WordPress-blog beveiligen

Een WordPress-blog beveiligen

WordPressHet Computer Creatief-blog draait op WordPress. Waarom? Omdat het zo makkelijk op te zetten is. Het is eenvoudig zelf te installeren – zeker met behulp van het Handboek WordPress 5 – en anders kan je provider/hoster je meestal wel helpen met het installeren van WordPress. De basis van WordPress staat dan voor je klaar. Het is nu aan jezelf om het niet al te ingewikkeld te maken en de boel veilig op slot te zetten voor de hackers uit de buitenwereld. Hoe kun je een WordPress-blog beveiligen?

WordPress-blog beveiligen

Als je een kale installatie hebt van WordPress dan ben je er nog eigenlijk niet. Het is van belang dat je een veilige installatie hebt. Vanmorgen zag ik in het Activiteitenlog van dit blog dat er door drie onbekenden pogingen waren gedaan om in te loggen. Die pogingen mislukten omdat de boel bij ComputerCreatief goed dichtgetimmerd is. Daarvoor moet je eigenlijk twee belangrijke onderdelen aanpassen: je inlognaam en wachtwoord en zorgen dat de aanvallers na een paar pogingen om in te loggen worden buitengesloten.

Hackers

Er bestaat software waarmee hackers je login en wachtwoord proberen te raden. Die software maakt keer op keer een nieuwe combinatie en probeert zo binnen te komen en je WordPress-blog over te nemen. Van belang is dus dat je een andere gebruikersnaam moet hebben dan ‘admin’ en dat je een sterk wachtwoord moet gebruiken. Van belang is ook dat de rol die je gebruikers op het blog hebben niet allemaal Beheerder zijn. Voor ons blog hebben we een paar Beheerders, en voor de rest zijn het Auteurs. Mocht een van die Auteurs gekraakt worden, dan kan die hacker misschien een stukje schrijven, maar niet bij het beheer van het blog. Die Beheerders moeten een eigen inlognaam krijgen en een goed wachtwoord. WordPress genereert zelf mooie lange wachtwoorden en iedereen krijgt een eigen wachtwoord. Zo wordt het raden naar een goede combinatie van wachtwoord en inlognaam moeilijk.

WordPress-blog beveiligen
Een veilig wachtwoord voor een nieuwe gebruiker…

Limit Login Attempts

Dat weerhoudt die hackers natuurlijk niet om te proberen in te loggen als Beheerder. Met hun software kunnen ze pogingen blijven doen om in te loggen. Dat is niet lekker voor je blog en je provider/hoster vindt dat ook niet prettig. Het eerste wat ik daarom altijd installeer is de plugin Limit Login Attempts. Met deze plugin kun je voorkomen dat iemand steeds maar opnieuw probeert in te loggen met foute gegevens (totdat het misschien een keer lukt). Je kunt met de plug-in instellen wanneer iemand geblokkeerd moet worden. Als iemand bijvoorbeeld vier pogingen heeft gedaan om in te loggen (met foute gegevens) dan wordt diegene geblokkeerd voor bijvoorbeeld 20 minuten. Mocht de hacker het daarna weer proberen, dan wordt de blokkade verhoogd naar bijvoorbeeld 24 uur. Een hacker probeert het meestal na die eerste vier pogingen niet meer. Dat zijn de belangrijkste stappen om een WordPress-blog te beveiligen.

WordPress-blog beveiligen
De instellingen bij de plugin Limit Login Attempts.

Nog veiliger?

Die beveiligingen kunnen, als je dat wilt, nog wel beter. Ook voor WordPress bestaat tweestapsverificatie. Bij tweestapsverificatie heb je nog een extra beschermingslaag om te voorkomen dat hackers bij je WordPress-blog inloggen en er mee aan de haal gaan. Ik klop het af, maar tot nu toe hebben we dat niet nodig gehad. Als je goede inlognamen, sterke wachtwoorden en Limit Login Attempts gebruikt kan er weinig mis gaan. (Klop, klop…)

Uit het Handboek WordPress 5 van Dirkjan van Ittersum publiceerden we wat voorproefjes op het blog: HIER, HIER en HIER.

4 gedachten over “Een WordPress-blog beveiligen”

  1. Samen met de ‘iQ Block Country’ plugin kan je de meeste inlog pogingen blokkeren; met deze plugin kan je alleen toegang geven aan bepaalde landen of zelfs ip-adressen. Dit kan apart voor de voorkant, je website, als bij de achterkant, het admin gedeelte.

    1. @booxalivedotnl: Wordfence is veel uitgebreider dan Limit Login Attemps. Ik weet niet of al die bescherming van Wordfence nodig is. Met een paar dingen zoals goede wachtwoorden en Limit Login Attempts houd je de boel behoorlijk veilig. (Totdat we gehacked worden natuurlijk)

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.