De beste manieren om de websites van je klanten veiliger te maken

De beste manieren om de websites van je klanten veiliger te maken

Afgelopen jaar is het twee keer gebeurd: een prospect die bij ons aanklopt om zijn site veiliger te maken.

Deze twee ondernemers hadden een WordPress website die gehackt was, waarbij ze geen idee hadden wat de oorzaak was.

Dit heeft mij doen realiseren hoe somber het gesteld is met de veiligheid van de meeste WordPress websites…en dat de meeste bedrijven geen idee hebben hoe groot de gevolgen kunnen zijn wanneer hun website gehackt wordt.

Veilige websites voor je klanten

Laat ik simpel beginnen: een veilige website start met het hebben van een beveiliging.

Aangezien dagelijks meer dan 30.000 websites worden gehackt(!), is het goed om na te gaan welke onderdelen je kunt beveiligen – en hoe je dit op een simpele wijze kunt uitvoeren.

Blokkeer de login pagina

Een van de meest gebruikte manieren om een website te hacken is via de WordPress login. Er zijn een aantal manieren om dit te voorkomen:

1. Limiteer de toegang van de login pagina

De beste manier om een login aanval te voorkomen is natuurlijk om de gehele login pagina onbereikbaar te maken voor ongeautoriseerde gebruikers.  

Dit vergt wat codering in je .htaccess file (wanneer je Apache gebruikt) en je config file (wanneer je Nginx gebruikt). De meeste hostingbedrijven geven de mogelijkheid om dit te doen.

De meest veilige methode is om de toegang tot je wp-admin directory te limiteren voor specifieke IP-adressen.

Deze methode gebruik je uiteraard alleen wanneer je weet welke IP adressen toegang nodig hebben, waarbij deze IP adressen op termijn ook niet zullen veranderen.

Gebruik de code onder als voorbeeld om IP adressen te blokkeren.

The code also includes a section that unblocks certain files that may be needed by some of your plugins. If you’re using an Apache server, put this code in a .htaccess file within your wp-admin directory.

If you’re on Nginx, use the following code and replace x.x.x.x and y.y.y.y with your own IP addresses:

2. Bescherm je wachtwoord op server niveau

Er is ook een andere methode waarmee je toegang kunt blokkeren, waarbij je geen zorgen hebt wanneer jouw IP adres verandert.

Dit doe je door je wachtwoord te beschermen op server niveau. Dit betekent dat er nog een extra login niveau wordt ingesteld.

 

You will want to start with generating a .htpasswd file and uploading it to your server; preferably not in a publicly accessible directory. Once you’ve generated that file and uploaded it to your server, and you’re using Apache, go ahead and add the following code to the .htaccess file in your wp-admin directory (or create the file if it doesn’t already exist). Make sure to update the path in the AuthUserFile line to match the location of the .htpasswd file you created.

If your host allows, you can pair this basic authentication method with fail2ban for Apache or Nginx and create rules where an abusive IP address gets added to your server’s firewall rules and is blocked for a specified period of time.

Plugins die je kunt gebruiken voor extra login beveiliging:

Wordfence – Deze plugin functioneert als een additionele firewall voor je WordPress site.  Er zijn meerdere login beveiliging opties zoals het verplichten van sterke wachtwoorden, of het blokkeren van inlog bij herhaaldelijk invoeren van verkeerde login gegevens.

Extra tip: stel de gebruikersnaam “admin” in, waarbij IP adressen direct worden geblokkeerd wanneer ze dit gebruiken. Dit wordt namelijk veelvuldig gebruikt als gebruikersnaam door hackers.

Login Lockdown – Deze plugin blokkeert toegang tot de CMS na een x aantal verkeerde login pogingen.

3. Gebruik 2-staps verificatie

Een goede manier om een hack te voorkomen is het gebruik van 2-staps verificatie. Dit betekent dat een gebruiker een wachtwoord moet geven, inclusief een autorisatiecode die gestuurd wordt in een sms.

Hier kun je meerdere plugins voor gebruiken: Clef, Google Authenticator, and Duo Two-Factor Authentication.

Limiteer het # plugins

Hoe verleidelijk het ook is om zoveel mogelijk plugins te installeren, het kan heel snel leiden tot veiligheidsproblemen.

Een mooi voorbeeld is het fiasco van de plugin ‘Rev Slider’. Deze plugin werd standaard geleverd bij een aantal populaire WordPress thema’s, maar het heeft geresulteerd in meer dan 100.000 site hacks…

Tips:

  • Elimineer ongebruikte plug-ins en thema’s.
  • Onderzoek het potentiële gevaar van elke plugin VOORDAT je deze installeert.
  • Gebruik geen plugin wanneer je het zelf ook kunt uitvoeren. Don’t use a plugin when you can do it yourself. According to Brian LaFrance
  • Update ZO VAAK MOGELIJK! Maandelijks is niet genoeg. Elke verouderde versie is een potentieel gevaar voor de website van je klant.
  • Heb een backup plan en zorg ervoor dat de backups in een andere omgeving worden opgeslagen.
  • Zoek hulp van een professionele organisatie als WPuppy ;)

A good way to approach choosing a plugin vs. writing code for functionality is that a plugin should be used if functionality needs to remain identical even if a theme/design changes. If functionality is set up to fit in with a specific theme, that should be something built into the theme and not through using a plugin.

Automatiseer je update proces

Vrijwel alle WordPress veiligheidsissues worden veroorzaakt door ‘verouderde’ plugins of thema’s.

Wil jij ervoor zorgen dat de websites en plugins van je klanten ALTIJD tijdig een update krijgen, dan kun je het beste dit proces automatiseren en/of uitbesteden. WPuppy is voor veel WordPress developers de ideale oplossing omdat het

  1. a) backups en screenshots inzet,
  2. b) altijd op tijd is,
  3. c) duidelijk communiceert wanneer welke update is gedaan, waarbij we ook de mogelijkheid bieden om dit richting je klant te communiceren.

Is WPuppy iets voor jou? Lees hier al onze mogelijkheden.

Statistieken