WordPress is op zich behoorlijk veilig, mits je de software en alle plugins goed up-to-date houdt. Helaas gaat het daar vaak mis, met als gevolg dat je website gehackt kan worden. In dit artikel vertel ik hoe je je WordPress website goed beveiligt, maar ook hoe je deze weer schoon krijgt als deze al gehackt is en malware bevat.
In dit artikel lees je:
- Dat je een veilige gebruikersnaam (dus niet admin) en een sterk wachtwoord moet gebruiken
- Dat je plugins en themes zorgvuldig moet kiezen en deze – net als WordPress zelf – up to date moet houden
- Dat je de gratis Wordfence plugin moet installeren als je een veilige WordPress website wilt
- Welke opties je bij Wordfence moet instellen
- Dat je regelmatig een backup moet maken van je site zodat je die kunt terugzetten bij problemen
- Dat je natuurlijk ook een goede virusscanner op je computer moet installeren
- Dat je als FTP programma beter WinSCP dan FileZilla kunt gebruiken
- Welke stappen je moet nemen als je site al gehackt is
- Dat je Bob ook kunt inhuren om je gehackte WordPress site te repareren
Gebruik een veilige gebruikersnaam en een sterk wachtwoord
Het beveiligen van je WordPress website begint met een veilige gebruikersnaam en een sterk wachtwoord. Gebruik in elk geval niet de standaard gebruikersnaam “admin”, en zeker niet een standaard wachtwoord als “000000”, “123456”, je geboortedatum, de naam van je partner / kind / huisdier / straat enzovoorts. Daarnaast komt het nog regelmatig voor dat het wachtwoord hetzelfde is als de gebruikersnaam, dat is uiteraard ook een erg slecht idee (ja, ook als je de klinkers vervangt door cijfers of tekens zoals de @ in plaats van de a of de 1 in plaats van een i).
Sinds enige tijd genereert WordPress automatisch een sterk wachtwoord voor nieuwe gebruikers. Dit wachtwoord bestaat uit een flink aantal tekens en bevat hoofdletters en kleine letters, cijfers en speciale symbolen zoals * of /. Dit soort wachtwoorden zijn vrijwel onmogelijk te onthouden, maar daardoor ook vrijwel onmogelijk te raden…
Je kunt dit wachtwoord weliswaar aanpassen naar een eigen wachtwoord, maar waarom zou je? Als je inlogt op je WordPress website kun je er namelijk voor kiezen de gebruikersnaam en het wachtwoord te onthouden, en de volgende keer dat je inlogt op dezelfde computer wordt dit automatisch voor je ingevuld.
Daarnaast raad ik ook altijd aan een extra gebruiker aan te maken met “schrijver” als gebruikersrol. Deze gebruiker stel je dan in als auteur voor alle artikelen en berichten. De auteur van berichten is namelijk het gemakkelijkst te achterhalen voor hackers, maar aangezien een gebruiker met de rol van schrijver vrijwel geen rechten heeft kunnen ze met dit account geen kwaad doen op je site.
Gebruik 2 staps beveiliging met Google Authenticator
Als je het echt goed wilt doen kun je de gratis plugin Google Authenticator installeren op je WordPress site. Hiermee krijg je 2 staps beveiliging; naast je wachtwoord moet je iedere keer dat je wilt inloggen ook een unieke code invoeren die je op je smartphone ontvangt.
Kies plugins en themes zorgvuldig en houd deze – en WordPress zelf – up to date
Zoals je weet zijn er duizenden plugins beschikbaar waarmee je functionaliteiten kunt toevoegen aan je WordPress website. Niet elke plugin is echter even betrouwbaar.
Hiernaast zie je bijvoorbeeld 2 plugins. De linker plugin, WordFence security, is actief op meer dan 1 miljoen websites en wordt door meer dan 2500 gebruikers beoordeeld met een gemiddelde van 5 sterren.
Verder zie je dat hij slechts 2 dagen geleden nog is bijgewerkt en dat hij compatible is met de huidige versie van WordPress. Als je dat soort cijfers ziet kun je er gerust van uit gaan dat het een betrouwbare plugin is.
De rechter plugin is echter slechts actief op 1.000 websites, heeft geen beoordelingen en is 2 jaar geleden voor het laatst bijgewerkt. Dit soort plugins kun je beter vermijden. In de meeste gevallen heeft de maker van zo’n plugin geen kwaad in zin, maar als een plugin al zo lang geen update meer heeft gehad bestaat de kans dat de code niet meer voldoet aan de huidige veiligheidsnormen. Je website heeft dan als het ware een oude versleten deur waardoor inbrekers gemakkelijk naar binnen kunnen op je website.
Tot slot kijk ik ook altijd even op het support forum van een plugin om te kijken in hoeverre gebruikers geholpen worden met problemen.
Over het algemeen kun je er wel van uitgaan dat de plugins en themes op WordPress.org veilig zijn, zeker als je bovenstaande tips opvolgt. Er zijn echter ook nog tienduizenden (gratis) themes en plugins op internet te vinden die niet op WordPress.org staan, en het spreekt voor zich dat je hier extra voorzichtig mee moet zijn.
Kies je plugins en themes dus zorgvuldig, en houd ze ook up to date. Zoals ik hierboven al beschreef worden goede plugins regelmatig geupdate, en dat geldt ook voor WordPress zelf. Niet zelden zijn deze updates bedoeld om een beveiligingslek te dichten, dus het is zeer belangrijk om deze snel te updaten.
Als je inlogt in de WordPress omgeving zie je vanzelf of er updates beschikbaar zijn doordat er een cijfer achter “plugins” staat.
Installeer WordFence
De meeste website eigenaren loggen echter niet dagelijks in op hun website, en een hele grote groep website eigenaren logt zelfs vrijwel nooit in. Zij zien dus ook niet of er updates beschikbaar zijn. Alleen dat al is een goede reden om WordFence te installeren; deze plugin stuurt je namelijk automatisch een mailtje als er een update beschikbaar is op je website.
Vanzelfsprekend is dat niet de enige reden om deze plugin te installeren. WordFence is namelijk vooral een uitstekende beveiligingsplugin die je kunt vergelijken met de virusscanner en firewall op je computer. Zo worden hackers en bots automatisch geblokkeerd als ze al eerder een andere website met WordFence hebben aangevallen of als ze te vaak proberen in te loggen met een verkeerd wachtwoord, en daarnaast wordt je site ook dagelijks volledig automatisch gescand op virussen en andere problemen.
WordFence instellen
De belangrijkste opties zijn standaard al ingeschakeld, maar persoonlijk schakel ik ook onderstaande opties altijd nog even in. Je komt bij deze opties door in het WordPress menu te klikken op WordFence (1), vervolgens op options (2) en dan even scrollen naar “Scans to include” (de overige opties kun je gewoon op de standaard instelling laten staan).
- Scan theme files against repository versions for changes : als er malware op je site geplaatst wordt is dat meestal in de themabestanden. Door deze optie aan te vinken worden de themabestanden op jouw website vergeleken met het origineel en wordt je gewaarschuwd als daar verschillen in zitten. Dat hoeft overigens niet perse te betekenen dat er malware op je site staat, jij of je webbouwer kunnen het thema immers ook zelf hebben aangepast.
- Scan plugin files against repository versions for changes : Als je deze optie aanvinkt worden de pluginbestanden vergeleken met het origineel.
- Scan files outside your WordPress installation : Door deze opties worden ook bestanden gescand die niet tot de standaard WordPress bestanden behoren.
Klik hier voor een uitleg van alle WordFence opties
Maak regelmatig een backup van je site
Als je regelmatig een backup van je site maakt kun je eenvoudig een eerdere versie terugzetten als je site onverhoopt gehackt wordt, of anderszins niet meer werkt. Veel hostingbedrijven maken automatisch een dagelijkse backup die je kunt (laten) terugzetten bij problemen, maar als jouw host dat niet doet kun je ook gebruik maken van de gratis plugin BackWPup.
Gebruik een goede virusscanner en een veilig FTP programma op je computer
Een goede beveiliging van je website begint natuurlijk bij je eigen computer, dus zorg voor een goede virusscanner. Als je met FTP werkt raad ik WinSCP aan, aangezien je bij dit programma je wachtwoord kunt beveiligen. Bij het populaire FileZilla wordt je wachtwoord niet gecodeerd opgeslagen waardoor een hacker dit gemakkelijk kan achterhalen.
Help, mijn WordPress website is al gehackt!
Als je geen plugin als WordFence geïnstalleerd hebt kan het een tijdje duren voordat je in de gaten krijgt dat je gehackt bent. Vaak komen mensen er pas achter omdat ze opeens een waarschuwing van Google of hun virusscanner krijgen als ze hun eigen website willen bezoeken, of van anderen horen dat de website geblokkeerd wordt.
In zo’n geval staat je site al op een blacklist. Je kunt dat checken via Sucuri.net, waar je ook kunt zien of er malware op je site is aangetroffen. Hier zie je ook op welke blacklist(s) je staat, met een link erbij zodat je een heroverweging kunt aanvragen om de site weer van de blacklist te verwijderen.
Maar voordat je dat gaat doen zorg je natuurlijk eerst dat de site weer schoon is.
Je site opschonen met Wordfence
De makkelijkste manier daarvoor is gelukkig hierboven al gegeven: installeer WordFence en volg onderstaande stappen.
- Maak een complete backup van je site (geef deze wel een duidelijke naam, zoals site-geinfecteerd.zip, zodat je ‘m niet per ongeluk terug zet).
- Zet, indien beschikbaar, een backup terug van een week geleden (als je tenminste niet teveel hebt aangepast in de tussentijd).
- Update WordPress en alle plugins en themes naar de nieuwste versie.
- Verwijder alle themes en plugins die je niet gebruikt.
- Heb je een caching plugin? Wis dan de cache en deactiveer de betreffende plugin.
- Verander alle wachtwoorden, in elk geval die van gebruikers met de rol van beheerder (administrator) en de FTP wachtwoorden.
- Maak nog een backup van je site. Deze bevat dan nog steeds de geïnfecteerde bestanden, maar in elk geval wel de nieuwste versies je plugins, themes en WordPress zelf.
- Ga naar Wordfence –> all options en selecteer onder “general options” alle mogelijke opties (of kies voor “High Sensitivity” onder basic scan opties”).
- Ga nu naar Wordfence –> scan en klik op de button “start new scan”.
- Als de scan voltooid is (dat duurt even) krijg je een hele lijst met rode kruizen zoals op de afbeelding hierboven. Dit zijn allemaal verdachte bestanden. Onder het kruis staat welke code precies verdacht is.
- Als je er verstand van hebt kun je deze code handmatig verwijderen, anders kun je het bestand gewoon verwijderen door op “delete this file” te klikken. Je hebt immers backups gemaakt dus je kunt een bestand altijd weer terugzetten.
- Als het geïnfecteerde bestand onderdeel van WordPress zelf is zie je meestal ook een optie “repair this file”. Daarmee kun je het bestand automatisch laten repareren. Dit geldt ook bij bepaalde themes en plugins.
- Als je alle verdachte bestanden verwijderd of gerepareerd hebt voer je stap 8 nogmaals uit om er zeker van te zijn dat je site schoon is.
- Maak nu een nieuwe backup van je site en geef deze een naam als site-schoon.zip of iets dergelijks.
- Bezoek je site in een incognito of privé venster en kijk of alles nog naar behoren werkt. *
- Installeer het gratis programma malwarebytes op je computer en laat deze software een scan uitvoeren. Deze software detecteert en verwijdert malware van je eigen computer die je virusscanner niet kan detecteren.
- Vanaf nu zal Wordfence je site dagelijks scannen en je een mailtje sturen als er iets mis is.
- Als er na een dag of 2,3 geen geïnfecteerde bestanden meer zijn gevonden kun je ervan uitgaan dat je site schoon is.
Ga nu weer naar sucuri.net, kijk op welke blacklists je site nog staat en vraag een heroverweging aan. - Wordt je site ondanks bovenstaande stappen toch weer opnieuw geïnfecteerd? Dan zul je helaas alle WordPress bestanden opnieuw moeten uploaden met een FTP programma. Verwijder eerst alle bestanden van de server, behalve het bestand wp-config.php. Staan er nog andere mappen op de server, bijvoorbeeld een oude versie van de site? Verwijder deze dan ook. Download vervolgens de meest recente versie van wordpress.org en upload alle bestanden naar de server. Installeer tenslotte ook de originele versies van je plugins en theme (dus niet de versies uit je backup).
* Werkt je site niet meer naar behoren? Probeer dan eerst het originele theme terug te zetten (dus niet die uit de geïnfecteerde backup). Als dat niet werkt kun je proberen de plugins 1 voor 1 te verwijderen en vervolgens de originele versie van de plugin te installeren.
Helpt dit ook niet? Dan zul je de geïnfecteerde backup terug moeten plaatsen en weer vanaf stap 8 verder moeten gaan. Bezoek nu echter na elk bestand dat je verwijdert of repareert je site even (vergeet niet op F5 te klikken om de site opnieuw te laden) om erachter te komen welk bestand ervoor zorgt dat de site niet meer werkt.
Je gehackte site laten repareren door Bob de webbouwer
Indien gewenst kun je mij ook inhuren om je gehackte site op te schonen. Aangezien ik van tevoren lastig ik kan inschatten hoeveel tijd ik hiermee kwijt ben kan ik daar geen vaste prijs voor geven, maar houd rekening met een minimum van € 120,00 exclusief BTW.
Interessante artikelen over dit onderwerp
Engelstalig artikel van Wordfence
Artikel op wplounge.nl
Artikel op Frankwatching
Engelstalig artikel van WordPress over de te nemen stappen nadat je site gehackt is
Je gehackte site laten herstellen door Bob de webbouwer
Indien gewenst kun je mij ook inhuren om je gehackte site op te schonen. Aangezien ik van tevoren lastig kan inschatten hoeveel tijd ik hiermee kwijt ben kan ik daar geen vaste prijs voor geven, maar houd rekening met een minimum van € 120,00 exclusief BTW.
Heeft dit artikel je zo goed geholpen dat je mij niet meer nodig hebt?
Een kleine eenmalige donatie wordt altijd zeer op prijs gesteld 🙂
Hai,
Bedankt voor dit blogartikel. Ik heb wordfence geinstalleerd maar zie nergens de Performance optie. Is deze alleen bij de betaalde versie of is het bij een nieuwere versie (6.2.5) onder een andere optie?
Hoi Geraldine,
Goed dat je het zegt, ik zal het artikel even bijwerken want de performance optie is helaas vervallen in de nieuwste versie van WordFence.
WordFence is nog steeds een prima plugin om je site te beveiligen maar voor het optimaliseren van de snelheid heb je helaas een andere plugin nodig zoals W3 Total Cache.
Groeten van Bob
Bedankt voor je info over het beveiligen van de WordPress website. 🙂
Graag gedaan Lex, fijn dat je er wat aan hebt gehad 🙂
Groeten van Bob