Een veilige website door 10 simpele acties.

Iedereen die een website heeft of beheert kan er mee te maken krijgen. De website is gehackt maar hoe voorkomen we dit nu in de toekomst? Hoe kom je nou tot een veilige website?
Als eerste het slechte nieuws. 100% garantie dat je nooit gehackt zal worden bestaat niet. Jammer, maar het is nou eenmaal zo. Als een hacker echt zijn zinnen heeft gezet op jou site en voldoende kennis en middelen heeft zal dit gaan lukken. Maar we gaan het ze zeker niet makkelijk maken door deze 10 handige acties toe te passen. Sommige acties zullen als open deur voelen maar er zijn zeker nog websites die deze simpele acties niet uitgevoerd hebben.

10 beveiligingsacties voor je veilige website.

 

1. Maak gebruik van de .htaccess file.

Een .htaccess file is niet meer dan een tekstbestand dat je opstaat als een .htaccess file. In dit tekst bestand kun je toegang en rechten beschrijven die men wel of juist niet heeft. Zo is het mogelijk om alleen jou IP adres toegang te geven tot het /admin.php deel van je website. Bijvoorbeeld jij hebt IP 1.2.3.4 als je dan onderstaande code in je .htaccess file zet.

<Limit GET POST PUT>
order deny,allow
deny from all
allow from 1.2.3.4 (door ,2.3.4.5, 3.4.5.6 toe te voegen aan deze regel kan je meerdere adressen opgeven)
</Limit>

Dan kan alleen jij vanaf IP 1.2.3.4 nog erbij. Let wel op dat jou IP niet veranderd anders kan je er niet meer bij.
Weet je niet wat jou IP adres is check dan de website www.watismijnip.nl

Laten we dan ook meteen de code erbij pakken om bepaalde IP adressen te blokkeren.

<Limit GET POST>
order allow,deny
deny from 111.111.111.111
allow from all
</Limit>
Uiteraard het IP 111.111.111.111 vervangen door het juiste IP van degene die je buiten wil sluiten.

Daarnaast kunnen we nog de file wp-config.php beveiligen tegen ongeautoriseerde toegang. In de wp-config.php file staan de gegevens van je database. Deze gegevens geven de hacker informatie over je database. Hiermee help je hen weer om jou site te kunnen hacken. Plaats een .htaccess file om de folder waar je wp-config.php file ook staat. Dit is vaak je root folder genaamd public_html of private_html.

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Misschien was het je al opgevallen. Elke folder kan zijn eigen .htaccess file bevatten. De file in de folder zal de de file in de hoofdfolder overrulen.

2. Hernoem het admin account.

Bij elke WordPress installatie maakt WordPress automatisch een admin account aan met de username admin. Kortom wil iemand jou account misbruiken dan heeft deze persoon 50% van de inlog gegevens al. Verander de username van admin dan ook altijd in iets anders.
Daarnaast maak na installatie meteen een gebruikers account voor jezelf aan. Het posten van content het maken van aanpassingen hoeft niet onder het admin account te gebeuren. Werk standaard vanuit een gebruikers account. Maak alleen gebruik van het admin account als het echt moet. Bijvoorbeeld om plug-ins te installeren of updates uit te voeren.

3. Gebruik een krachtig password.

Maak gebruik van de juiste passwords. Dus niet qwerty123 of 123456 maar ga bijvoorbeeld naar Passwordhttps://strongpasswordgenerator.com/ en genereer een sterk password. Minimaal 8 karakters. Maak gebruik van hoofdletter, kleine letters en leestekens. Kortom iedereen kent de regeltjes rondom passwords wel. Vind je dit nou echt te moeilijk gebruik dan een zin. Bijv. Jeroenlooptindemorgennaarschool. Voor iemand die alleen weet dat je password 32 karakters lang is (ja tel ze maar) en er vanuit gaat dat je alle karakters gebruikt zal met een snelle desktop nog 36 quattuordecillion jaar nodig hebben om dit password te kraken. Check de site http://password-checker.online-domain-tools.com/ om meer over passwords te weten te komen.

4. Update je gebruikte software.

Zorg er altijd voor dat je de laatste versie van de gebruikte software hebt. Niet alleen WordPress zelf maar vooral de plug-ins en thema’s die je gebruikt. Als je een nieuwe plug-in nodig hebt check dan altijd de datum wanneer deze voor het laatst is geüpdatet. Persoonlijk gebruik ik liever geen plug-ins die langer dan 6 maanden geleden voor het laatst zijn geüpdatet. Kijk ook naar het aantal installaties welke een plug-in heeft. Zijn dit er veel dan kan je er vanuit gaan dat het a. een goede plug-in is maar b. ook veel mensen de code bekeken hebben op verdachte/kwaadaardige code of bugs. Ook een veel gebruikte plug-in ligt onder de loep van oa WordFence. Dit is een plug-in om je gehele site te beschermen. Lees hier meer over WordFence. Dat brengt mij meteen bij punt 5.

5. Verwijder alle onnodige plug-ins en thema’s.

Standaard zit het thema Twenty Seventeen in je WordPress installatie en de plug-ins, Hello Dolly en Akismet. Als je deze niet van plan bent te gebruiken verwijder ze dan van je website. Waarschijnlijk zal je deze dan ook vergeten om up to date te houden en dus extra regels code die misbruikt zouden kunnen worden. Mocht je een van deze later toch willen gebruiken zijn ze zo weer terug geïnstalleerd. Dit geldt dan ook voor alle andere ongebruikte plug-ins en thema’s

6. Zet het aantal inlogpogingen vast.

Wat niet standaard in WordPress is ingebakken (jammer) is het vast zetten van een aantal inlogpogingen. Hiermee bedoeld ik dat iemand met 3 of 5 keer een foute inlogpoging dat deze dan voor een x tijd geblokkeerd word. Hiermee voorkom je brute force attacks op je website. Met de plug-in iThemes Security kan je dit instellen onder het “Lokale Brute Kracht Beveiliging” tabblad kan je dit instellen. Binnenkort zal ik een artikel schrijven over deze plug-in.

7. Maak alleen gebruik van officiële plug-ins via de WordPress repository.

Als iemand een plug-in geschreven heeft dan kan hij deze op zijn eigen site aanbieden voor iedereen te downloaden. Maar gebruik liever alleen plug-ins en thema’s die van de officiële WordPress repository worden aangeboden. Zodoende weet je dat je a. Deze plug-in makkelijker kan updaten via de update knop van je website (backend uiteraard) maar ook dat de plug-in/thema voldoet aan de eisen van WordPress. Er kijken gewoon meer ogen naar de plug-ins en thema’s waardoor de slechte vaak door de mand vallen. Net als apps, deze installeer je toch ook alleen vanuit de PlayStore of AppStore.

8. Maak gebruik van child-themes.

Thema’s pas je vaak naar je eigen smaak en wensen aan. Doe je dit vanuit de parent thema files dan is bij iedere update al je werk verloren. Alle css of html/php aanpassingen die je gedaan hebt om de look & feel van jou site naar je wens te maken gaan verloren bij een update. Maak daarom gebruik van een child theme. In de child theme files kan je alle tweaks en aanpassingen doen om de site naar jou wens te maken. Hiermee blijven de files van je parent theme intact en kan je rustig je thema’s updaten zodra dit nodig is. Hoe je een child theme maakt leg ik later nog wel eens uit maar voor nu kan je deze tutorial volgen die ik gevonden heb.

9. Stel de juiste bestandsrechten in.

Files en bestanden binnen je website hebben allemaal bepaalde rechten. Nee dat zeg ik verkeer. Iemand heeft bepaalde rechten op dat bestand verwoord het beter. Laat ik het even uitleggen op een simpele manier.
Stel je bent met een groep van 3 mensen die werken aan meerdere tekstbestanden.

  • Persoon 1 is de eigenaar van bestand 1
  • Persoon 2 is de eigenaar van bestand 2
  • Persoon 3 is de eigenaar van bestand 3

Door alle 3 de personen in 1 groep te plaatsen genaamd “groep1” kan je ook rechten aan andere geven. Bijvoorbeeld alleen leesrechten. Nu zitten alle 3 de personen dus in 1 groep en hebben ze elk hun eigen bestand en mogen ze de andere bestanden lezen. Willen ze nu samenwerken dan geef je ze geen lees rechten maar ook schrijf rechten en kunnen ze dus elkaars bestanden aanpassen.
Computers doen dat door CHMOD (Change Mode) Deze CHMOD werkt met 3 letters en cijfers.

X staat voor Execute (uitvoeren)
W staat voor Write (schrijven)
R staat voor Read (lezen)

En de getallen

0 = Geen toegang
1 = Execute
2 = Write
3 = Write & Execute
4 = Read
5 = Read & Execute
6 = Read & Write
7 = Read & Write & Execute

CHMOD

De afbeelding komt uit de plugin iThemes Security waarom ik later meer zal schrijven.

Nu kan je iemand en groepen en overige dus rechten geven op folders en files. Bijvoorbeeld de folder wp-admin waar gevoelige info in staat die kan je voor jezelf een 7 geven (jij mag dus alles) de groep een 5 (die mogen lezen en uitvoeren) en overige geef je ook een 5 (die mogen dus ook alleen lezen en uitvoeren) en dus komt de CHMOD van wp-admin op 755 uit.

 

 

10. Installeer 2-factor authenticatie

Maak gebruik van 2 weg authenticatie. Hiermee moet men niet alleen een password opgeven als iemand wil inloggen maar ook een 2-factor authenticatietweede manier van authenticatie. Deze manier word steeds populairder. Je kan hiervoor bijvoorbeeld de optie binnen Jetpack by WordPress gebruiken of een andere plug-in. Verweg de meest gebruikte is die van Jetpack ruim 1.000.000 actieve gebruikers.

Tot Slot:
Hopelijk neem je binnenkort eens een uurtje de tijd om deze tips daadwerkelijk om te zetten in acties om je website te beveiligen tegen hackers. Wat ik al aangaf geeft je dit geen 100% garantie dat je site nooit gehackt zal worden maar we moeten het ze zeker niet te gemakkelijk maken. Mocht je ergens niet uitkomen of wil je meer weten neem dan contact met ons op via het contact form.

Succes met de aanpassingen.

Share This