Hoe houd je hackers buiten je Wordpress dashboard?

Hoe houd je hackers buiten je Wordpress dashboard?

Wordpress biedt websitebeheerders een speciaal dashboard, waarbinnen zij hun website kunnen bewerken. Denk aan het plaatsen van nieuwe berichten, het veranderen van de template op de website, enzovoorts. Niet alleen voor beheerders van een website is dit dashboard een interessante omgeving. Ook hebbers hebben baat bij toegang tot dit deel van de website! Zij kunnen kwaadaardige linkjes op je website plaatsen, ze kunnen content verwijderen, privacygevoelige informatie over klanten stelen, enzovoorts. Reden genoeg om voor een goede beveiliging van je Wordpress dashboard te zorgen.

In dit artikel vind je diverse tips, die je helpen ongewenste bezoekers buiten de deur te houden. Voordat we aan de slag gaan, is het belangrijk om te weten dat aanvallen vaak middels geautomatiseerde scripts worden uitgevoerd. Dit maakt het relatief eenvoudig om je te beschermen tegen aanvallen.



Start met de basis: een sterk wachtwoord

Een eerste stap die je kunt zetten, is het optimaliseren van je wachtwoord. Zorg voor een sterk wachtwoord, met minstens een cijfer, speciaal teken en een hoofdletter. Mocht je meerdere websites beheren, zorg dan altijd voor verschillende wachtwoorden. Mogelijk linken de websites naar elkaar, waardoor een hacker ook in kan loggen op je andere websites als het wachtwoord achterhaald is. Het kan verstandig zijn om het wachtwoord eens in de zoveel maanden te veranderen.

Tip: zorg er ook voor dat andere gebruikers met beheerdersrechten over een sterk wachtwoord beschikken. Je wilt voorkomen dat een hacker via andermans account toegang krijgt tot het dashboard van Wordpress.

Kies voor een afwijkende gebruikersnaam

Standaard geeft Wordpress de gebruikersnaam “admin” aan het belangrijkste account van de website. Verstandiger is het om voor een afwijkende gebruikersnaam te kiezen. Bij een zogenaamde brute force attack proberen hackers een groot aantal combinaties van wachtwoorden met gebruikersnaam “admin”. Door de gebruikersnaam te veranderen, neemt de kans op een succesvolle aanval sterk af. Zorg dat de schermnaam, de naam die vaak bij artikelen op de website te zien is, afwijkt van de gebruikersnaam. Zou je dit niet doen, dan zou een hacker zonder veel moeite achter je gebruikersnaam komen.

Verklein het aantal inlogpogingen

Normaliter heb je de mogelijkheid om een oneindig aantal inlogpogingen uit te voeren. Handig, wanneer je regelmatig je wachtwoord vergeet. Veilig is het echter niet! Een hacker zou een script kunnen laten draaien, die een groot aantal combinaties van wachtwoorden en gebruikersnamen invoert. We spreken hier van een brute force attack, die eerder in dit artikel al geïntroduceerd werd. Standaard installeert Wordpress tegenwoordig een plug-in, die het mogelijk maakt om het aantal inlogpogingen te limiteren.

Installeer een plug-in voor 2FA

2FA is een afkorting voor “Two Factor Authentication”, wat is steeds meer aan populariteit wint. Het idee achter het gebruik van 2FA is dat een hacker aan een wachtwoord alleen niet voldoende heeft, om toegang te krijgen tot je systeem. Nadat het wachtwoord is ingevoerd, dien je een tweede toegangspoort te passeren. Vaak doe je dit, door een code in een app op je telefoon in te voeren. Een hacker heeft in de basis naast je wachtwoord dus ook je telefoon nodig om binnen te komen. Dit geldt niet, wanneer een hacker ook in je Google-account kan komen met datzelfde wachtwoord (mits je Google Authenticator gebruikt).

Wordpress biedt verschillende apps, waarmee je 2FA op je website in kunt stellen. Dit is heel eenvoudig en verbetert de bescherming van je website aanzienlijk.

Verberg de inlogpagina voor je Wordpress dashboard

Om bij je dashboard te komen, voeg je in veel gevallen “/wp-admin” of “/wp-login.php” achter de URL van je website. Geautomatiseerde scripts zoeken naar deze pagina’s op je server, om vervolgens een aanval uit te voeren. Wordpress biedt de mogelijkheid om deze pagina te verbergen, door de pagina een andere naam te geven. Het betekent dat ook de URL naar deze pagina verandert.

Op internet vind je handige instructies voor het aanpassen van de naam van deze pagina. Je kunt er ook voor kiezen, om hier een plug-in voor te installeren. Volg de instructies nauw op, om te voorkomen dat de pagina straks helemaal niet meer te bereiken is.

Kijk naar de bescherming van je server

Tot slot is het verstandig om voor het installeren van Wordpress te kijken naar de bescherming die je host biedt. Wat doet de webhostingpartij bijvoorbeeld tegen brute force attacks, hoe voorkomt een webhostingpartij dat je website op andere manieren wordt aangevallen? Enzovoorts. Het vergelijken van webhostingpakketten maakt dat je een veilige en betrouwbare webhoster zal vinden.


Facebook logo Twitter logo Google Plus logo

Reageer op dit artikel



© 2015 Joepioo, het auteursrecht van dit artikel ligt bij de auteur. Zonder toestemming van de auteur is vermenigvuldiging verboden.