U heeft een website gemaakt of laten maken met WordPress. Daarbij heeft u aangegeven wat u mooi vindt en hoe het er uit moet komen te zien. Er zijn teksten, afbeeldingen en vast ook video’s geplaatst. Alles is in kannen en kruiken en de site gaat live.
De site werkt een poos goed, totdat u ineens een andere afbeelding ziet. Mogelijk een pornografische afbeelding. Of wellicht zijn er teksten geplaatst die helemaal niet van u zijn. Dat wordt overigens defacing genoemd. Maar nog veel kwalijker is dat er wellicht een achterdeur geplaatst is. Een achterdeur waarmee uw website deelneemt aan een kinderporno netwerk waarbij er stiekem verboden materiaal op uw website wordt geplaatst. En zonder dat u het merkt!
Veiligheid is vaak één van de vergeten onderwerpen bij het starten van een website. De focus ligt immers op dat wat u met de website wilt bereiken. Dreigingen en risico’s zoals hierboven beschreven komen niet aan bod. En de websitebouwer denkt er helaas vaak ook niet aan. Maar er is ook goed nieuws! U bent nu hier. Welkom, want in deze blog vertellen wij vertellen over het beveiligen van uw WordPress website.
We gaan stap voor stap u meenemen in het inzetten van de veiligheidsmaatregelen op WordPress. Daarbij gaan we van relatief eenvoudig, tot relatief moeilijk. Uiteraard kunnen wij u ook ondersteuning bieden bij onderstaande maatregelen.
Even een waarschuwing
Voer adviezen in deze post alleen uit wanneer u begrijpt wat u doet. In principe kan er niks stuk gaan, en toch is voorzichtigheid geboden. Wanneer u bijvoorbeeld met de plugin Wordfence de configuraties voor 2FA of reCAPTCHA incorrect instelt, dan kan het zijn dat u niet meer kunt inloggen. En hoewel dat prima te herstellen is, is het wel vervelend als het u overkomt. Wij kunnen niet verantwoordelijk gesteld worden voor schade naar aanleiding van het toepassen van adviezen in de blog.
Eerst WordPress configureren
Niveau: eenvoudig
Een goede beveiliging begint in de eerste plaats met goed configureren. Het instellen van uw WordPress website kan via www.uwdomein.nl/wp-admin/. Log vervolgens met uw beheeraccount in, en dan zit u het beheerpaneel van WordPress.
Site Health
Het gereedschap “Tools -> Site Health” is de plek waar ontdekt kan worden hoe de website er voor staat. “Security” en “Performance” zijn de twee standaard onderwerpen. Andere plugins kunnen andere tests toevoegen, zoals Search Engine Optimization (SEO). Het doel is uiteraard dat hier “Good” komt te staan. We komen aan het aan het eind van de blog hier nog even op terug.
General
Bij “Settings -> General” zijn er twee belangrijke instellingen te vinden. Het gaat hierbij om “Membership” en “New User Default Role“. Wanneer u niet wilt dat mensen zichzelf kunnen registreren, zorg er dan voor dat de instelling “Membership” niet aangevinkt is. Maar wilt u dat juist wel, vink het aan. Maar zorg er dan vervolgens voor dat “New User Default Role” op de optie “Subscriber” staat. Standaard kan een account met dergelijke rechten niet zo veel. En zo voorkomt u dat iemand inhoud op uw website kan aanpassen, terwijl dat niet de bedoeling is.
Bij “Settings -> Discussions” zijn er twee andere belangrijke instellingen te vinden. Het is om spam en DDoS-aanvallen op de website te voorkomen goed om de opties “Attempt to notify any blogs linked to from the post” en “Allow link notifications from other blogs (pingbacks and trackbacks) on new posts” uit te zetten.
Privacy
En als laatste willen we even stilstaan bij de optie “Settings -> Privacy“. Hoewel niet helemaal een beveiligingsinstelling, is het wel ontzettend belangrijk om een juiste privacy policy op uw website te hebben. Wanneer u gegevens verwerkt van uw klanten of medewerkers bent u waarschijnlijk al snel gebonden aan het hebben van een dergelijke pagina. WordPress kan u daarbij helpen, maar het kan ook geen kwaad om zo nodig juridisch advies hierover in te winnen.
Backup
Een backup maken is belangrijk voor het herstellen van uw website bij onvoorziene omstandigheden. Denk hierbij aan upgrade dat fout is gegaan, of dat uw website gehackt is.
Verschillende niveau’s
Een backup kan op verschillende niveau’s gemaakt worden. Het laagste niveau is in WordPress zelf. Het middelste niveau is via een beheerpaneel zoals Plesk, cPanel en DirectAdmin. En op hoogste niveau is het de beheerpaneel van uw hostingpartij. En die laatste heeft helaas niet altijd die optie, maar dat is wel helaas de beste plek. Wanneer u bijvoorbeeld de dienst AWS LightSail afneemt, dan kunt u snapshots maken van uw server.
Wij vinden principieel dat een backup op een zo hoog mogelijk niveau dient te gebeuren. En dat daarbij de backup gescheiden is van de server waarop de website draait. Dit principe is standaard bij snapshots van AWS LightSail gehoste websites. Maar het is niet standaard bij de backups vanuit uw beheerpaneel of WordPress zelf.
Backup inrichten
Het is daarom belangrijk dat u goed kennis neemt van de backup procedures voor uw beheerpaneel. Kies daarbij ook voor remote storage (opslag). Voor Plesk, cPanel en DirectAdmin is dat FTP. Bij enkele producten kan er bij premium voor andere opslaglocaties gekozen worden. Maar in het geval van FTP, kies dan in ieder geval niet de server van uw website. Want dat is niet “buiten de deur”. Klik op de links voor meer informatie voor Plesk, cPanel en DirectAdmin.
Als op het niveau van uw hostingpartij en beheerpaneel niet mogelijk is om een backup te maken kies dan voor backups in WordPress zelf. We gaan er even vanuit dat het niet anders kan dat op het niveau van WordPress. Nadeel van deze aanvliegroute is dat bij het herstellen van uw website u eerst WordPress opnieuw moet installeren. Daarna zal de plugin opnieuw geïnstalleerd moeten worden, waarna u de backup kunt terugzetten.
UpdraftPlus
De plugin betreft “UpdraftPlus” (link). De belangrijkste aandachtspunten betreffen de backup scheduling (planning), en remote storage (opslag). Ga daarom naar “Settings” en kies bij “Files backup schedule” en “Database backup schedule” voor de optie “Daily”. Dit betekent dat er dagelijks een backup gemaakt zal worden. En ons advies is om bij “retain this many scheduled backups” tenminste 7 backups te bewaren.
Kies vervolgens een van de remote storage oplossingen naar uw voorkeur. Dit kan een consumenten optie zoals Google Drive, Microsoft OneDrive, en DropBox zijn. Maar ook professionele Cloudopslag zoals AWS S3, Microsoft Azure en Google Cloud. Laat alles op standaard staan en kies voor een email-notificatie. Volg ook de instructies om uw externe backup locatie te autoriseren voor UpdraftPlus.
En hiermee is de backup ingesteld.
Op de volgende pagina gaan we verder met het beveiligen van WordPress met behulp van plugins.