Er zijn misschien veel contentmanagementsystemen, maar geen daarvan kan tippen aan WordPress. 51.6+ miljoen sites in maart 2020 (en het wordt elke dag erger) het geeft je een idee hoe enorm superieur en geliefd dit systeem is. WordPress-beveiliging en bruikbare tips om WordPress-hacking te voorkomen - het CMS heeft nog een lange weg te gaan op het gebied van beveiliging.
Wij willen u echter helpen uw website vanaf het begin te beveiligen. Voorkomen is beter dan genezen, dus zorg ervoor dat u VANDAAG nog de tips uit een van onze vele WordPress-tutorials toepast.
Deze miljoenen sites worden echter ook geconfronteerd met serieuze aanvallen van scriptkiddies die niets beters te doen hebben met hun tijd dan overal ellende te verspreiden, en van anderen met nog duistere en kwaadaardige motieven: de duistere acteurs van het web: hackers.
Het is heel normaal om op een ochtend wakker te worden en te ontdekken dat je ooit zo prachtige website vol staat met links en tekst over kruidenpillen voor vergroting, of andere dubieuze farmaceutische producten of een of andere zaak uit het Midden-Oosten.
Wanneer uw site paginagrote advertenties, links en doorverwijzingen naar schimmige onderdelen van 'farmaceutische' bedrijven bevat, is onverstaanbaar schreeuwen waarschijnlijk de eerste stap.
Als dit scenario u angst aanjaagt, dan is dat terecht.
Elke dag worden er 90,000 websites gehackt
Bron: HostingFacts
Iedereen wil voorkomen dat WordPress gehackt wordt. Het herstellen en herstellen van een website kan namelijk behoorlijk wat tijd en moeite kosten.
Bescherm je website dus met deze best practices voor WordPress-beveiliging en voorkom dat dit vreselijke lot je overkomt! En ja, het kost tijd en voortdurende inspanning om hackaanvallen te voorkomen.
Geen zin om met code aan de slag te gaan? Probeer iThemes security en laat hem het vuile werk doen. Klik op deze link om 25% KORTING te krijgen tot December 2025.
Als je geen zin hebt om te rommelen met bestanden, allerlei plug-ins in te schakelen en allerlei andere dingen te doen die je niet echt begrijpt, dan hebben we ook een makkelijke oplossing voor je. iThemes Security is de beste WP-beveiligingsplug-in om uw website te beveiligen en beschermen.
Nog niet geïnteresseerd in WP-plugins? Lees verder!
We gaan aan de slag met wat codewerk, maar laten we eerst de basisprincipes van websitebeveiliging doornemen. Beginnend met:
17 WordPress-beveiligingsstappen
1. Het voorkomen van WordPress-hacking begint bij uw werkstation
Dit is het eerste wat het gemakkelijkst over het hoofd wordt gezien: uw computer.
Je moet je systeem altijd vrij houden van malware en virussen, vooral als je ermee op internet surft (wat natuurlijk ook het geval is). Bescherming van je werkstation is nog belangrijker wanneer je transacties uitvoert en een website hebt, omdat het enige wat je nodig hebt is een keylogger om de meest geharde websites uit te schakelen.
Een keylogger leest al uw gebruikersnamen en wachtwoorden en stuurt deze naar hackers. Dit kan natuurlijk voor een heleboel problemen en problemen op uw website zorgen.
Blijf veilig en Werk uw besturingssysteem, software en browsers op uw computer regelmatig bijGebruik een goede antivirusservice. Let op eventuele kwetsbaarheden in uw systeem en verwijder deze voordat ze een enorme last worden. Als uw computer vreemd begint te doen, advertenties en andere verdachte zaken weergeeft, is het verstandig om dit te controleren voordat u uw website bezoekt.
2. Installeer alle WordPress-updates
Iedere keer dat er een nieuwe versie van WordPress uitkomt, gebeurt dat met veel bombarie en enthousiasme.
De meesten van ons zijn enthousiast, want hé, nieuwe functies! Hackers zijn enthousiast omdat ze meteen de Release-opmerkingen voor beveiliging en onderhoud. Helaas, elk hood.discount De update brengt een aantal beveiligingsproblemen in oudere WordPress-versies aan het licht.
Met elke nieuwe WordPress-update krijgen we extra functies en upgrades, samen met een pagina met een lijst van de beveiligingslekken in de vorige versie en de oplossingen daarvoor..
Die pagina is praktisch een spiekbriefje voor hackers overal ter wereld. Als je niet op tijd updatet, worden die fouten misbruikt om websites met oudere versies over te nemen (en jouw website zou daar ook tussen kunnen zitten als je niet updatet).
En als uw site gehackt wordt, is het helaas te laat om nog excuses te vinden om niet naar de nieuwste versie te updaten.
Geef hackers dus geen kans om binnen te dringenInstalleer de nieuwste versie van WordPress zodra deze uitkomt..
Als je bang bent dat je website eronder lijdt, zorg er dan voor dat je een werkende back-up hebt voordat je de update uitvoert. De bijgewerkte versie lost alle beveiligingsproblemen op die in de vorige versie bestonden en helpt WordPress-hacks aanzienlijk te voorkomen.
Wilt u dat uw website automatisch wordt bijgewerkt? Bekijk InMotion VPS voor uw hosting - Ze hebben uitstekende WordPress-specifieke functies, zodat je je site automatisch kunt updaten zodra ze beschikbaar zijn. We gebruiken een InMotion VPS en we zijn er dol op!
3. Zorg ervoor dat uw hostingserver veilig is
Wist je dat in 2019 ongeveer 54% van de websites nog steeds PHP 5.x gebruikt - een versie van PHP die aan het einde van zijn levenscyclus is en dus geen beveiligingsupdates ontvangt? Dit betekent dat alle websites die op PHP 5.4 draaien kwetsbaar zijn voor hacks via kwetsbaarheden in de serversoftware. (Bron: Sucuri Hacked Website Report 2019)
Zelfs PHP versie 7.1 is per 1 december 2019 'end of life'. Oude versies van dergelijke software worden niet meer ondersteund en hebben kwetsbaarheden die niet zijn gepatcht!
Deze oude softwareversies zijn gevoelig voor hacks.
Als u weet dat uw website op PHP 5 of mogelijk PHP 7.1 wordt gehost, vraag dan uw host om te controleren of uw website naar een recentere versie van PHP kan worden verplaatst.
Niet alleen dat, maar de De meeste websites/blogs worden gehost op gedeelde servers. In principe geldt dat als één site op een gedeelde server geïnfecteerd raakt, elke andere site loopt risico, ongeacht hoe veilig de site/blog verder is.
Je wordt gehackt, terwijl het niet jouw schuld is.
Denkoefening: Ben je ooit in een gaarkeuken geweest? Kun je je er een voorstellen en je voorstellen wat er daar gebeurt? Als je een van de gelukkigen bent die aan die ramp is ontsnapt, geef ik je een voorproefje (woordspeling bedoeld). Denk aan alles wat er is gebeurd sinds de keuken ontstond: morsen en breken, lekken en spetteren. In een gaarkeuken zijn die dingen nooit weg. Ze worden een vast onderdeel van de keuken.
Stel je nu eens voor dat hetzelfde met jouw site gebeurt. Een hostingserver van een bedrijf dat onderhoud overslaat en niet updatet naar de nieuwste softwareversies, is inmiddels uitgegroeid tot een gaarkeuken.
Als u of uw webmaster meerdere websites tegelijk host, stapelen ongebruikte bestanden, gegevens, sites en meer zich op tot ze een bedreiging vormen voor de bestaande sites.
Kies daarom voor een betrouwbare en beveiligen gastheer.
VPS en managed hosting minimaliseren de kans op inbreuken en zijn uitstekend geschikt voor e-commercesites. Als shared hosting voldoende voor je is, controleer dan de beveiliging voordat je een abonnement neemt.
Zorg ervoor dat ze hun servers regelmatig onderhouden en updaten naar de nieuwste softwareversies. Dit is een andere stap die je prioriteit moet hebben als je WordPress-hacking wilt voorkomen.
4. Gebruik beveiligde transmissies om onderschepping van wachtwoorden en gegevens te voorkomen
Via een onbeveiligde verbinding kunnen gegevens worden onderschept en kunt u worden gehackt voordat u “niet-versleuteld” kunt zeggen.
Daarom moet u zich richten op veilige netwerkverbindingen en encryptie: aan de serverkant, aan de clientkant en aan alle kanten. Zoek een host die SFTP/SSH-encryptie ondersteunt om uw gegevens en informatie te beschermen tegen kwaadaardige onderscheppingen.
Uw site moet ook een beveiligd certificaat geïnstalleerd en zo ingesteld dat uw inloggegevens veilig worden verzonden wanneer u inlogt.
5. Voorkom hacken met complexe wachtwoorden
Essentiële tip: maak een sterk wachtwoord en hergebruik NOOIT wachtwoorden
In de volgende stap over hoe je WordPress kunt beschermen tegen hackers, bespreken we een clichématig onderwerp: wachtwoorden.
Een schrikbarend aantal mensen vindt dat lange, ingewikkelde wachtwoorden overschat worden en geven de voorkeur aan een korter en makkelijker te onthouden wachtwoord. een feit dat hackers kennen en waar ze misbruik van maken.
Er is geen andere manier om dit te zeggen: een goed en sterk wachtwoord dat bestaat uit letters, cijfers en alle andere geldige tekens helpt je blog al een heel eind te beschermen.
Een brute-force-aanval kan werken op een kort wachtwoord met een eenvoudig woord (bijvoorbeeld een trefwoord uit een woordenboek of een eenvoudig, gangbaar wachtwoord), ja. Maar hoe meer tekens er in je wachtwoord zitten, hoe langer het duurt om het te kraken.
Het duurt exponentieel langer om lange, complexe wachtwoorden te kraken.
Wat u probeert te doen is de bekende patronen doorbreken om hacken moeilijk, zo niet onmogelijk, te maken.
Persoonlijke gegevens, of wachtwoorden die daarop gebaseerd zijn (zoals geboortedata of namen van personen), zijn gemakkelijk te kraken. Gebruik ook geen wachtwoorden die uit losse woorden bestaan (ongeacht de lengte), alleen letters of alleen cijfers..
Maak een wachtwoord aan dat makkelijk te onthouden is, maar moeilijk te raden om WordPress-hacking te voorkomen. Als je blog over beveiliging gaat, maak er dan iets van als: drukmijnWOORDENen5ecurit!$
6. Houd uw databases veilig en geïsoleerd
Je database weet alles wat er ooit op je site is gebeurd. Het is een ware bron van informatie en dat maakt hem onweerstaanbaar voor hackers.
Geautomatiseerde codes voor SQL-injecties kunnen relatief eenvoudig worden gebruikt om de database van uw website te hacken. Als u meerdere sites/blogs vanaf één server (en database) beheert, lopen al uw sites risico.
Zoals de codebron het zegt: Het is het beste om voor elke blog/site een aparte database te gebruiken en deze door aparte gebruikers te laten beheren.Simpel gezegd: elke website die u host, moet een eigen database en een eigen databasegebruiker hebben.
Alleen de desbetreffende databasegebruiker mag toegang hebben tot de database.
Ook alle databaserechten intrekken, behalve data gelezen en gegevens schrijven van gebruikers die alleen bezig zijn met het posten/uploaden van gegevens en het installeren van plugins.
Het wordt echter niet aanbevolen vanwege schemawijziging privileges vereist bij grote updates.
Je moet ook je database hernoemen (door het voorvoegsel te wijzigen) om hackers die hun aanvallen erop richten, af te leiden. Hoewel dit WordPress-hacking op zich niet voorkomt, zorgt het ervoor dat hackers, als er databases worden gehackt, niet naar de volgende WordPress-installatie kunnen springen.
7. Verberg de inlog- en beheerdersnaam van uw website
De volgende stap in het beveiligen van WordPress tegen hackers is de WordPress-beheerder.
Het ongewijzigd laten van de standaardinstellingen van WordPress is praktisch vragen voor problemen.
Het is belachelijk eenvoudig om de beheerdersnaam van uw site te vinden als u deze niet actief verbergt.
Het enige wat een hacker nodig heeft, is het toevoegen ?auteur=1 Na je URL en de persoon/het lid dat verschijnt, is waarschijnlijk de beheerder. Stel je voor hoe gemakkelijk het voor hackers zou zijn om brute force te gebruiken zodra ze de gebruikersnaam van de beheerder hebben gevonden.
Hoe kun je hacken voorkomen als je zoveel informatie beschikbaar laat, waardoor misbruik makkelijker wordt?
Oplossing om WordPress-hacks te voorkomen: verberg alle gebruikersnamen met deze code in het bestand functions.php:
add_action('template_redirect', 'bwp_template_redirect');
functie bwp_template_redirect()
{
als (is_auteur())
{
wp_redirect(home_url()); uitgang;
}
}
Je inlogpagina is ook gemakkelijk toegankelijk, en niet alleen voor jou. Als je simpelweg wp-admin of wp-login.php achter de URL van je homepage plaatst en de gebruikersnaam invult die we van ?author=1 hebben geleerd, is het enige wat je nog hoeft te doen bruteforcen of gokken totdat je wachtwoord gekraakt is.
Maak gebruik van de techniek van 'security by obscurity' en wijzig de URL van uw inlogpagina om het hackers wat lastiger te maken.
Beveiligingsplug-ins zoals iThemes Security hebben een instelling 'Aanmelding verbergen' waarmee u de eenvoudige toegang tot de WordPress-aanmelding blokkeert.
Nogmaals, deze eenvoudige stap zal een grote stap zijn in het voorkomen van WordPress-hacking.
Weet u niet zeker of u dit allemaal aankunt?
Hulp nodig? Bekijk iThemes Security Pro - één plugin en uw website is veilig. Gegarandeerd. Klik op de onderstaande links om de site te bezoeken.
8. Voorkom hacken via WordPress-beveiligingsplug-ins en trucs om wp-admin te beschermen
Je wp-admin is het belangrijkste onderdeel van je WordPress-installatie - degene met de meeste "kracht".
Helaas zijn de inlogpagina en de beheerdersmap voor iedereen toegankelijk, ook voor kwaadwillenden. Om deze te beschermen en hackaanvallen te stoppen, moet je net iets harder werken.
iThemes Security
Een sterk wachtwoord, een ander beheerdersaccount (met een gebruikersnaam die allesbehalve 'beheerder'), en gebruik de iThemes Security plugin om uw inloglinks te hernoemen zal zeker helpen om hacken te voorkomen.
Bestelling afronden iThemes Security
Malcare
U kunt de beveiliging van beheerders ook versterken met websitebeveiligingsplug-ins zoals Malcare.
Deze service met 5 sterren hebben we pas onlangs ontdekt.
Malcare is ontwikkeld door het team achter Blogvault, die we al hebben gebruikt en geweldig vonden.
Hun nieuwste aanbod biedt een complete beveiligings- en websitebeheerservice. Het biedt onder andere bestandsscans op kernwijzigingen (om hacks te detecteren), noodopruiming, een ingebouwde firewall om kwaadaardig verkeer te stoppen, updates van thema's en plug-ins rechtstreeks vanuit hun dashboard en back-ups met één klik.
Het beste hiervan is dat u AL uw sites kunt beheren vanuit één enkel dashboard, zonder dat u zich bij elke site afzonderlijk hoeft aan te melden.
Limit Login Attempts Reloaded
Met een beetje code en een onbeperkt aantal inlogpogingen kan elke hacker uiteindelijk inbreken.
U kunt het aantal inlogpogingen dat een enkele gebruiker mag uitvoeren op de beheerdersinlogpagina beperken met behulp van Limit Login Attempts Plugin opnieuw geladen. Hiermee wordt het aantal inlogpogingen per IP-adres beperkt, inclusief uw eigen IP-adres (met autorisatiecookies).
Really Simple SSL
Gebruik de kracht van Private SSL om beheerderslogins, gebieden, berichten en meer te beveiligen. Really Simple SSL inpluggen zorgt voor encryptie bij uw inlogsessies, waardoor het wachtwoord moeilijk te onderscheppen is.
Je hebt een SSL-certificaat nodig en moet dit op je hostingserver installeren. InMotion biedt SSL-certificaten gratis aan bij hun hostingpakketten. Als je er nog geen hebt, is het misschien tijd om over te stappen naar InMotion om ook je SSL te krijgen.
Zodra u bij uw hostingprovider heeft bevestigd dat u Shared SSL hebt, kunt u de plugin activeren.
Als u liever geen plugin gebruikt, maar SSL alleen bij het inloggen wilt afdwingen, voegt u deze code toe aan het bestand wp-config.php:
define('FORCE_SSL_ADMIN', waar);
Acunetix Beveiligde WordPress
In deze inpluggen is over het algemeen een uitstekende beveiligingsoplossing, maar enkele belangrijke functies maken hem nog beter.
Allereerst voert het een beveiligingsscan van de website uit. Het besteedt ook veel aandacht aan preventieve maatregelen om WordPress-hacks te voorkomen. Om het beheerdersgedeelte te beschermen, worden foutmeldingen van de inlogpagina verwijderd.
Dat lijkt misschien niet veel, maar de foutmelding helpt hackers juist om te achterhalen of ze iets goed hebben gedaan. Het verwijderen van de melding (hint) doet dat voordeel teniet.
Als u wilt voorkomen dat u wordt gehackt, installeer dan ten minste een aantal van deze plug-ins.
Toptip: De rest van het artikel bevat geavanceerde tips voor websitebeveiliging
De rest van de tips vereist dat je aan je WordPress-installatie sleutelt, wat enig risico met zich meebrengt. Als je liever niet aan je installatie sleutelt, kun je het beste... huur een WordPress-ontwikkelaar in om u te helpen.
9. Hoe je WP beveiligt via wp-includes
Laten we dit even duidelijk maken: de wp-includes De map is een essentieel onderdeel van WordPress. Laat hem met rust, zelfs als je hem zelf beheert. En laat hem zeker niet toegankelijk voor potentiële hackers.
Om te voorkomen dat kwaadwillende personen/bots ongewenste scripts rechtstreeks naar het hart van uw website sturen en zo hackaanvallen te voorkomen.
Voeg dit toe voordat #BEGIN WordPress in uw .htaccess-bestand:
# Blokkeer de include-only bestanden.
RewriteEngine On
RewriteBase /
HerschrijfRegel ^wp-admin/includes/ - [F,L]
Herschrijfregel !^wp-includes/ - [S=3]
Herschrijfregel ^wp-includes/[^/]+\.php$ - [F,L]
Herschrijfregel ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
Herschrijfregel ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
Houd er rekening mee dat u moet laat de derde RewriteRule weg als je wilt dat de code op Multisite werkt.
10. Bescherm uw wp-config voor verbeterde websitebeveiliging
Dit is een van de kwesties die nogal controversieel is. Niet iedereen is het ermee eens.
Of u wp-config.php nu daadwerkelijk buiten de hoofdmap verplaatst of niet, het is niet te ontkennen dat het aanpassen van de code in dit bestand uw website veiliger kan maken en het lastiger kan maken om WordPress te hacken.
Weet je niet zeker of je al deze technische zaken aankunt? Er is er één beveiligingsplug-in om ze allemaal te besturen.
- Beginnen met het bewerken van PHP-bestanden via het dashboard uitschakelen, waar de aanvaller zich op concentreert na het hacken van een toegangspunt. Voeg dit toe aan wp-config.php
define ('DISALLOW_FILE_EDIT', true);
- $table_prefix wordt vóór al uw databasetabellen geplaatst. U kunt aanvallen op basis van SQL-injectie voorkomen door de standaardwaarde wp_ te wijzigen. Wees voorzichtig als u dit doet; u moet alle bestaande tabellen hernoemen naar het nieuwe voorvoegsel dat u hebt ingesteld.
$table_prefix = 'r235_';
- Verplaats wp-content-map vanuit zijn standaardpositie met deze
define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content' );
define( 'WP_CONTENT_URL', 'https://example/blog/wp-content');
define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content/plugins');
define( 'WP_PLUGIN_URL', 'https://example/blog/wp-content/plugins');
Als je geen ontwikkelaarJe hebt niet veel aan foutenlogboeken. Je kunt ze op de volgende manier ontoegankelijk maken:
foutrapportage = 4339
display_errors = Uit
display_startup_errors = Uit
log_errors = Aan
error_log = /home/example.com/logs/php_error.log
log_fouten_max_len = 1024
ignore_repeated_errors = Aan
ignore_repeated_source = Uit
html_errors = Uit
11. Maak een back-up van uw website (voor de zekerheid)
Dit is het vangnet. Een back-up is een van de eerste dingen die je nodig hebt om je site te herstellen als je gehackt wordt.
Maak minstens zo vaak een back-up van je site als je onderhoud uitvoert of updates uitvoert. Er is geen excuus om hierin laks te zijn, zeker niet met een aantal uitstekende back-upservices en plug-ins die automatische back-ups voor je uitvoeren. Enkele suggesties voor plug-ins zijn:
- VaultPress,
- UpdraftPlus,
- WP-DB-Backup,
- Back-upmaatje,
- enz.
Aanbevolen literatuur: Native vs. plugin - WordPress-back-up met verschillende methoden
Maak een schema en laat de plugin de rest doen.
Sommige van deze plugins bieden eenvoudige herstelopties. Controleer of de plugin een back-up maakt van de hele site, inclusief alle databases en mappen. Hoewel dit WordPress-hacks niet voorkomt, geeft het je de zekerheid dat je je site kunt herstellen als het ondenkbare gebeurt.
12. Gebruik alleen vertrouwde bronnen voor downloads
Als je een beperkt budget hebt (en zelfs als dat niet zo is), kun je in de verleiding komen om alle functies en mogelijkheden van premium plugins/thema's gratis te krijgen: illegale of gekraakte plug-ins.
Je kunt een hacker niet te slim af zijn als je premium-bestanden downloadt van onbetrouwbare of ongeautoriseerde bronnen - ze zullen je later op de hielen zitten. Ze hebben een slechte reputatie omdat ze die legitieme 'premium' plugins/thema's vullen met malware en jou de rest laten doen.
Gekraakte plugins of thema's bevatten verborgen backdoors waarmee ze naar believen de controle over je site kunnen overnemen. Een dergelijke download is alles wat ze nodig hebben om de online uitstraling van je merk om te zetten in een gigantische poster voor vergrotingspillen - of erger nog, malware.
Uw site komt snel op een zwarte lijst terecht, zelfs door zoekmachines en browsers, als deze malware bevat.
Dit is een bekende en zeer populaire tactiek van hackers.
Illegale thema's en plugins zitten vol met backdoors en malware. Dit is een van de makkelijkst op te lossen WordPress-beveiligingsproblemen. Het is het beste om te kiezen voor een betrouwbaar thema van een betrouwbare bron, zoals het thema dat we hier hebben beoordeeld: Avada-thema
Gepirateerd, ongeldig of gekraakt materiaal? Doe geen moeite.
Je bent vertrouwd met officiële thema- en plug-indirectory's, dus probeer je daaraan te houden. Je kunt ook vertrouwen op bronnen zoals ElegantThemes, Thema Bos, Code Canyon, etc.
13. Beveilig uw website door er professioneel uit te zien
Een beginner is gemakkelijker te hacken.
In ieder geval denken de meeste hackers dat (niet ten onrechte).
Wijzig alle standaardinstellingen: berichten, opmerkingen, gebruikersnamen, mapnamen, etc.
Het is gemakkelijker tijdens het opzetten.
Als je WordPress al draait, ga dan naar Instellingen > Diversen (in je beheerdersinstellingen) om de namen van de mappen te wijzigen. Dit is een volgende stap in je streven om WordPress-beveiligingsproblemen te voorkomen en het hacken van je site aanzienlijk te bemoeilijken.
Om te verbergen welke versie van WordPress u gebruikt, moet u eraan denken om: verwijderen /wp-admin/install.php en wp-admin/upgrade.phpGa nog een stap verder en verwijder meta generator tag (“”) van wp-content/uw_themanaam/header.php Je zou ook moeten verwijder versiedetails uit RSS-feed.
Open hiervoor wp-includes/general-template.php. Rond regel 1860 vind je dit:
functie the_generator ( $args) {
echo apply_filters('de_generator', haal_de_generator($args), $ args). "\n";
}
Voeg een hash toe vóór 'echo' commando en je bent klaar.
functie the_generator ( $args ) {
#echo apply_filters('de_generator', haal_de_generator ($args), $type). "\n";
}
14. Goede WordPress-beveiliging vereist goede bestandsrechten
De vuistregel is: 755 voor mappen en 644 voor bestanden.
Hoewel dit kan variëren afhankelijk van de server en het type bestand, zult u in de meeste gevallen prima met deze machtigingen kunnen werken.
U kunt het beste uw host vragen dit te controleren. Als u zelf toegang hebt, kunt u dit ook zelf doen.
Voor mappen:
vind /pad/naar/uw/wordpress/installatie/ -type d -exec chmod 755 {} \;
Voor bestanden:
vind /pad/naar/uw/wordpress/installatie/ -type f -exec chmod 644 {} \;
15. Websitebeveiliging: Stel de bestandsrechten nooit in op 777
Als u WordPress-hackers echt wilt tegenhouden, stel dan NOOIT de bestands-/mapmachtiging in op 777, tenzij u iedereen, inclusief hackers, volledige controle wilt geven.
Onder beginners bestaat een gevaarlijke neiging om de bestandsrechten op 777 te zetten, "omdat het makkelijk is", of "omdat we het later wel oplossen", of "omdat ik het later wel verander".
Dit is extreem gevaarlijk - 777 betekent dat iedereen op internet de inhoud van dat bestand kan wijzigen.
Met deze rechten is je website een open huis. Zodra ze toegang hebben tot één bestand, kun je er zeker van zijn dat ze heel gemakkelijk naar andere bestanden kunnen springen of achterdeurtjes en andere nare dingen op je site kunnen installeren.
Het WordPress Codex heeft een complete gids voor bestandsrechten: hoe u ze kunt wijzigen en de aanbevolen machtigingen voor bepaalde bestanden.
Je moet de beveiliging van je website in balans brengen met de functionaliteit, dus begin laag en verhoog geleidelijk de rechten tot je het goed hebt. De juiste bestandsrechten helpen zeker om websitehacks te voorkomen. Nogmaals, dit is een van de makkelijkere WordPress-beveiligingsproblemen om te voorkomen, je moet er alleen wel rekening mee houden.
16. Geef toegang aan WP-beheer en log alleen in op uw IP-adres via IP-filtering
Een heel eenvoudige en elegante manier om de toegang tot de inlogpagina en het beheerdersgedeelte te beperken, is door IP-filtering.
Het enige wat u hoeft te doen is deze code toe te voegen aan .htaccess. Deze suggestie is afkomstig van Sucuri, die een uitstekende WordPress-beveiligingsservice biedt
Bestelling weigeren, toestaan
Weigeren van iedereen
Toestaan vanaf [Voeg hier uw IP-adres(sen) toe]
Dit werkt nu alleen voor statische IP's, maar u kunt hetzelfde doen voor dynamische IP's hiermee:
Bestelling weigeren, toestaan
Weigeren van iedereen
Toestaan vanaf [Voeg hier uw domeinnaam toe]
Om de toegang tot wp-admin map, voeg dit toe aan .htaccess:
Bestelling weigeren, toestaan
Weigeren van iedereen
Toestaan vanaf [Voeg hier uw IP-adres(sen) toe]
Op domeinnaam:
Bestelling weigeren, toestaan
Weigeren van iedereen
Toestaan vanaf [Voeg hier uw domeinnaam toe]
Bron: blog.Sucuri.net
17. Beveiligingsplug-ins om WordPress-hacks te blokkeren
Hoewel we niet geneigd zijn om het gebruik van veel plug-ins aan te bevelen, als het gaat om WordPress beveiligingsplug-ins, zijn er een aantal die u wellicht wilt installeren om de veerkracht van uw site te vergroten.
- iThemes Security Pro Luister, veel van de bovenstaande acties zijn ongetwijfeld een beetje technisch. Dat begrijpen we. Als je niet zo technisch bent aangelegd, hebben wij de oplossing voor je. iThemes Security is de beste WordPress-beveiligingsplug-in om uw website te beveiligen en te beschermen.
-
Install WP Security Audit Log-plug-in - Dit is de meest uitgebreide plugin voor het loggen van WordPress-activiteiten. De plugin registreert alles wat er op je WordPress-website gebeurt in een auditlogboek (ook wel WordPress-activiteitenlogboek genoemd), zodat je hackers op afstand houdt. Je kunt hun aanvalspogingen namelijk identificeren voordat ze je WordPress-website daadwerkelijk hacken, waardoor je de tijd hebt om hun kwaadaardige acties te dwarsbomen.
Google Authenticator en Duo tweefactorauthenticatie zijn uitstekende keuzes om een extra beveiligingslaag toe te voegen aan uw inlogpagina. Er wordt een autorisatiecode naar uw e-mailadres/mobiel verzonden, zonder welke de gebruiker/hacker niet kan inloggen.
Bestaat er iets beters dan een lekkere barbecue? Deze plugin blokkeert URI-strings met eval( base 64) en andere verdacht lange aanvraagstrings.
Controleer uw thema op malware en verborgen achterdeurtjes met deze plugin voordat iemand deze zwakke plekken misbruikt in een verder veilige site/blog.
- Antivirus-plug-ins
Dit is een no-brainer. Voer regelmatig sitescans uit en verwijder ze voordat ze zich verspreiden. Plugins/services zoals Sucuri, Wordfence, enz. De eerder genoemde Acunetix Secure WordPress is ook een goede. Exploitscanner controleert uw site ook van binnen en van buiten op schadelijke code.
Als je geïnteresseerd bent, hebben we een geweldige vergelijking geschreven over Sucuri versus Wordfence waarin deze twee grote jongens met elkaar worden vergeleken.
De essentiële checklist voor volledige websitebeveiliging - YouTube-versie
Dankzij Webucator, een aanbieder van WordPress-training, hebben we deze checklist als video gemaakt.
https://www.youtube.com/watch?v=DNutpR5VpT0
Het volgende deel van dit artikel gaat over het herstellen van een WordPress-beveiligingshack, als die eenmaal heeft plaatsgevonden.
Website gehackt? 7 stappen om uw website volledig te herstellen
Sucuri publiceert elk kwartaal een rapport over de trend van websitehacks. laatste rapportZe hebben onthuld dat verschillende WordPress-releases 94% van de in 2019 gehackte sites van stroom voorzagen
Gehackte WordPress-sites blijven een reëel probleem. Omdat WordPress het populairste platform is voor het maken van websites, is de kans op hacken aanzienlijk groter.
Dat is niet verwonderlijk, aangezien WordPress verreweg het grootste platform is om nieuwe websites te creëren. Zolang WordPress populair blijft, zullen hackers het winstgevend blijven vinden om naar kwetsbaarheden in WordPress-sites te zoeken. Het is echt een kwestie van cijfers.
En het maakt niet uit welke preventieve maatregelen je neemt; het is onmogelijk om de perfecte beveiliging voor een website te garanderen. Wat je wel kunt doen, is het hacken moeilijker maken, zodat degenen die op zoek zijn naar laaghangend fruit de moeite niet nemen, of er niet in slagen om de website te hacken.
In deze tutorial laten we je de 7 stappen zien die je moet nemen om een gehackte WordPress-site te repareren.
Voordat we met de procedure beginnen, moeten we eerst de oorzaak van het probleem achterhalen. Over het algemeen zijn er twee soorten kwetsbaarheden:
- Veelvoorkomende kwetsbaarheden en
- Beveiligingsproblemen.
Laten we elk type eens nader bekijken. Beide typen kunnen door hackers worden misbruikt.
Voordat u begint: het herstellen van een gehackte website is niet iets wat mensen zonder voldoende kennis kunnen doen. Het is ten zeerste raadzaam om hulp te vragen aan WordPress-ontwikkelaars Als u het niet prettig vindt om zelf aan de slag te gaan, neem dan contact op met iemand die er zeer ervaren in is.
Veelvoorkomende kwetsbaarheden die leiden tot gehackte WordPress-sites
De meest voorkomende kwetsbaarheden kunnen afkomstig zijn van uw lokale computer of van de hostingprovider. De meesten van ons zijn waarschijnlijk bekend met dit soort problemen.
Deze problemen kunnen optreden als uw pc of lokale netwerk gehackt is. Wanneer hackers toegang krijgen tot uw pc of het netwerk, kunnen ze gemakkelijk een website die u beheert aanvallen, met als resultaat een gehackte of gehackte WordPress-site.
U kunt deze situaties vermijden door betrouwbare antivirus- en antimalwarescantools te gebruiken. Gebruik uw gezond verstand bij het internetten. Comodo en malwarebytes Ik heb een paar handige tips om je pc te beschermen tegen hackers. De meeste hiervan zijn vrij logisch als je erover nadenkt, zoals het updaten van de software voor zowel je desktop als randapparatuur zoals je internetrouter.
Het tweede type kwetsbaarheid kan voortkomen uit uw hostingprovider, vooral als u een shared hostingpakket gebruikt. Zoals u wellicht weet, deelt een shared hostingpakket de server met meerdere gebruikers.
Als een van deze gebruikers de best practices niet volgt, loopt de hele server ernstig gevaar. In een shared hosting-scenario is het natuurlijk zeer onwaarschijnlijk dat alle gebruikers goede beveiligingspraktijken hanteren, dus shared hosting-pakketten zijn per definitie riskant.
In sommige gevallen wordt één site in een shared hostingpakket gehackt, waardoor de hacker zich lateraal kan verplaatsen of naar andere sites op dezelfde server kan springen. In dat geval dient u contact op te nemen met uw hostingprovider. Deze zal de nodige stappen ondernemen.
Dit betekent dat zelfs als uw site volledig is bijgewerkt en beveiligd, uw WordPress-site nog steeds gehackt kan worden.
Overigens, als u op zoek bent naar een zeer veilige hostingprovider, moet u serieus overwegen om onze InMotion hosting beoordeling - wij voelen ons zeer goed beschermd bij deze dienst.
Nu we de meest voorkomende kwetsbaarheden hebben geïdentificeerd, gaan we kijken naar de beveiligingsaspecten.
Gehackt via kwetsbaarheden
Er zijn verschillende soorten beveiligingskwetsbaarheden voor WordPressWe zullen het hebben over de meest voorkomende:
Zwakke gebruikersnaam/wachtwoordcombinaties
We hoeven je vast niet te vertellen hoe belangrijk een sterk wachtwoord is. Sinds versie 3.0 legt WordPress zelf meer nadruk op het dwingen van gebruikers om een sterk wachtwoord te gebruiken. Zo is er een ingebouwde functie voor wachtwoordsterktedetectie in het beheerdersdashboard.
De vuistregel is dat je nooit een voorspelbare gebruikersnaam (zoals admin) moet gebruiken en altijd sterke wachtwoorden. Deze maken het voor hackers moeilijker om toegang te krijgen tot je site.
Thema-/pluginbugs en kwetsbaarheden
Hoewel het een goede gewoonte is om bekende thema's en plug-ins te gebruiken, kunnen populaire producten soms een verborgen beveiligingslek Ook. Als dat gebeurt, hoort u dit waarschijnlijk op populaire IT-nieuwsblogs en andere bronnen met informatie over WordPress-beveiliging.
Je bent echter waarschijnlijk veiliger als je ervoor zorgt dat je alleen vertrouwde thema's of plug-ins gebruikt, omdat je dan snel kunt updaten naar een gepatchte versie. Bekijk de reviews, beoordelingen, het aantal downloads, enz. om de betrouwbaarheid te analyseren.
En nooit Gebruik nooit illegale of ongeldige thema's of plug-ins. Het is een bekend feit dat de meeste hiervan schadelijke code bevatten, die een achterdeurtje in uw site creëert. Dit is letterlijk een manier om volledige controle over uw site op afstand te hebben.
In werkelijkheid is je website AL gehackt als je een gekraakt, illegaal gekopieerd of ongeldig thema of een plug-in gebruikt. Je gebruikt dan een website die plotseling vreemde dingen gaat doen, zoals het weergeven van dubieuze links, het verspreiden van malware of zelfs deelnemen aan DDoS-aanvallen.
Wat u denkt dat gratis is, kost u veel meer dan u verwacht.
WP-kern, thema's of plug-ins niet bijwerken
Het gebruik van een verouderde versie van de WordPress-kern, thema's of plugins is een andere belangrijke reden voor inbreuken die resulteren in gehackte websites. De meeste updates bevatten code die de beveiliging en prestaties van uw website verbetert. Daarom is het noodzakelijk om uw website, thema's en plugins zo snel mogelijk bij te werken zodra ze beschikbaar zijn. Zorg ervoor dat u een volledige back-up van uw site maakt voordat u een update uitvoert.
Wat moet je doen als je WordPress-site is gehackt?
Zelfs als u maatregelen hebt genomen om de risico's te beperken, kan het zijn dat u toch slachtoffer bent geworden van WordPress-hacking.
Raak niet in paniek en volg de onderstaande stappen.
1. Identificeer het type hack
De oplossing om je site terug te krijgen hangt af van het type WordPress-hack. De eerste stap is dus het bepalen van het type.
Dit zijn de vragen die u daarvoor moet stellen:
- Heb je toegang tot het beheerdersgedeelte?
- Wordt uw site doorgestuurd naar een andere site?
- Staan er onbekende links op uw site?
- Waarschuwt Google bezoekers voor uw site?
- Heeft uw hostingprovider u laten weten dat uw site er verdacht uitziet?
- Toont uw site onbekende advertenties in de koptekst, voettekst of andere secties?
- Worden er ongewenste pop-ups weergegeven?
- Is er een onverwachte piek in het bandbreedtegebruik?
Neem de vragen één voor één door en probeer de antwoorden op elk ervan te vinden. Dit helpt je de beste opties te vinden om de controle over je gehackte WordPress-site terug te krijgen.
2. Probeer te herstellen vanuit een back-up
Als u de best practices volgt, kunt u het beste dagelijks, wekelijks of maandelijks een back-up van uw site maken. De back-upfrequentie hangt af van hoe vaak u berichten plaatst of wijzigingen aanbrengt op uw website.
Wanneer u regelmatig back-ups maakt, is het herstellen van uw gehackte WordPress-site net zo eenvoudig als het terugzetten van de nieuwste back-up. Als u een automatisch back-upschema hebt ingesteld, zoek dan de laatste back-up op voordat uw site werd gehackt en herstel die versie.
Zorg er vervolgens voor dat u alle plug-ins, thema's en andere onderdelen die nog niet zijn bijgewerkt, bijwerkt.
Wat als je geen back-ups van je site hebt gemaakt? Betekent dit dat je je site voorgoed kwijt bent?
Nee, eigenlijk niet.
Er zijn ook andere opties. De meeste gerenommeerde hostingproviders maken regelmatig back-ups van de websites van hun klanten. Vraag je hostingprovider of ze een back-up bijhouden. Zo ja, dan kun je ze vragen je website te herstellen vanaf de laatste stabiele back-up.
Als u geen back-up hebt, moet u de procedure voor het opschonen van uw gehackte WordPress-site uitvoeren. Deze procedure laten we hieronder zien.
3. Vraag hulp aan uw hostingprovider
Meer dan 40% van de gehackte websites vertoonde een beveiligingslek op het hostingplatform. Daarom kan het een goed idee zijn om je hostingprovider te vragen je te helpen je site terug te krijgen als je WordPress-site gehackt is.
Elk betrouwbaar webhostingbedrijf zou u in deze gevallen moeten willen helpen. Ze hebben professionals in dienst die dagelijks met deze situaties te maken hebben. Ze zijn zeer vertrouwd met de hostingomgeving en beschikken over geavanceerde tools voor websitescanning.
Daarom kunnen ze je helpen de meest voorkomende website-hackaanvallen te herstellen. Als de hack afkomstig was van de server, kan je hostingprovider je helpen de site te herstellen.
4. Scan op malware
In veel gevallen krijgen hackers toegang tot uw website via backdoors. Backdoors creëren ongeautoriseerde toegangspunten tot uw website. Via backdoors kunnen hackers toegang krijgen tot uw website zonder dat ze inloggegevens nodig hebben en blijven ze vrijwel onopgemerkt.
Hier zijn enkele veelvoorkomende locaties van de achterdeurtjes die u moet controleren als uw website is gehackt:
- Thema'sDe meeste hackers plaatsen de backdoor liever in een van je inactieve thema's. Zo hebben ze nog steeds toegang tot je website, zelfs als je deze regelmatig bijwerkt. Daarom is het cruciaal om al je inactieve thema's te verwijderen.
- Plugins: De plugins-map is een andere potentiële plek om schadelijke code te verbergen. Daar zijn verschillende redenen voor. Ten eerste denken de meeste mensen er nooit aan om de pluginbestanden te controleren. Ze geven er ook de voorkeur aan om de plugins niet te updaten zolang ze maar werken. Bovendien zijn er enkele slecht gecodeerde plugins die misbruikt kunnen worden om ongeautoriseerde toegang te krijgen tot een WordPress-site.
- Uploadmap: In de meeste gevallen hoeft u de uploadmap niet te controleren, omdat deze map alleen de bestanden bevat die u hebt geüpload. Sommige hackers geven echter de voorkeur aan deze map, omdat ze het schadelijke bestand gemakkelijk kunnen verbergen tussen honderden of duizenden bestanden verspreid over verschillende mappen. Omdat de map schrijfbaar is, dient deze ook hun doel.
- Inclusief map: Dit is een andere map die door de meeste gebruikers vaak wordt genegeerd. Hierdoor plaatsen hackers een achterdeurtje in deze map en krijgen ze volledige toegang tot uw site.
- wp-config.php-bestand: Het is heel gebruikelijk om in dit bestand schadelijke code te vinden. Omdat het bestand echter zeer bekend is, vermijden geraffineerde hackers het gebruik ervan.
Houdt u er niet van om uw handen vuil te maken met schadelijke scripts? Probeer iThemes security en laat hem het vuile werk doen.
De enige manier om van de backdoor af te komen, is door de schadelijke code van de website te verwijderen. Er zijn verschillende plugins waarmee je je website kunt scannen op schadelijke code.
De volgende premium plugins zijn goede keuzes: iThemes Security, Sucuri Beveiliging, WPMUDev Defender zijn geweldige opties.
De volgende opties zijn ook goede opties, maar houd er rekening mee dat ze beide al meer dan drie jaar niet zijn bijgewerkt op het moment van updaten van dit artikel. Dit betekent dat ze mogelijk niet meer zo betrouwbaar zijn als voorheen: Exploitscanneren Thema Authenticiteitscontrole.
U kunt deze gratis plugins gebruiken om ongewenste wijzigingen in de thema's, plugins en kernbestanden van uw website te detecteren. Als u echter serieus bezig bent met het repareren van uw website, raden we u ten zeerste aan om voor een van de premiumproducten te kiezen.
Ze zijn over het algemeen actueler en betrouwbaarder dan de gratis producten.
Als de plugins een verdacht bestand vinden, maak dan een volledige back-up en verwijder het bestand, of kijk welke stappen de plugin voorstelt. Vermeld bij het maken van een back-up ook dat het een back-up van een gehackte website betreft.
En als een thema of plugin gecompromitteerd is, verwijder die dan van je site. Download de nieuwste versie en upload deze naar je website.
Als de wijziging in een van de kernbestanden wordt gedetecteerd, moet u een nieuwe installatie van WordPress downloaden en een handmatige update uitvoeren (dat wil zeggen, alle bestanden overschrijven met de nieuwe bestanden).
U kunt er ook voor kiezen om een nieuwe kopie van uw huidige WordPress-versie te downloaden en alleen de geïnfecteerde bestanden te vervangen.
5. Controleer WordPress-gebruikers
Waarschijnlijk heeft u meerdere gebruikers op uw website. Zoals u al weet, hebben ze verschillende rechten, afhankelijk van hun gebruikersrol.
Soms maken WordPress-hackers een nieuwe gebruiker aan met de benodigde rechten, zodat ze op uw site kunnen inloggen, zelfs als ze de achterdeur kwijtraken.
Of ze gebruiken een gebruikersnaam met een zwak wachtwoord om uw website te hacken.
Om dit te voorkomen, ga je vanuit het dashboard naar Instellingen > Gebruikers. Bekijk alle gebruikers en hun rollen. Reset ook ALLE wachtwoorden van ALLE gebruikers.
Zorg er vooral voor dat er geen ongeautoriseerde accounts met de beheerdersrol zijn toegewezen. Verwijder twijfelachtige accounts direct. Als het geldige gebruikers zijn, kunt u de accounts later altijd opnieuw aanmaken.
Hier zijn nog enkele best practices die u kunt volgen:
- Gebruik nooit de gebruikersnaam 'admin' op je site. Als je die gebruikersnaam al hebt, verander die dan zo snel mogelijk. Vermijd ook het gebruik van veelgebruikte gebruikersnaam die hackers kunnen raden.
- Gebruik tweefactorauthenticatie om ongeautoriseerde toegang tot uw website te voorkomen.
- Integreer CAPTCHA of reCaptcha op uw inlogformulierenIntegreer CAPTCHA of reCaptcha op uw inlogformulierenDit is een effectieve manier om te voorkomen dat bots of geautomatiseerde scripts toegang krijgen tot uw website.
6. Wijzig de geheime sleutels
Geheime sleutels zijn een handige beveiligingsfunctie van WordPress.
Deze sleutels bevatten willekeurig gegenereerde tekst die helpt bij het versleutelen van de informatie die in cookies is opgeslagen. Gebruik de onderstaande procedure om te controleren of u ze op uw site hebt staan. Als u ze niet hebt, kunt u ze zelf aanmaken.
Ook al heeft u ze al, als uw site gehackt is, is dit een goed moment om ze te wijzigen.
Genereer eerst een set geheime sleutels met behulp van deze linkDe willekeurige codegenerator creëert elke keer dat u de pagina vernieuwt een nieuwe set unieke codes.
Ga nu naar uw website en open de wp-config.php bestand. Ga naar regel 49 en je ziet zoiets als het volgende. Het regelnummer kan per bestand verschillen, maar je moet de volgende sectie vinden:
Kopieer en plak de waarde uit de waarden die u zojuist in de bovenstaande link hebt gegenereerd. Sla het bestand op. Hiermee worden alle cookies en ingelogde gebruikers gereset. Als u was ingelogd als beheerder, wordt u gevraagd opnieuw in te loggen.
7. Verander AL uw wachtwoorden
Dit is een veelvoorkomende maar cruciale stap bij het herstellen van een gehackte WordPress-website: reset al je wachtwoorden. Veelvoorkomende wachtwoorden zijn onder andere WP admin, cPanel, MySQL en FTP.
Stel al deze wachtwoorden opnieuw in, en ook de wachtwoorden van alle diensten van derden die u op de website gebruikt.
Zo wijzigt u uw wachtwoorden:
- Om het wachtwoord te wijzigen, ga je vanuit het dashboard naar Gebruikers > Je profiel. Je vindt het nieuwe wachtwoordveld in het gedeelte 'Accountbeheer'.
- Om de cPanel-, MySQL- en FTP-wachtwoorden te wijzigen, logt u in op het controlepaneel van uw hostingaccount en volgt u de beschikbare opties. Als u er niet uitkomt, neem dan contact op met de hostingsupport voor hulp.
Zorg er bij het resetten of wijzigen van wachtwoorden voor dat u nu een sterk wachtwoord gebruikt. Dwing uw bestaande gebruikers ook om hun wachtwoorden voor hun accounts te resetten.
Je kunt de plugin gebruiken Noodwachtwoord opnieuw instellen om een wachtwoordreset voor alle gebruikers af te dwingen.
Toekomstige stappen om hacken te voorkomen
Hoewel de hierboven genoemde stappen u kunnen helpen uw website te herstellen, moet u dit als een waarschuwingssignaal beschouwen. Hier zijn enkele belangrijke stappen die u kunt nemen om ervoor te zorgen dat uw website in de toekomst beschermd blijft tegen verdere WordPress-hackpogingen:
Maak een back-upschema
Zoals je nu beseft, is het cruciaal om regelmatig back-ups van je website te maken. Back-ups kunnen je redden als je site gehackt is. Meerdere back-ups zijn nog beter, omdat je dan terug kunt naar een momentopname van de site vóór de hack.
Gelukkig hoef je dit niet handmatig te doen. Er zijn talloze gratis en premium plugins waarmee je regelmatig back-ups van je site kunt maken. UpdraftPlus is een populaire back-up plugin, terwijl BackupBuddy en Jetpack zeer aanbevolen premium back-upoplossingen zijn.
Alles bijwerken
We hoeven waarschijnlijk niet te benadrukken hoe belangrijk het is om je site up-to-date te houden. Je moet de WordPress-kern, actieve thema's, plugins en alles wat je maar kunt bedenken, updaten. Zorg er tegelijkertijd voor dat je ook de ongebruikte thema's en plugins verwijdert.
Een beveiligingsplug-in instellen
Als u de beveiliging van uw website wilt verbeteren, kunt u het beste een verhardingsplug-in gebruiken zoals iThemes Security, Wordfence Security of Defender. Deze plugins helpen je een firewall te creëren, zodat je kwaadaardig verkeer kunt voorkomen, aanvallers kunt blokkeren en andere bedreigingen kunt aanpakken. Je kunt ook overwegen om een volledige webapplicatiefirewall zoals Sucuri firewall.
Overweeg een Managed Hosting
Wanneer u kiest voor managed hosting, zorgen zij voor de beveiliging, het onderhoud, de prestaties en andere zaken rondom uw website. Dat betekent dat u zich over al deze stappen geen zorgen hoeft te maken. Enkele betrouwbare managed hostingproviders zijn onder andere InMotion, WPEngine, en Kinsta.
Limit Login Attempts
WordPress staat standaard iedereen toe om een onbeperkt aantal wachtwoorden voor elk account te proberen. Dit leidt tot bruteforce-aanvallen en mogelijke kwetsbaarheden van de site. Gelukkig zijn er een aantal gratis plugins zoals Inloggen LockDown en Loginizer-beveiliging om u te helpen het aantal inlogpogingen te beperken.
PHP-uitvoering uitschakelen
In de meeste gevallen creëren hackers backdoors door PHP-bestanden te creëren die eruitzien als core-bestanden. U kunt deze bedreigingen voorkomen door PHP-uitvoering uit te schakelen in de relevante mappen, zoals de map 'uploads' en 'includes'. Hier is een stapsgewijze zelfstudie om dat te doen.
Extra wachtwoord toevoegen voor beheerder
Een andere handige truc om je site veilig te houden, is het gebruiken van een extra wachtwoord voor toegang tot het beheerdersgedeelte. Dit is heel eenvoudig te doen in cPanel. Volg deze tutorial om het wachtwoord toe te voegen aan uw WP-beheer.
Liever video? Bekijk deze video van Sucuri
Als je even de tijd hebt om de volgende video te bekijken, die je kan helpen bij het identificeren van gehackte WordPress-sites en hoe je ze kunt repareren. We hebben Sucuri al een paar keer genoemd in dit artikel, maar deze video van Sucuri geeft een compleet overzicht van gehackte sites.
https://www.youtube.com/watch?v=a6UwUU-3B3w
Laatste woorden: hoe u uw gehackte website kunt repareren
Slachtoffer worden van een gehackte WordPress-site is een vreselijke ervaring, vooral als dit de eerste keer is. Nu u dit artikel hebt gelezen, zou u echter een duidelijk idee moeten hebben van de stappen die nodig zijn om uw gehackte website terug te krijgen.
U kunt dit artikel gerust als bladwijzer opslaan en delen, zodat anderen ook op de hoogte zijn van de stappen.
Tot slot
Als u in de war bent, kies dan gewoon voor een beheerde hostingoplossing en laat iemand anders het voor u afhandelen.
Dit is nog maar het begin. Naarmate het web zich blijft ontwikkelen, zullen ook de hackers proberen je site te infiltreren en je eruit te gooien. Blijf een stap voor door meer te leren over je gebruiksvriendelijke CMS, updates te volgen en de beveiliging van WordPress te verbeteren. Zo voorkom je gegarandeerd dat je website wordt gehackt..
Blijf veilig.
Hulp nodig met het opschonen van je website? Probeer deze hoog gewaardeerde, betaalbare klussen op Fiverr!
Klik hier om experts te vinden op WordPress-beveiliging.
Klik hier om een te maken volledige WordPress-website.