WordPress Beveiligingstips voor de Layman: Beveilig uw WordPress-login en andere beveiligingspraktijken

Artikel geschreven door:
  • WordPress
  • Bijgewerkt: feb 06, 2020

Sinds het voor het eerst werd geïntroduceerd in meer dan twee decennia geleden, is WordPress nu gegroeid (en gegroeid) en wordt het veilig genoemd als 's werelds populairste contentbeheersysteem. Vandaag, meer dan een kwart van de websites die er zijn, worden uitgevoerd op WordPress.

Maar sinds mensenheugenis, hoe populairder iets is, hoe meer mensen er misbruik van willen maken voor schandelijke middelen. Kijk maar naar Microsoft Windows en de enorm aantal malware, virussen en andere exploits ontworpen om alleen dit ene specifieke besturingssysteem te targeten.

De 10 WordPress-versies met de meeste kwetsbaarheden (bron). Onderzoek in 2017 identificeerde 74 verschillende versies van WordPress in Alexa Top 1 miljoen websites; 11 van deze versies is ongeldig - bijvoorbeeld versie 6.6.6 (bron).

Waarom is je WordPress-blog een waardevol doelwit?

In het geval u zich afvraagt ​​waarom een ​​hacker uw blog op WordPress in de gaten zou willen houden, zijn er verschillende redenen, waaronder;

  • Gebruik het om stiekem spam-e-mails te verzenden
  • Steel uw gegevens zoals een mailinglijst of creditcardinformatie
  • Uw site toevoegen aan een botnet dat ze later kunnen gebruiken

Gelukkig is WordPress een platform dat je een veelheid aan kansen biedt om jezelf te verdedigen. Nadat ik zelf verschillende websites en blogs heb helpen instellen en beheren, wil ik graag enkele van de meest basale dingen die u kunt doen om uw WordPress-site te beveiligen, met u delen.

Hier zijn 10 bruikbare beveiligingstips waar u gebruik van kunt maken.

Beveilig uw WordPress-inlogpagina

Het beschermen van uw inlogpagina kan niet door een specifieke techniek worden uitgevoerd, maar er zijn zeker stappen en gratis beveiligingsplug-ins u kunt nemen om aanvallen te doen die minder snel zullen slagen.

De inlogpagina van uw site is zeker een van de meest kwetsbare pagina's op uw website, dus laten we beginnen met het maken van uw WordPress-site inlogpagina een beetje veiliger.

1. Kies een goede administrator-gebruikersnaam

Gebruik ongebruikelijke gebruikersnamen. Voorheen moest u met WordPress beginnen met een standaard admin-gebruikersnaam, maar dat is niet meer zo. Toch gebruiken de meeste nieuwe webbeheerders de standaardgebruikersnaam en moeten ze hun gebruikersnaam wijzigen. Je kunt gebruiken Admin Renamer Extended om uw admin-gebruikersnaam te wijzigen.

Brute dwingende inlogpagina's is een van de meest voorkomende vorm van webaanvallen waarmee uw website waarschijnlijk te maken krijgt. Als u een gemakkelijk te raden wachtwoord of gebruikersnaam hebt, zal uw website vrijwel zeker niet alleen een doelwit zijn, maar uiteindelijk ook een slachtoffer. De ervaring leert dat de meeste hackpogingen van de site proberen in te loggen met drie hoofdkeuzes van gebruikersnamen. De eerste twee zijn altijd 'admin' of 'administrator', terwijl de derde meestal op uw domeinnaam is gebaseerd.

Als uw site bijvoorbeeld crazymonkey33.com is, probeert de hacker mogelijk in te loggen met 'crazymonkey33'.

Geen goed idee.

2. Zorg ervoor dat u een sterk wachtwoord gebruikt

Inmiddels zou je waarschijnlijk denken dat mensen het zouden weten om sterke, complexe wachtwoorden te gebruiken om hun account te beschermen, maar er zijn nog steeds velen die denken dat 'wachtwoord' een geweldig wachtwoord is.

Splash-gegevens een lijst samengesteld van vaak gebruikte wachtwoorden in 2018. Wachtwoord per rang in termen van gebruik.

  1. 123456
  2. wachtwoord
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. zonneschijn
  9. QWERTY
  10. iloveyou

Als u een van die wachtwoorden gebruikt en uw website helemaal geen verkeer ontvangt, zal uw website vrijwel zeker vroeg of laat worden verwijderd.

Een sterk wachtwoord bevat een combinatie van:

  • Hoofdletters en kleine letters met hoofdletters
  • Alfanumeriek zijn (AZ en az)
  • Voeg een speciaal teken toe (!, @, #, $, Enz.)
  • Ten minste 8-tekens in de lengte

Hoe willekeuriger je wachtwoord is, hoe veiliger het zal zijn. Probeer deze willekeurige wachtwoordgenerator als u problemen ondervindt om er een te maken. https://passwordsgenerator.net/

3. Implementeer een reCaptcha

Muur bots af van uw WP-blog.

reCaptcha is ontworpen om geautomatiseerde tools te stoppen van het werken op een site. Natuurlijk, gezien de complexiteit van hacktools vandaag de dag, deze kunnen vrij gemakkelijk worden omzeild, maar er is tenminste die extra beveiligingslaag.

Er zijn een aantal reCaptcha-plug-ins u kunt gebruiken met uw installatie die vrijwel uit de doos zal werken.

4. Gebruik tweefactorauthenticatie (2FA)

2FA is een verificatiemethode waarvoor een verificatie vereist is bij uw aanmelding. Nadat u zich bijvoorbeeld hebt aangemeld met uw gebruikersnaam en wachtwoord, kan het systeem een ​​sms verzenden naar uw mobiele telefoon of u e-mailen met een code die u moet invoeren om uw identiteit te verifiëren.

Deze methode van authenticatie biedt een goede bescherming en wordt door veel banken en financiële instellingen tegenwoordig gebruikt. Nogmaals, deze behoefte kan gemakkelijk worden voldaan met een 2FA-plug-in.

Zie hoe miniOrange (een 2FA-plug-in) werkt met WordPress-aanmelding in de volgende video.

T

5. Wijzig de naam van uw aanmeldings-URL

De meeste hackers proberen in te loggen via de standaard WordPress-inlogpagina, die meestal zoiets is

sample.com/wp-admin.

Als u nog een beveiligingslaag wilt toevoegen, wijzigt u de URL van de aanmeldingspagina snel en moeiteloos met een hulpprogramma zoals WPS Verberg Login.

6. Beperk het aantal inlogpogingen

Dit is een ongelooflijk eenvoudige techniek om brute force-aanvallen op je inlogpagina in hun tracks te stoppen. Een brute force-aanval werkt door te proberen je gebruikersnaam en wachtwoord goed te krijgen door meerdere combinaties keer op keer te proberen.

Als het specifieke IP-adres waarmee de aanval wordt gepleegd, wordt bijgehouden, kunt u de herhaalde brute forcing-pogingen blokkeren en uw site beveiligen. Dit is ook de reden waarom wereldwijde DDOS-aanvallen plaatsvinden met meerdere IP-adressen met verschillende aanvallen, om hostingdiensten en website-beveiliging te weren.

Inloggen LockDown en Inloggen Security Solution beide bieden geweldige oplossingen om de inlogpagina's van uw website te beschermen. Ze volgen IP-adressen en beperken het aantal inlogpogingen om uw website te beschermen.

Harden Site Security Wall

We hebben verschillende tactieken besproken bij het beveiligen van uw WordPress-inlogpagina - de bovengenoemde stappen zijn de basisprincipes die u kunt doen. U moet er ook rekening mee houden dat sommige webhosts sommige van deze beveiligingsprocedures aan hun gebruikers opleggen. Er zijn een aantal andere beveiligingsmethoden die u op uw sites kunt implementeren.

7. Bescherm uw wp-admin map

Voeg een extra beveiligingslaag toe aan uw hostdirectory.

De wp-admin-map is het hart van uw WordPress-installatie. Als extra beveiliging moet deze map met een wachtwoord worden beveiligd.

Om dit te doen, moet je inloggen op het configuratiescherm van je hostingaccount. Of je het gebruikt cPanel or Plesk, de optie die u zoekt is 'Wachtwoordbeveiliging directories.

Als alternatief kunt u een map beveiligen met een wachtwoord door uw .htaccess- en .htpasswds-bestanden aan te passen. Een gedetailleerde stapsgewijze handleiding en een codegenerator zijn gratis beschikbaar op Dynamic Drive.

Houd er rekening mee dat uw wp-admin-map met een wachtwoord wordt beveiligd breek openbare AJAX voor WordPress - u moet toestemming geven om ajax via .htaccess te beheren om sitefouten te voorkomen.

8. Gebruik SSL om gegevens te versleutelen

HTTP vs HTTPS-verbinding (bron: Sucuri)

Afgezien van de site zelf, wilt u ook de verbinding tussen u en de server beveiligen en dit is waar SSL binnenkomt om uw communicatie te coderen. Door een gecodeerde verbinding te hebben, kunnen hackers geen gegevens onderscheppen (zoals uw wachtwoord) wanneer u communiceert met uw server.

Afgezien hiervan is het ook een goede gewoonte om SSL nu te implementeren, omdat zoekmachines steeds meer sites bestraffen die ze als 'niet-beveiligd' beschouwen.

Voor individuele bloggers en kleine bedrijven, een gratis, gedeelde SSL - die u meestal bij uw hostingprovider kunt krijgen, Laten we encryptenof CloudFlare - is meestal meer dan goed genoeg. Voor bedrijven die de betaling van klanten verwerken - het is het beste dat u koop een speciaal SSL-certificaat van uw webhost of een certificeringsinstantie (CA).

Lees meer over SSL in ons uitgebreide pakket AZ gids voor SSL.

9. Maak gebruik van een Content Distribution Network (CDN)

Hoewel dit mogelijk niet voorkomt dat uw site wordt gehackt, helpt het wel om kwaadaardige aanvallen daartegen te verminderen. Sommige hackers willen websites naar beneden halen, waardoor ze niet toegankelijk zijn voor het publiek. Een CDN helpt om de klap van een te dempen Distributed Denial of Service aanval op uw site.

Afgezien van dat, helpt het ook je om je site een beetje te versnellen door wat inhoud in de cache op te slaan. Bekijk CloudFlare als een voorbeeld om deze optie te verkennen. CloudFlare biedt CDN-services op meerlaagse prijsniveaus, zodat u zelfs basisfuncties gratis kunt gebruiken. https://www.cloudflare.com

10. Zorg ervoor dat AL uw software up-to-date is

Ongeacht hoe goed of duur software is, er zullen altijd nieuwe zwakheden in hen zijn die hen open kunnen houden voor misbruik. WordPress is geen uitzondering en het team brengt voortdurend nieuwere versies uit met fixes en updates.

Hackers proberen bijna altijd misbruik te maken van zwakte en een bekende exploit die niet is opgelost, vraagt ​​gewoon om problemen. Dit gaat twee keer zo veel voor plug-ins die vaak worden gemaakt door veel kleinere bedrijven met minder middelen.

Als u plug-ins gebruikt, zorg er dan voor dat updates regelmatig worden vrijgegeven of overweeg om te zoeken populaire plug-ins met vergelijkbare functionaliteit die wordt bijgewerkt.

Dit heb ik echter NIET aanbevolen automatische updates voor WordPress en Plug-ins, vooral als je een live-site beheert. Sommige updates kunnen problemen veroorzaken, intern of in conflict met andere plug-ins en instellingen.

Maak in het ideale geval een testomgeving die overeenkomt met uw live site en test daar de updates. Zodra je zeker weet dat alles goed werkt, kun je de update toepassen op de live site.

Bedieningspanelen zoals Plesk bieden u de mogelijkheid om een ​​sitekloon voor dit doel te maken.

11. Back-up, back-up en back-up!

Ongeacht welke veiligheidsmaatregelen of hoe voorzichtig u bent, ongelukken gebeuren. Bespaar jezelf van een verpletterende liefdesverdriet en honderd uur werk door simpelweg te zorgen dat je over voldoende back-upservices beschikt.

Normaal gesproken zou je webhost op zijn minst een aantal elementaire back-upfuncties bevatten, maar als je paranoïde bent zoals ik, zorg er dan altijd voor dat je je eigen onafhankelijke back-ups uitvoert. Een back-up maken is niet zo eenvoudig als het kopiëren van sommige bestanden, maar houd ook rekening met de informatie in uw database.

Zoek naar een back-upoplossing die beproefd en bewezen is. Zelfs een kleine investering is de moeite waard om te besparen op de tranen in geval van nood. Zoiets als BackupBuddy kan u helpen alles, inclusief uw database, in één keer op te slaan.

12. Uw webhost telt!

Hoewel traditioneel webhostingbedrijven simpelweg ruimte boden om onze websites te hosten, zijn de tijden veranderd. Webhostingproviders, die de urgente behoefte aan verhoogde beveiliging erkennen, zijn geïntensiveerd, waarbij vele diensten met toegevoegde waarde bieden om hun webhosting aan te vullen.

Neem bijvoorbeeld HostGator, een van de meer gevestigde namen in het spel. Naast standaard Cloudflare-functies wordt HostGator (tegen de prijs van $ 10 + / mo) ook geleverd met Spam Free Protection, geautomatiseerde verwijdering van malware, automatische back-ups, domeinprivacy en meer.

Beheerde WordPress hostingprovider, Kinsta, bouw hardwarefirewalls en controleer hun servers actief op malware en DDoS-aanvallen met het op maat gemaakte systeem.

Als dit iets is dat nog niet bij u opgekomen is, moedig ik u aan om te kijken welke beveiligingsfuncties uw host biedt en deze te vergelijken met wat momenteel beschikbaar is.

Voor een uitgebreide lijst kunt u uitchecken WHSR's compilatie van de beste webhosts hier.

Wat nu?

Voordat je de draad op gaat en in paniek op zoek gaat naar een miljoen en een beveiligingsoplossing, moet je diep ademhalen. Zoals met al het andere, heeft iemand je al in paniek geholpen en naar een oplossing gezocht.

Zelfs als u zoveel beveiligingsoplossingen implementeert als u kunt vinden, bent u dat zeker je bent veilig?

Hier is waar zoiets Ninja Security binnenkomen, wat u helpt uw ​​site te onderzoeken op zwakke punten.

Snelle demo: hoe Security Ninja werkt.

Er zijn een paar dwingende redenen om iets als Security Ninja te gebruiken, maar laat me zeggen dat het een tool is die ik zou aanraden om in meerdere fasen van je reis te gebruiken om je site te beveiligen.

Voer het eerst uit op uw website 'zoals het is' - voordat u wijzigingen aanbrengt. Laat de plug-in porren en uw site prikkelen voordat u de resultaten geeft.

Ga vervolgens op basis van die resultaten werken aan het beveiligen van uw site. Beveiliging Ninja voert meer dan 50-tests uit om je verdediging te onderzoeken. Zelfs nadat u uw wijzigingen hebt aangebracht, voert u deze opnieuw uit (en elke keer dat er sitewijzigingen of plug-insupdates zijn) gewoon om uw site te testen.

Als dit een beetje te veel werk voor je lijkt, komt Security Ninja ook met een hele reeks extra modules (pro versie, single site $ 29) die u kunnen helpen bij het oplossen van de gevonden problemen.

Enkele andere belangrijke functies in deze modules zijn:

  • Scan WP-kernbestanden om problematische bestanden te identificeren
  • Herstel gewijzigde bestanden met één klik
  • Herstel gebroken WP auto-updates
  • Verbied 600 miljoen slechte IP's die zijn verzameld van miljoenen aangevallen sites
  • Maak een lijst van automatische updates, geen onderhoud of handmatige werkzaamheden
  • Bescherm inlogformulier tegen brute-force aanvallen

Laatste gedachten

Hoewel dit alles een beetje overdreven lijkt voor de gemiddelde WordPress-gebruiker, kan ik je verzekeren dat alles (en meer) nodig is. Door de wereldwijde statistieken over hacking te negeren en wat al een tijdje niet, laat ik wat persoonlijke informatie delen over een van de meest obscure sites die ik help te beheren.

Oorspronkelijk begonnen als een eenvoudige biografiesite die ik heb gemaakt www.timothyshim.com. Uiteraard was het gewoon iets dat ik opstelde en meestal alleen ging, gewoon als een referentiepunt. Op elke maand-lange periode, deze site die feitelijk doet niets en verzamelt geen gegevens, gezichten over 30-aanvallen - een combinatie van brute force en complexe.

Het enige dat nodig is, is dat een van hen slaagt en ik een werkelijk slechte dag.

Over Timothy Shim

Timothy Shim is een schrijver, redacteur en tech nerd. Begonnen zijn carrière op het gebied van informatietechnologie, vond hij snel zijn weg in druk en heeft sindsdien gewerkt met internationale, regionale en nationale mediatitels zoals ComputerWorld, PC.com, Business Today en The Asian Banker. Zijn expertise ligt op het gebied van technologie, zowel vanuit het oogpunt van de consument als van de onderneming.