Een goed beveiligde website, heb je daar wel eens bij stilgestaan? Als ik moet gokken, waarschijnlijk niet. Want je bent maar een van de miljoenen websites die online staan, wie zou jou nou willen hacken?
Helaas komt het vaker voor dan je denkt en kan het grote schade aanrichten aan je website zelf maar ook aan je imago.
Waar ik wel vrij zeker van ben is dat je vast wel eens bewust of onbewust tegen een gehackte website bent aangelopen. Een website waarbij honderden meldingen bleven komen met “je hebt gewonnen, klik hier” tot websites die redirecten naar de meest bizarre websites en 18+ content websites.
Ook wij hebben wel eens te maken gehad met een gehackte website en dat is geen pretje. Als je namelijk niet kan vaststellen op welk moment je website geïnfecteerd is geraakt kun je geen schone back-up terugplaatsen. Je hele website doorlopen wanneer deze is gehackt is echt een helse klus die ik mij en ook jou in de toekomst wil besparen.
Daarom hebben wij 6 goede tips waarmee je jouw website kan beschermen tegen hackers, malware, kwaadwillende scriptjes en meer. Sterker nog met deze 6 tips zorg je voor een zo goed beveiligde website dan je 99% van de hackers letterlijk in de kou voor de deur laat staan.
1 SSL certificaat voor de basisbeveiliging
SSL staat voor Secure Socket Layer. Zonder SSL verbinding wordt je data niet versleuteld (encryptie). Hierdoor kan je data door kwaadwillende uitgelezen worden.
Door het gebruik van een SSL certificaat creëer je een versleutelde verbinding waarmee de data niet meer uitgelezen kan worden tijdens het versturen hiervan. Zo voorkom je dat bijvoorbeeld een simpel contactformulier al beveiligd is, je wilt immers niet dat je klanten data in verkeerde handen terecht komt.
Voor een webshop is het zelfs nog belangrijker, denk maar eens aan de gegevens die je meestal invult zoals je telefoonnummer en adresgegevens. Ik moet er niet aan denken dat iemand dit ongevraagd kan inzien zonder goede reden.
Daarnaast is het volgens de AVG ook een cruciaal onderdeel voor je beveiliging.
Of er een geldig SSL certificaat is geïnstalleerd kun je herkennen aan het slotje in de adresbalk van je browser. Heb je nog geen SSL certificaat? Vraag deze vandaag nog aan! De meeste hostingproviders bieden namelijk ook een Let’s Encrypt certificaat aan wat voor vrijwel iedereen gratis te activeren is.
2 Houd plugins up to date zeker bij WordPress
Een van de meest bekende redenen waardoor er een website gehackt wordt is verouderde plugins.
WordPress is een geweldig CMS wat wij ook gebruiken, maar wanneer het niet onderhouden wordt verouderen je plugins. Dit maakt ze kwetsbaar en aantrekkelijk voor hackers.
updates voor plugins komen met regelmaat, vaak zelfs wekelijks. Dit heeft meerdere redenen:
- Er is een nieuwe optie toegevoegd aan de plugin.
- Wanneer een plugin niet goed werkt of samenwerkt met andere plugins worden er oplossingen gerealiseerd die je via een update kan doorvoeren.
- Belangrijkste: veel updates dichten beveiligingslekken die recent zijn ontdekt.
Belangrijk om op te letten wanneer je nieuwe plugins installeert of wilt gaan gebruiken. Kijk hierbij altijd naar wanneer de plugin voor het laatst is geüpdatet en of deze nog goed werkt met de laatste WordPress versie. Is dit niet het geval? Zoek dan een alternatief, anders creëer je achterdeurtjes voor hackers.
3 Maak gebruik van betrouwbare hosting
Goede beveiliging is niet altijd goedkoop. Sterker nog, bij de goedkoopste hostingpartijen zie ik vaak de meeste ellende. Wij hebben daarom bewust gekozen voor Cloudways, een hostingbedrijf met een goede reputatie, een sterke beveiliging en eigen servers.
In tegenstelling tot een goedkope hostingpartij waarbij je website vaak met honderden tot duizenden websites op een server komt te staan kun je hier zelf kiezen hoeveel websites je op een server plaatst. Hierdoor is er ook geen kans meer dat je website geïnfecteerd raakt door een vreemde website.
Daarnaast is bij Cloudways de performance ook enorm, wat je website ook weer ten goede komt voor je bezoekers.
4 Sterke wachtwoorden en gebruikersnamen
Het eerste wat ik altijd doe wanneer ik een redesign voor een bestaande website maak is het controleren van de inlog. Bij veel WordPress websites is dit standaard nog altijd /wp-admin.
Daarnaast is de gebruikersnaam dan ook vaak nog admin en een wachtwoord wat uit slechts een woord bestaat en een aantal cijfers.
Het eerste wat een hacker, of een script doet is het controleren van de inloglink. De eerste drempel hebben ze dus al overwonnen. De tweede drempel is de gebruikersnaam, standaard (je ziet het al aankomen) admin. Voor de hacker gaat het voor de wind, want 2 van de 3 hebben ze in een keer goed. Alleen het wachtwoord nog, maar ook dat is met een programma zo gevonden.
Daarom doen wij, en dat raad ik jou ook aan altijd de inlog link veranderen, de gebruikersnaam aanpassen en maken we een sterk wachtwoord. Een sterk wachtwoord bestaat uit diverse karakters, hoofdletters, kleine letters, speciale karakters en cijfers.
5 Plugin voor beveiliging
Een goede plugin voor je WordPress beveiliging is altijd aan te raden. Ja, het meeste moet al geregeld zijn bij je hosting, maar een dubbele beveiliging kan nooit kwaad.
De plugin die wij gebruiken heet Defender Pro. Deze krijg je ook bij een WPMUdev abonnement.
Het is een fantastische plugin waar je zowel kan zien wie er is ingelogd en op welke pagina deze persoon is geweest. Ideaal als je het idee hebt dat iemand ongewenst je website is binnengedrongen.
Er zit een firewall bij inbegrepen waar je alles kan instellen naar wens. Bijvoorbeeld bij 3 inlogpogingen binnen 5 minuten kun je aangeven dat het ip adres van die persoon geblokkeerd wordt (tijdelijk zolang jij wilt of permanent). Dit kun je ook doen voor links die bezocht worden waar niemand toestemming tot heeft.
Daarnaast zijn er nog tal van optimalisaties die je kunt doorvoeren om je website verder te beveiligen zoals:
- XML-RPC uitschakelen
- Inlogduur Beheren
- De bestandsbewerker uitschakelen
- Securityheaders
- two factor authentication op je eigen website
- Malwarescan
- Pas de url van je login pagina aan
6 Back-ups
Voorzorgsmaatregelen zijn nooit verkeerd. Zorg voor een goed en effectief back-up beleid. Vaak wordt dit aangeboden bij je hosting of kun je dit zelf erbij kopen.
Voor al onze klanten maken wij dagelijks een back-up en deze blijven 30 dagen bewaard. Zo kunnen we in geval van een hack of wanneer de website onherstelbaar zou crashen toch snel de website weer online hebben.
De 6 tips voor een veiligere website samengevat
Dus is jouw website al optimaal beveiligd of ga je er nu juist mee aan de slag? Hieronder herhalen we de 6 tips nog een keer kort.
Tip 1: Zorg dat je website voorzien is van een geldig SSL certificaat.
Tip 2: Zorg er altijd voor dat je website up to date is, controleer dit minimaal 1x per maand.
Tip 3: Maak gebruik van een betrouwbare hosting zoals Cloudways of Vimexx.
Tip 4: Gebruik sterke gebruikersnamen en wachtwoorden. Zorg dat je inlog url niet standaard wp-admin is.
Tip 5: Zorg voor een goede plugin voor je beveiliging zoals Defender Pro.
Tip 6: Maak altijd back-ups als voorzorgsmaatregel.
Succes om van jouw website een goed beveiligde website te maken!
