kleurtjes en nieuwe features wordt zo’n nieuwe versie ook uitgebracht om veiligheidslekken te dichten.

Ja, het kan zijn dat je blogtheme of bepaalde plugins niet meer compatibel zijn met de laatste update. Mijn advies is simpel: tijd om naar alternatieven te zoeken.

4. Kies de juiste plugins

Gebruik dus de plugins die compatibel zijn met jouw versie van WordPress. En geef daarbij de voorkeur aan plugins die al vaak gedownload zijn én die recent zijn bijgewerkt. Zoek je tenslotte een bepaalde functionaliteit in WordPress (die je denkt te kunnen toevoegen middels een plugin), steek dan even je licht op in je netwerk en vraag naar tips en adviezen.

En dan nog kunnen er geen garanties worden gegeven: zelfs plugins met een grote verspreiding en een enorme staat van dienst kunnen geconfronteerd worden met grote problemen, die een doortastend optreden noodzakelijk maken.

5. Probeer het aantal plugins te beperken

In de eerste plaats omdat dat je helpt om zuinig om te springen met je beschikbare webruimte. Daarnaast verhoogt een wildgroei aan plugins de kans op (veiligheids)problemen. Haal eens in de zoveel tijd de bezem door je verzameling plugins en verwijder diegene die je niet meer gebruikt.

6. Werk al je plugins bij naar de laatste versie

Goede plugins worden regelmatig bijgewerkt. Ook om veiligheidslekken te counteren. Doe de moeite om op “Bijwerken” te klikken en hooguit enkele tientallen seconden te wachten.

7. Kies een goede hostingprovider

Met aan zekerheid grenzende waarschijnlijkheid betaal je wat meer voor je hosting (enkele tientjes per jaar). Maar bij calamiteiten merk je direct waar ‘m dat prijsverschil in zit: betrouwbare servers, een snelle en persoonlijke service, backups, mails die worden beantwoord in verstaanbaar Nederlands, adviezen op maat, medewerkers die niet te beroerd zijn om desnoods zelf in het dashboard van je blog te kijken om één en ander recht te trekken. Probeer dat allemaal maar eens gedaan te krijgen bij een spotgoedkoop hostingbedrijf uit Verwegistan.

8. Volg je hostingbedrijf via sociale media

Zo goed als alle internetbedrijven zijn te vinden op sociale media. Volg hen, want naast promotie voor het eigen merk, doen ze vaak hun duit in het zakje om waardevol advies te verspreiden. En zijn er echt grote bedreigingen die jou als blogger dwingen tot het nemen van maatregelen, dan brengen zij je vaak via social media op de hoogte.

Dit waren mijn tips ter beveiliging van jouw WordPress blog. Hopelijk ben je voorbereid op iets dat hopelijk nooit komt.


 

*= Bron:

photo credit: Robbery not allowed via photopin (license)

9 antwoorden op “Blogger laks met beveiliging WordPress blog”

  1. En ook dit is een reden om gewoon bijvoorbeeld blogger te gebruiken, want bij Blogger hoef je niet je blog zelf te hosten en updates? Nou daar heb je geen weet van wat dat neemt Google wel voor zijn rekening, en daarnaast zit je bij de beste hoster die maar kunt krijgen.

    Uiteraard kun je ook de webversie van WordPress gebruiken, dan zal WordPress de boel ook zelf updaten maar dan zit je toch nog met een aantal beperkingen zoals dat je blauw betaald voor een domeinnaam die elders maar 5 euro kost.

  2. Goede blogpost. Het veranderen van de gebruikersnaam admin helpt inderdaad enorm omdat de meeste aanvallen op de gebruikersnaam admin gericht zijn.

    Het blijft echter zo dat in WordPress ontzettend eenvoudig de gebruikersnaam te achterhalen is (ook als je de schermnaam anders hebt staan). Zo is binnen 20 seconden te achterhalen dat op deze website 3 gebruikers zijn aangemaakt en wat de gebruikersnamen zijn (ik zal deze uiteraard hier niet noemen 😉 ). WordPress zelf hecht weinig waarde aan het beschermen van de gebruikersnaam omdat ze het niet als veiligheidsprobleem zien. Een plugin als limit login attempts is daarom zeker aan te bevelen zoals je in het artikel ook al aangeeft.

    Een extra optie zou zijn om ook nog gebruik te maken van “Two-factor authentication”. Kort gezegd zorgt dit ervoor dat je jezelf twee keer moet verifiëren voordat je kunt inloggen. Dit doe je door middel van je gebruikersnaam en wachtwoord en een gegenereerde beveiligingscode die een korte periode geldig is. Je kunt deze code ontvangen via een app op je smartphone of een andere manier. Het ligt eraan op welke manier je het hebt ingesteld op je website.

    Nog een aanvulling over SSL wat in de reacties besproken wordt. SSL is puur om de verbinding tussen de website en de gebruiker te versleutelen en aan te geven dat je ook daadwerkelijk verbinding hebt met de website waarmee je denkt verbonden te zijn. Alle gegevens die je verstuurd vanaf jouw computer en browser naar de server van de website wordt dus versleuteld (data encryptie) verzonden en is niet te misbruiken door kwaadwillende. Het zorgt verder dus niet dat je website minder makkelijk aangevallen of gehackt kan worden.

    Tot zover de extra informatie. Ik hoop dat jullie er wat aan hebben 🙂

  3. Eentje die ik net ergens anders ook las: niet-gebruikte plug-ins en thema’s verwijderen. Want die update je naar alle waarschijnlijkheid zeker niet…

    Verder volg ik het rijtje wat hierboven staat wel. Maar ik ben ook niet opgeleid om wordpress te gebruiken, dus ik zal ook nog wel fouten maken!

  4. Zelf heb ik dat opgelost door wordpress.com te gebruiken.

    Ik ken een paar blogs waarbij de beheerder reageert met de naam Admin, dan valt te bedenken wat zijn of haar tebruikersnaam is.

    Bij wordpress.com is alles de laatste maanden overgezet naar https. Neem aan dat dat ook veiliger is. Doen bloggers op een eigen domein met wordpress dat ook? (Ik heb ze nog niet gezien.)

    1. Nee, de meeste hobbybloggers doen het (nog) niet. Professionals beginnen er nu mondjesmaat mee.

      Bij navraag bij mijn hostingbedrijf bleek dat zij het alleen aanraden voor mensen die met gevoelige informatie, betalingen en dergelijke werken…

      Google zou (in de toekomst) de https sites bevoordelen in de zoekmachine…

  5. Nog twee tips:
    – gebruik als schermnaam een andere dan je gebruikersnaam. Als admin niet werkt gaan hackers soms op zoek naar andere voor de hand liggende inlognamen en je schermnaam wordt gepubliceerd bij je blogs. Is aan te passen op dezelfde pagina waar je je gebruikersnaam invult.
    – gebruik askimet om spamreacties uit te filteren.

    1. Ok, dank voor de aanvulling. Akismet gebruiken vond ik een te voor de hand liggende optie. Vandaar dat die er niet tussen stond.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.