22 augustus 2011
Posted in
Artikelen -
Algemeen
In de laatste 1-2 jaar worden er steeds meer websites gehackt en vooral de grote sites van verschillende overheden zijn de afgelopen tijd aan de beurt geweest. Bekende namen zijn 'Anonymous' en 'Lulz' die sites van de CIA hebben gehackt. Maar ook vele eigenaren van Wordpress sites hebben last gehad van low profile hackers. Wat kun je tegen die hackers doen als je ook een wordpress site hebt?
In principe is de beste manier om je wordpress site te beveiligen van hackers je laptop verbinding met een netwerk verbreken. Maar er zijn meerdere manieren om je website veilig te maken.
1. Encrypt je login
Je wachtwoord wordt unencrypted verzonden als je inlogt. Als je op een publiek netwerk zit kunnen hackers eenvoudig je wachtwoord achterhalen via netwerk sniffers. Dus zorg ervoor dat je wachtwoord encrypted is als je inlogt. Een plugin die hier voor zorgt is Chap Secure Login plugin. Deze plugin voegt een random hash aan je wachtwoord en verifieert je login met de CHAP protocol.
2. Gebruik een sterk wachtwoord
Zelfs als je wachtwoord encrypted is met login, als je een eenvoudig te raden wachtwoord gebruikt heb je meer kans om gehackt te worden. Een sterk wachtwoord heeft een combinatie van cijfers, letters en tekens afgewisseld met hoofd en kleine letters.
3. Wijzig je gebruikersnaam
De standaard gebruikersnaam is admin en is natuurlijk bekend bij hackers. Dus het is belangrijk dat je een ander gebruikersnaam instelt. In je wordpress dahsboard ga je naar Gebruikers en open je een nieuwe gebruikers account. Geef deze nieuwe gebruiker Administrator rechten. Log uit en login je account.
Ga weer naar gebruikers en verwijder de admin gebruiker. Als het vraagt om bevestiging selecteer de 'Attribute all posts and links to' en selecteer je nieuwe gebruikersnaam van de dropdown lijst. Hierdoor zullen alle posts naar de nieuwe gebruiker overgezet. To slot bevestig het verwijderen van de account.
4. Defineer gebruikers privilege
Defineer de rollen van andere gebruikers als je deze hebt voor je account. Hierdoor kun je controleren wat gebruikers wel en niet mogen doen. Als je iedereen de administrator rol geeft dan geef je ze teveel macht.
5. Upgrade naar de laatste versie van wordpress en plugins
Het team van Wordpress vernieuwen telkens de veiligheid tegen hackers omdat zij ook slachtoffer zijn van hackers. Als je telkens de laatste versie hebt van wordpress loop je minder risico's op hacking aanvallen.
6. Backup je wordpress database
Zorg dat je regelmatig een backup maakt van je site zodat je bij een hacker aanval de site makkelijk kunt herstellen. De meeste hosting bedrijven kunnen dat voor je doen of je kunt een speciale plugin installeren.
7. verwijder wordpress versie informatie
Zorg dat hackers zo weinig mogelijk informatie kunnen krijgen. Als ze de versie weten via de metatags dan weten de hackers precies welke acties ze moeten doen voor de betreffende versie van wordpress.
Om de versie info te verwijderen ga je naar je wordpress dashboard en dan naar Design -> Theme Editor. Klik op de header file en zoek naar de volgende lijn aan de linkerkant:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
Verwijder deze lijn en klik op 'Update File'. In WP2.6 en hoger zal Wordpress automatisch de versie info integreren in de Wp_head sectie. Om dit te repareren kun je de WP-Security Scan plugin installeren.
8. Beveilig je wp_admin folder
Je wp_admin folder heeft alle belangrijke informatie en is de laatste info die je aan hackers wil geven. Gebruik AskApache Password Protect om de directory te beveiligen met een wachtwoord en geef alleen aan geselecteerde gebruikers toegang.
9. Verberg je plugins folder
Als je naar http://uwwebsite.com/wp-content/plugins gaat kun je een lijst van plugins zien die je gebruikt voor je blog. Zorg dat je deze pagina verbergt door een lege index.html toe te voegen aan de plugin directory. Open je tekst editor. Bewaar de lege pagina als index.html en upload deze file in de wp-content/plugins folder.
10. Voer een regelmatige security scan
Installeer de wp-security-scan plugin en voer regelmatig een scan van je blog instellingen uit. Deze plugin kan je ook helpen om je database prefix te wijzigen van wp_ naar een aangepaste prefix
11. Stop brute force attack
Hackers kunnen eenvoudig je login wachtwoord en credential breken dmv. brute force attack. Om dat te voorkomen kun je de login lockdown plugin installeren. Deze plugin houdt het IP adres en tijdinfo bij van elke mislukte wordpress login poging. Als er een aantal mislukte pogingen ontdekt zijn zal het de login scherm van die gebruiker blokkeren.
We hopen dat bovenstaande tips je kan helpen om je wordpress site te beveiligen. Succes met je site!
