Er zijn misschien veel contentmanagementsystemen in de buurt, maar geen van hen kan een kaarsje vasthouden aan WordPress. Met 51.6+ miljoen sites vanaf maart 2020 (en neemt elke dag toe) het geeft je een idee hoe enorm superieur en geliefd dit systeem is. WordPress-beveiliging en bruikbare tips om WordPress-hacking te voorkomen - het CMS heeft nog een lange weg te gaan als het gaat om beveiliging.
We willen u echter helpen uw website vanaf het begin te beveiligen - voorkomen is beter dan genezen, dus zorg ervoor dat u deze tips uitvoert, in deze, een van onze vele WordPress-tutorials - VANDAAG.
Deze miljoenen sites worden echter ook geconfronteerd met ernstige aanvallen van scriptkiddies die niets beters te doen hebben met hun tijd dan ellende wijd en zijd verspreiden, en anderen met meer snode en kwaadaardige redenen, de duistere actoren van het web: Hackers.
Het is heel gewoon om op een ochtend wakker te worden en je eens zo mooie website poëtisch te vinden vol links en tekst over kruidenvergrotende pillen, of andere onbetrouwbare farma of een of andere oorzaak in het Midden-Oosten.
Onsamenhangend schreeuwen is waarschijnlijk de eerste stap die u onderneemt wanneer uw site paginagrote advertenties, links en omleidingen naar duistere aspecten van 'farmaceutische' bedrijven host.
Als dit scenario je angst aanjaagt, is het gerechtvaardigd om je zo te voelen.
Elke dag worden 90,000 websites gehackt
Bron: HostingFacts
Iedereen wil het hacken van WordPress voorkomen. Omdat het herstellen en herstellen van een website behoorlijk wat tijd en moeite kan kosten.
Dus versterk uw website met deze best practices voor WordPress-beveiliging, om te voorkomen dat u dat vreselijke lot overkomt! En ja, het zal enige tijd en voortdurende inspanning kosten om hackaanvallen te voorkomen.
Houd je er niet van om je handen vuil te maken met code? Proberen iThemes security en laat hem het vuile werk doen. Klik op deze link om 25% KORTING te krijgen tot september 2024.
Als je niet door veel gedoe met bestanden wilt gaan, verschillende plug-ins wilt inschakelen en veel andere dingen die je niet echt begrijpt, hebben we ook de gemakkelijke uitweg voor je. iThemes Security is de beste WP-beveiligingsplug-in om uw website te beveiligen en te beschermen.
Nog niet geïnteresseerd in WP-plug-ins? Lees verder!
We zullen wat codewerk doen, maar laten we eerst de basisprincipes van websitebeveiligingsproblemen behandelen. Beginnend met:
17 WordPress-beveiligingsstappen
1. Het voorkomen van WordPress-hacking begint bij uw werkstation
Dit is de eerste en meest gemakkelijk over het hoofd gezien: uw computer.
U moet uw systeem altijd vrij houden van malware en virussen, vooral als u ermee op internet gaat (wat u natuurlijk bent). Bescherming van werkstations is nog belangrijker wanneer u transacties uitvoert en een website heeft, omdat: het enige dat nodig is, is een keylogger om de meest geharde websites uit te schakelen.
Een keylogger leest al uw gebruikersnamen en wachtwoorden en stuurt ze naar hackers - wat natuurlijk een hele reeks problemen en problemen voor uw website zal veroorzaken.
Blijf veilig en werk uw besturingssysteem, software en browsers op uw computer regelmatig bij. Gebruik een goede antivirusservice. Houd je ogen open voor eventuele kwetsbaarheden op je systeem en verwijder deze voordat het een enorme pijn wordt. Als uw computer zich vreemd begint te gedragen, advertenties en andere onbetrouwbare dingen opduikt, wilt u deze misschien bekijken voordat u uw website bezoekt
2. Installeer alle WordPress-updates
Elke keer dat er een nieuwe versie van WordPress wordt uitgebracht, gebeurt dat met veel tamtam en te midden van een golf van opwinding.
De meesten van ons zijn opgewonden, want hey, nieuwe functies! Hackers zijn enthousiast omdat ze meteen gaan kijken naar de Beveiliging en onderhoud Release-opmerkingen. Helaas, elk WordPress update gaat gepaard met het blootleggen van een aantal beveiligingsproblemen van WordPress in oudere versies.
Bij elke nieuwe WordPress-update krijgen we extra functies en upgrades, samen met een pagina met de beveiligingsfouten in de vorige versie en hun oplossingen.
Die pagina is praktisch een spiekbriefje voor hackers overal. Als u niet op tijd bijwerkt, zullen die fouten worden misbruikt om sites op oudere versies over te nemen (en uw site kan daar een van zijn als u niet bijwerkt).
En als uw site wordt gehackt, is het helaas te laat om excuses te vinden om niet bij te werken naar de nieuwste versie.
Geef hackers dus geen kans om zich erin te wurmen. Installeer de nieuwste versie van WordPress zodra deze is uitgebracht.
Als je bang bent dat het je website in de war brengt, zorg er dan voor dat je een werkende back-up hebt voordat je gaat updaten. De bijgewerkte versie lost alle beveiligingsproblemen op die in de vorige versie bestonden - en gaat heel erg ver om WordPress-hacks te voorkomen.
Wilt u dat uw website automatisch wordt bijgewerkt? Bekijk InMotion VPS voor je hosting - ze hebben uitstekende specifieke WordPress-functies, zodat u uw site automatisch kunt bijwerken zodra ze uit zijn. We gebruiken een InMotion VPS en we zijn er dol op!
3. Zorg ervoor dat uw hostingserver veilig is
Wist je dat in 2019 ongeveer 54% van de websites nog steeds PHP 5.x gebruikt - een versie van PHP die aan het einde van zijn levensduur is en dus geen beveiligingsupdates ontvangt. Dit betekent dat alle sites die draaien op PHP 5.4 kwetsbaar zijn voor hacks via kwetsbaarheden in serversoftware. (Bron Sucuri Hacked Website Report 2019)
Zelfs PHP-versie 7.1 is per 1 december 2019 aan het einde van de levensduur. Oude versies van dergelijke software worden niet meer ondersteund en hebben kwetsbaarheden die niet zijn gepatcht!
Deze oude versies van software zijn vatbaar voor hacks.
Als je weet dat je website op PHP 5 of mogelijk PHP t/m 7.1 wordt gehost, vraag dan je host om te controleren of je site naar een recentere versie van PHP kan worden verplaatst.
Niet alleen dat, maar de de meeste websites/blogs worden gehost op gedeelde servers. Kortom, als een site op een gedeelde server geïnfecteerd raakt, elke andere site loopt gevaar, ongeacht hoe veilig de site/blog verder is.
U wordt buiten uw schuld gehackt.
Denkoefening: Ben je ooit in een gaarkeuken geweest? Kun je je er een voorstellen en je voorstellen wat daarbinnen gebeurt? Als jij een van degenen bent die het geluk heeft aan die travestie te zijn ontsnapt, zal ik je een voorproefje geven (bedoelde woordspeling). Denk aan alles wat er ooit is gebeurd sinds het ontstaan van de keuken, morsen en breken, lekken en spatten. In een gaarkeukenserver zijn die dingen nooit weg. Ze worden een onderdeel van de keuken.
Stel je nu voor dat hetzelfde met je site gebeurt. Een hostingserver van een bedrijf dat onderhoud overslaat en niet bijwerkt naar de nieuwste softwareversies, is al uitgegroeid tot een gaarkeuken.
Bovendien, als u of uw webmaster meerdere websites samen host, stapelen ongebruikte bestanden, gegevens, sites en meer zich op totdat ze een bedreiging vormen voor de huidige sites.
Kies dus voor een betrouwbare en beveiligen gastheer.
VPS en managed hosting minimaliseren de kans op inbreuken en zijn uitstekend geschikt voor e-commercesites. Als shared hosting genoeg voor je is, bekijk dan hun beveiliging voordat je je abonneert op ruimte op hen.
Zorg ervoor dat u controleert of ze hun servers regelmatig onderhouden en ook updaten naar de nieuwste softwareversies. Dit is nog een stap die op uw prioriteitenlijst moet staan als u WordPress-hacking wilt voorkomen.
4. Gebruik beveiligde verzendingen om onderschepping van wachtwoorden en gegevens te voorkomen
Via een onbeveiligde verbinding kunnen gegevens worden onderschept en kunt u worden gehackt voordat u "niet-versleuteld" kunt zeggen.
Dit is waarom u zich moet concentreren op veilige netwerkverbindingen en versleuteling: server-side, client-side en alle kanten. Zoek een host die SFTP/SSH-codering toestaat om uw gegevens en informatie te beschermen tegen kwaadwillende onderscheppingen.
Uw site moet ook een hebben beveiligd certificaat geïnstalleerd en zo ingesteld dat wanneer u zich aanmeldt, uw inloggegevens veilig worden verzonden.
5. Voorkom hacken door complexe wachtwoorden
Essentiële tip: maak een sterk wachtwoord en gebruik NOOIT wachtwoorden opnieuw
Onze volgende stap over het beschermen van WordPress tegen hackers gaat over een veel clichématig onderwerp: wachtwoorden.
Een schrikbarend aantal mensen denkt dat lange, ingewikkelde wachtwoorden overschat worden en geeft de voorkeur aan iets dat korter en gemakkelijker te onthouden is; een feit dat hackers weten en er misbruik van maken.
Er is geen andere manier om dit te zeggen: een goed sterk wachtwoord dat bestaat uit letters, cijfers en andere geldige tekens zal echt een lange weg gaan om uw blog te beschermen.
Een brute force hack-aanval kan werken aan een kort wachtwoord met een eenvoudig woord (bijvoorbeeld een woordenboektrefwoord of een eenvoudig algemeen wachtwoord), ja. Maar hoe meer tekens uw wachtwoord bevat, hoe langer het duurt om het te kraken.
Het duurt exponentieel langer om lange complexe wachtwoorden te kraken.
Wat je probeert te doen is de bekende patronen te doorbreken om hacken moeilijk, zo niet onmogelijk te maken.
Alle persoonlijke gegevens, of wachtwoorden die daarop gebaseerd zijn (zoals verjaardagen of namen van personen), zijn makkelijk te kraken. Gebruik ook geen wachtwoorden die uit één woord bestaan (ongeacht de lengte), alleen letters of alleen cijfers..
Maak een wachtwoord dat gemakkelijk te onthouden maar moeilijk te raden is om WordPress-hacking te voorkomen - als je blog over beveiliging gaat, maak er dan zoiets van druk opmijnWOORDENen5ecurit!$
6. Houd uw databases veilig en geïsoleerd
Uw database weet alles wat er ooit op uw site is gebeurd. Het is een echte bron van informatie en dat maakt het onweerstaanbaar voor hackers.
Geautomatiseerde codes voor SQL-injecties kunnen relatief eenvoudig worden uitgevoerd om uw websitedatabase te hacken. Als u meerdere sites/blogs vanaf één server (en database) uitvoert, lopen al uw sites gevaar.
Zoals de codebron het stelt, het is het beste om voor elke blog/site afzonderlijke databases te gebruiken en deze door afzonderlijke gebruikers te laten beheren. In eenvoudige bewoordingen zou elke website die u host zijn eigen database en eigen databasegebruiker moeten hebben.
Alleen die databasegebruiker mag toegang hebben tot de database.
Ook alle databaserechten intrekken, behalve data gelezen en gegevens schrijven van gebruikers die alleen werken met het plaatsen/uploaden van gegevens en het installeren van plug-ins.
Het wordt echter niet aanbevolen vanwege: schema verandering privileges die vereist zijn bij grote updates.
U moet ook de naam van uw database wijzigen (door het voorvoegsel ervan te wijzigen) om de hackers die hun aanvallen erop richten op het verkeerde been te zetten. Hoewel dit het hacken van WordPress op zich niet verhindert, zorgt het ervoor dat als er databases worden gecompromitteerd, de hackers niet naar de volgende WordPress-installatie kunnen springen.
7. Verberg de aanmeldings- en beheerdersnaam van uw website
De volgende stap over het beveiligen van WordPress tegen hackers betreft de WordPress-beheerder.
De standaardinstellingen van WordPress onaangeroerd laten is praktisch vragen voor problemen.
Het is belachelijk eenvoudig om de beheerdersnaam van uw site te vinden als u deze niet actief verbergt.
Het enige wat een hacker nodig heeft, is toevoegen ?auteur=1 na uw URL en de persoon/het lid dat verschijnt is waarschijnlijk de beheerder. Stel je voor hoe gemakkelijk het voor de hackers zou zijn om brute kracht te gebruiken zodra ze de gebruikersnaam van de beheerder hebben gevonden.
Hoe kun je hacken voorkomen als je zoveel informatie beschikbaar laat, uitbuiting makkelijker maken?
Oplossing om WordPress-hacks af te schrikken: Verberg alle gebruikersnamen met deze code in het bestand Functions.php:
add_action('template_redirect', 'bwp_template_redirect');
functie bwp_template_redirect()
{
als (is_auteur())
{
wp_redirect( home_url() ); Uitgang;
}
}
Uw inlogpagina is ook gemakkelijk toegankelijk, en niet alleen voor u. Als je gewoon wp-admin of wp-login.php toevoegt na je homepage-URL, vul dan de gebruikersnaam in die we hebben geleerd van ?author=1, het enige dat overblijft is een beetje brute forceren of gissen totdat een wachtwoord is gekraakt.
Gebruik de techniek van 'security by obscurity' en wijzig de URL van uw inlogpagina om het werk van de hackers wat moeilijker te maken.
Beveiligingsplug-ins zoals iThemes Security hebben een Hide Login-instelling die gemakkelijke toegang tot de WordPress-login verwijdert.
Nogmaals, het doen van deze eenvoudige stap zal een zeer lange weg gaan in het voorkomen van WordPress-hacking.
Weet je niet zeker of je dit allemaal aan kunt?
Hulp nodig? Kijk even naar iThemes Security Pro - één plug-in en uw website is veilig. Gegarandeerd. Klik op onderstaande links om de site te bezoeken.
8. Voorkom hacking via WordPress-beveiligingsplug-ins en -trucs om wp-admin te beschermen
Je wp-admin is het belangrijkste onderdeel van je WordPress-installatie - degene met de meeste "kracht".
Helaas zijn de inlogpagina en beheerdersdirectory voor iedereen beschikbaar: inclusief degenen met kwade bedoelingen. Om het te beschermen en hackaanvallen te stoppen, moet je net iets harder werken.
iThemes Security
Een sterk wachtwoord, een ander beheerdersaccount (met een gebruikersnaam die allesbehalve 'beheerder'), en gebruik de iThemes Security plug-in om uw login-links te hernoemen zal zeker helpen om hacking te voorkomen.
Malcare
Je kunt de bewaker rond admin ook versterken met plug-ins voor websitebeveiliging zoals Malcare.
Deze 5-sterrenservice is er een die we vrij recent hebben ontdekt.
Malcare is ontwikkeld door het team achter Blogvault, die we al hebben gebruikt en geweldig hebben gevonden.
Hun nieuwste aanbod biedt een complete service voor beveiliging en websitebeheer. Het biedt personeel zoals het scannen van bestanden op kernwijzigingen (om hacks te detecteren), noodopschoning, een ingebouwde firewall om kwaadaardig verkeer te stoppen, het updaten van thema's en plug-ins rechtstreeks vanaf hun dashboard en back-ups met één klik.
Het beste hiervan is dat u AL uw sites vanuit één enkel dashboard kunt beheren, zonder dat u op elk van hen afzonderlijk hoeft in te loggen.
Limit Login Attempts Reloaded
Met een stukje code in combinatie met onbeperkte inlogpogingen, zal elke hacker uiteindelijk inbreken.
U kunt het aantal inlogpogingen dat een enkele gebruiker mag uitvoeren op de beheerdersaanmeldingspagina beperken met: Limit Login Attempts Opnieuw geladen plug-in. Het beperkt het aantal inlogpogingen voor elk IP-adres, inclusief uw eigen (met auth-cookies).
Really Simple SSL
Gebruik de kracht van Private SSL om beheerdersaanmelding, gebied, berichten en meer te beveiligen. De ... gebruiken Really Simple SSL inpluggen maakt codering mogelijk op uw inlogsessies, wat betekent dat het wachtwoord moeilijk te onderscheppen is.
U moet een SSL-certificaat aanschaffen en dit op uw hostingserver laten installeren. InMotion biedt gratis SSL-certificaten aan op hun hostingplannen - dus als je dat nog niet hebt gedaan, is het misschien tijd om over te schakelen naar InMotion om ook je SSL te krijgen.
Zodra je bij je hostingprovider hebt bevestigd dat je Shared SSL hebt, kun je de plug-in activeren.
Als je liever geen plug-in gebruikt, maar SSL alleen bij het inloggen wilt forceren, voeg dan deze code toe aan het bestand wp-config.php:
definiëren('FORCE_SSL_ADMIN', waar);
Acunetix Veilige WordPress
Deze inpluggen is over het algemeen een uitstekende beveiligingsoplossing, maar enkele belangrijke functies maken het nog beter.
Allereerst voert het een websitebeveiligingsscan uit. Het besteedt ook veel aandacht aan preventieve maatregelen, zodat u in de eerste plaats het hacken van WordPress stopt. Om het beheerdersgedeelte te beschermen, wordt foutinformatie van de inlogpagina verwijderd.
Dat klinkt misschien niet zo veel, maar de foutmelding helpt hackers om erachter te komen of ze iets goed hebben gedaan. Het verwijderen van het bericht (hint) neemt dat voordeel weg.
Als u hacking wilt voorkomen, moet u ten minste enkele van deze plug-ins installeren.
Toptip: de rest van het artikel bevat tips voor geavanceerde websitebeveiliging
Voor de rest van de tips moet u aan uw WordPress-installatie sleutelen, wat enig risico met zich meebrengt. Als je liever niet aan je installatie sleutelt, wil je misschien: huur een WordPress-ontwikkelaar in om u te helpen.
9. Hoe WP te beveiligen via wp-includes
Laten we dit duidelijk maken: de wp-includes map is een kernonderdeel van WordPress. Het moet met rust worden gelaten, zelfs door jou. En het mag in geen geval toegankelijk worden gelaten voor potentiële hackers.
Om te voorkomen dat kwaadwillende personen/bots ongewenste scripts rechtstreeks naar het hart van uw website sturen om hackaanvallen te voorkomen.
Voeg dit eerder toe #BEGIN WordPress in je .htaccess-bestand:
# Blokkeer de bestanden die alleen kunnen worden opgenomen.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
Houd er rekening mee dat u moet laat de derde RewriteRule weg als je wilt dat de code werkt op Multisite.
10. Bescherm uw wp-config voor verbeterde websitebeveiliging
Dit is een van de onderwerpen die een beetje controversieel is. Niet iedereen is het ermee eens om dit te doen.
Of je wp-config.php nu wel of niet buiten de hoofdmap verplaatst, het valt niet te ontkennen dat een beetje tweaken van de code in dit bestand kan helpen om je website te versterken en het moeilijker te maken om WordPress-hacks uit te voeren.
Weet je niet zeker of je al deze technische dingen aankunt? Daar is er een beveiligingsplug-in om ze allemaal te regeren.
- Beginnen met het bewerken van PHP-bestanden vanuit het dashboard uitschakelen, waar de aanvaller zich zal concentreren na het hacken van een toegangspunt. Voeg dit toe aan wp-config.php
define ('DISALLOW_FILE_EDIT', true);
- $table_prefix wordt voor al uw databasetabellen geplaatst. U kunt aanvallen op basis van SQL-injectie voorkomen door de waarde ervan te wijzigen van de standaard wp_. Wees voorzichtig als u dit doet, u moet elke bestaande tabel hernoemen naar het nieuwe voorvoegsel dat u instelt.
$table_prefix = 'r235_';
- map wp-content verplaatsen vanuit de standaardpositie met deze
definiëren( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT']. '/blog/wp-content');
definiëren( 'WP_CONTENT_URL', 'https://example/blog/wp-content');
definiëren( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT']. '/blog/wp-content/plugins');
definiëren( 'WP_PLUGIN_URL', 'https://example/blog/wp-content/plugins');
Als je nu geen bent ontwikkelaar, hebt u niet veel gebruik van foutenlogboeken. Hiermee kunt u voorkomen dat ze toegankelijk zijn:
foutrapportage = 4339
display_errors = Uit
display_startup_errors = Uit
log_errors = Aan
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
negeer_repeated_errors = Aan
negeer_repeated_source = Uit
html_errors = Uit
11. Maak een back-up van uw website (voor het geval dat)
Dit is het vangnet. Een back-up is een van de eerste dingen die je nodig hebt om je site te herstellen als je gehackt wordt.
Maak minstens zo vaak een back-up van uw site als u onderhoud uitvoert of updatet. Er is geen excuus om laks te zijn op deze afdeling, niet wanneer er enkele uitstekende back-upservices en plug-ins zijn die geautomatiseerde back-ups voor u uitvoeren. Enkele suggesties voor plug-ins zijn:
- VaultPress,
- Opwaartse luchtstroomPlus,
- WP-DB-back-up,
- Back-upBuddy,
- enz.
Aanbevolen literatuur: Native vs plug-in - WordPress-back-up met verschillende methoden
Maak een planning en laat de plug-in de rest doen.
Sommige van deze plug-ins worden geleverd met eenvoudige herstelopties. Controleer of de plug-in een back-up maakt van de hele site, inclusief alle databases en mappen. Hoewel dit WordPress-hacks niet verhindert, geeft het je gemoedsrust om je site te herstellen als het ondenkbare gebeurt.
12. Gebruik alleen vertrouwde bronnen voor downloads
Als je een krap budget hebt (en zelfs als dat niet zo is), kom je misschien in de verleiding om alle functies en functionaliteiten van premium plug-ins/thema's gratis te krijgen: illegale of gekraakte plug-ins.
Je kunt een hacker niet te slim af zijn als je premium dingen downloadt van slechte of niet-geautoriseerde bronnen - ze zullen terugkomen om je te bijten. Ze hebben een slechte reputatie omdat ze die legitieme 'premium' plug-ins/thema's vullen met malware en jij de rest laat doen.
Gekraakte plug-ins of thema's bevatten verborgen achterdeuren, waardoor ze naar believen de controle over uw site kunnen overnemen. Het gebruik van zo'n download is alles wat ze nodig hebben om het online uiterlijk van uw merk om te zetten in een gigantische poster voor vergrotingspillen - of erger nog, malware.
Uw site wordt snel op de zwarte lijst geplaatst, zelfs van zoekmachines en browsers als deze malware bevat.
Dit is een bekende en zeer populaire tactiek van hackers.
Gepirateerde thema's en plug-ins zitten vol met achterdeurtjes en malware. Dit is een van de gemakkelijkste WordPress-beveiligingsproblemen om echt op te lossen. Het is het beste om te kiezen voor een vertrouwd thema van een vertrouwde bron, zoals degene die we hier hebben beoordeeld: Avada-thema
Gepirateerde, nulled of gekraakte dingen? Doe geen moeite.
Je bent goed met officiële thema's en plug-in-directory's, dus probeer je daaraan te houden. Je kunt ook bronnen vertrouwen zoals ElegantThemes, Themabos, Code Canyon, enz.
13. Beveilig uw website door eruit te zien als een Pro
Een rookie is makkelijker te hacken.
Tenminste, dat denken de meeste hackers (niet ten onrechte).
Wijzig alle standaardinstellingen: berichten, opmerkingen, gebruikersnamen, directorynamen, enz.
Het is makkelijker als je aan het instellen bent.
Als je WordPress al in gebruik is, ga dan naar Instellingen > Diversen (in je Beheerdersinstellingen) om de directorynamen te wijzigen. Dit zal een nieuwe stap zijn in uw streven om WordPress-beveiligingsproblemen te stoppen en het hacken van uw site veel moeilijker te maken.
Vergeet niet om te verbergen welke versie van WordPress u gebruikt: verwijderen /wp-admin/install.php en wp-admin/upgrade.php. Ga nog een stap verder en verwijder meta generator tag (“”) van wp-content/uw_thema_naam/header.php Je zou ook moeten versiedetails verwijderen uit RSS-feed.
Open hiervoor wp-includes/general-template.php. Rond lijn 1860 vind je dit:
functie the_generator ($args) {
echo apply_filters('the_generator', get_ the_generator($args), $ args). "\n";
}
Voeg eerder een hash toe 'echo' commando en je bent gesorteerd.
functie the_generator ($args) {
#echo apply_filters('the_generator', get_ the_generator ($args), $type). "\n";
}
14. Goede WordPress-beveiliging vereist goede bestandsrechten
De vuistregel is: 755 voor mappen en 644 voor bestanden.
Hoewel dit kan variëren afhankelijk van de server en het type bestand in kwestie, zou u in de meeste gevallen heel goed met deze machtigingen moeten werken.
Je kunt het beste je host vragen om te controleren, of als je directe toegang hebt, kun je dit zelf doen.
Voor mappen:
zoek /pad/naar/uw/wordpress/install/ -type d -exec chmod 755 {} \;
Voor bestanden:
zoek /pad/naar/uw/wordpress/install/ -type f -exec chmod 644 {} \;
15. Websitebeveiliging: stel bestandsrechten nooit in op 777
Als u WordPress-hackers echt wilt tegenhouden, stel dan NOOIT de bestands-/mapmachtiging in op 777, tenzij u iedereen, inclusief hackers, volledige controle wilt geven.
Er is een zeer gevaarlijke neiging onder beginners om bestandspermissies in te stellen op 777, "omdat het gemakkelijk is", of "omdat we het later zullen repareren", of "omdat ik het later zal veranderen".
Dit is extreem gevaarlijk - 777 betekent dat iedereen op internet de inhoud van dat bestand kan wijzigen.
Als deze machtigingen zijn ingesteld, is uw website een open huis. Zodra ze toegang hebben tot één bestand, kunt u er zeker van zijn dat het heel gemakkelijk is om naar andere bestanden te springen of backdoors en andere vervelende dingen op uw site te installeren.
Dé WordPress codex heeft een complete gids voor bestandsrechten: hoe u ze kunt wijzigen en de aanbevolen machtigingen voor sommige bestanden.
U moet een balans vinden tussen het beveiligen van uw website en functionaliteit, dus begin laag en verhoog geleidelijk de machtigingen totdat u het goed doet. De juiste bestandsrechten zullen zeker helpen bij het voorkomen van website-hacking. Nogmaals, dit is een van de gemakkelijkere WordPress-beveiligingsproblemen om te voorkomen, je moet je er alleen bewust van zijn.
16. Sta toegang tot WP admin toe en log alleen in op uw IP via IP-filtering
Een zeer eenvoudige, elegante manier om de toegang tot de inlogpagina en het beheerdersgedeelte te beperken, is door middel van IP-filtering.
Het enige wat je hoeft te doen is deze code toe te voegen aan .htaccess. Deze suggestie komt met dank aan Sucuri, die een uitstekende WordPress-beveiligingsservice biedt
Bestelling weigeren, toestaan
Weigeren van alles
Toestaan van [Voeg hier uw IP-adres(sen) toe]
Nu werkt dat alleen voor statische IP's, maar u kunt hetzelfde doen voor dynamische IP's hiermee:
Bestelling weigeren, toestaan
Weigeren van alles
Toestaan van [Voeg hier uw domeinnaam toe]
Toegang beperken tot: wp-admin map, voeg dit toe aan .htaccess:
Bestelling weigeren, toestaan
Weigeren van alles
Toestaan van [Voeg hier uw IP-adres(sen) toe]
Op domeinnaam:
Bestelling weigeren, toestaan
Weigeren van alles
Toestaan van [Voeg hier uw domeinnaam toe]
Bron: blog.Sucuri.net
17. Beveiligingsplug-ins om WordPress-hacks te blokkeren
Hoewel we niet de neiging hebben om het gebruik van veel plug-ins te promoten, als het gaat om: WordPress beveiligingsplug-ins, zijn er enkele die u misschien echt wilt installeren om de veerkracht van uw site te vergroten.
- iThemes Security Pro - Luister, veel van de bovenstaande acties zijn ongetwijfeld een beetje technisch. Dat snappen we. Bent u niet technisch aangelegd, dan hebben wij de oplossing voor u. iThemes Security is de beste WordPress-beveiligingsplug-in om uw website te beveiligen en te beschermen.
-
Install WP Security Audit Log-plug-in - dit is de meest uitgebreide plug-in voor het activiteitenlogboek van WordPress. De plug-in houdt alles bij wat er op uw WordPress-website gebeurt in een auditlogboek (ook wel WordPress-activiteitenlogboek genoemd), zodat u hackers op afstand houdt. Dit komt omdat je hun aanvalspogingen kunt identificeren voordat ze daadwerkelijk je WordPress-website hacken, waardoor je de tijd hebt om hun kwaadaardige acties te dwarsbomen.
Google Authenticator en Duo tweefactorauthenticatie zijn geweldige keuzes om een extra beschermingslaag toe te voegen aan uw inlogpagina. Er wordt een autorisatiecode naar uw e-mail/mobiel gestuurd, zonder welke de gebruiker/hacker niet kan inloggen.
Wat is er lekkerder dan een lekkere BBQ? Deze plug-in blokkeert URI-tekenreeksen die eval(base 64 en andere verdacht lange verzoekreeksen bevatten.
Controleer je thema op malware en verborgen achterdeurtjes met deze plug-in voordat iemand misbruik maakt van die zwakke punten op een anders veilige site/blog.
- Antivirus-plug-ins
Deze is een no-brainer. Voer regelmatig site-scans uit en verwijder ze voordat ze zich voordoen. Plug-ins/diensten zoals Sucuri, Wordfence, etc. De eerder genoemde Acunetix Secure WordPress is ook een goede. Exploitscanner zal uw site ook binnenstebuiten controleren op schadelijke code.
Als je geïnteresseerd bent, hebben we een geweldige vergelijking geschreven over Sucuri versus Wordfence die deze twee grote jongens head-to-head vergelijkt.
De essentiële checklist voor volledige websitebeveiliging - YouTube-versie
Dankzij Webucator, een aanbieder van WordPress-training, we hebben deze checklist als video gemaakt.
Ons volgende deel van dit artikel gaat over het repareren van een WordPress-beveiligingshack, zodra het is gebeurd.
Website gehackt? 7 stappen om uw website volledig te herstellen
Sucuri publiceert voor elk kwartaal een trendrapport over gehackte websites. in hun laatste rapport, hebben ze onthuld dat verschillende WordPress-releases 94% van de in 2019 gehackte sites mogelijk maakten
Gehackte WordPress-sites blijven een reëel probleem. Omdat het het meest populaire platform is voor het maken van websites, is de kans om gehackt te worden aanzienlijk groter voor WordPress-sites.
Dat is niet verwonderlijk aangezien WordPress verreweg het grootste platform is om nieuwe websites te maken. Zolang WordPress populair blijft, zullen hackers het winstgevend blijven vinden om te zoeken naar kwetsbaarheden in WordPress-sites. Het is echt een spel van cijfers.
En het maakt niet uit welke preventieve maatregelen u neemt; het is onmogelijk om de perfecte beveiliging voor een website te garanderen. Wat je wel kunt doen, is het hacken moeilijker maken, zodat degenen die op zoek zijn naar laaghangend fruit het niet lastig zullen of niet zullen lukken.
In deze tutorial laten we je kennismaken met 7 stappen die je moet nemen om een gehackte WordPress-site te repareren.
Laten we, voordat we met de procedure beginnen, eerst kijken wat het probleem veroorzaakt. Over het algemeen zijn er twee soorten kwetsbaarheden:
- Veelvoorkomende kwetsbaarheden en
- Beveiligingsproblemen.
Laten we elk type eens nader bekijken. Beide typen kunnen worden misbruikt door hackers.
Voordat u begint: het herstellen van een gehackte website is niet iets dat door mensen zonder voldoende kennis kan worden ondernomen. Het is ten zeerste aan te raden om hulp te vragen aan WordPress-ontwikkelaars die zeer bekwaam zijn voordat ze proberen dit te doen als je niet op je gemak bent met knutselen.
Veelvoorkomende kwetsbaarheden die leiden tot gehackte WordPress-sites
De veelvoorkomende kwetsbaarheden kunnen afkomstig zijn van uw lokale computer of van de hostingprovider. De meesten van ons zijn waarschijnlijk bekend met dit soort problemen.
Deze problemen kunnen optreden als uw pc of lokale netwerk wordt gecompromitteerd. Wanneer hackers toegang krijgen tot uw pc of het netwerk, kunnen ze zich gemakkelijk richten op een website die u bezit - met als resultaat een gecompromitteerde of gehackte WordPress-site.
U kunt deze situaties vermijden door betrouwbare antivirus- en antimalware-scantools te gebruiken. Je moet gezond verstand gebruiken bij het gebruik van internet. Comodo en malwarebytes hebben enkele handige tips om uw pc te beschermen tegen hackers. De meeste hiervan zijn vrij logisch als je erover nadenkt, zoals het up-to-date houden van software voor zowel je werkende desktop als randapparatuur zoals je internetrouter.
De tweede soort kwetsbaarheid kan ontstaan bij je hostingprovider, zeker als je een shared hostingpakket gebruikt. Zoals u wellicht weet, deelt een shared hostingpakket de server met meerdere gebruikers.
Als een van deze gebruikers de best practices niet volgt, wordt de hele server ernstig bedreigd. Natuurlijk is het in een shared hosting-scenario hoogst onwaarschijnlijk dat alle gebruikers goede beveiligingspraktijken zullen gebruiken, dus shared hosting-pakketten zijn per definitie riskant.
In sommige gevallen wordt een site in een gedeeld hostingpakket gecompromitteerd en kan de hacker lateraal gaan of naar andere sites op dezelfde server springen. In dit geval moet u overleggen met uw hostingprovider en zij zullen de nodige stappen ondernemen.
Dit betekent dat, zelfs als uw site volledig is bijgewerkt en beveiligd, u nog steeds een gehackte WordPress-site kunt krijgen.
Overigens, als u op zoek bent naar een zeer veilige hostingprovider, moet u serieus overwegen om onze Hostingbeoordeling van InMotion - we voelen ons zeer goed beschermd op deze service.
Nu we de veelvoorkomende kwetsbaarheden hebben geïdentificeerd, gaan we eens kijken naar de beveiligingsaspecten.
Gehackt door kwetsbaarheden
Er zijn verschillende soorten beveiligingsproblemen voor WordPress. We zullen het hebben over de meest voorkomende:
Zwakke combinaties gebruikersnaam/wachtwoord
We hoeven u niet te vertellen over het belang van het gebruik van een veilig wachtwoord. Sinds versie 3.0 heeft WordPress zelf meer focus gelegd op het dwingen van gebruikers om een sterk wachtwoord te gebruiken, er is bijvoorbeeld een ingebouwde detectiefunctie voor wachtwoordsterkte in het beheerdersdashboard.
De vuistregel is dat je nooit een voorspelbare gebruikersnaam (zoals admin) moet gebruiken en altijd sterke wachtwoorden moet gebruiken. Deze maken het voor hackers moeilijker om toegang te krijgen tot uw site.
Thema/plug-in bugs en kwetsbaarheden
Hoewel het een goede gewoonte is om bekende thema's en plug-ins te gebruiken, kunnen populaire producten soms een verborgen beveiligingsfout te. Als dat gebeurt, zul je dit waarschijnlijk horen op populaire IT-nieuwsblogs en andere bronnen van WordPress-beveiligingsinformatie.
U bent echter waarschijnlijk veiliger als u ervoor zorgt dat u alleen vertrouwde thema's of plug-ins gebruikt - omdat u snel kunt updaten naar een gepatchte versie. Bekijk de reviews, rating, aantal downloads, etc. om de betrouwbaarheid te analyseren.
En nooit gebruik nooit illegale of ongeldig gemaakte thema's of plug-ins. Het is een bekend feit dat de meeste hiervan schadelijke code bevatten, die een achterdeur in uw site creëren. Dit is letterlijk een manier om volledige controle op afstand over uw site te krijgen.
In werkelijkheid, als u een gekraakt, illegaal gekopieerd of ongeldig thema of plug-in gebruikt, is uw website AL gehackt. Je gebruikt een site die plotseling vreemde dingen gaat doen, zoals het weergeven van onbetrouwbare links, het verspreiden van malware of zelfs deel uitmaken van DDoS-aanvallen.
Wat u denkt dat gratis is, kost u veel meer dan u verwacht.
WP-kern, thema's of plug-ins niet bijwerken
Het gebruik van een verouderde versie van de WordPress-kern, thema's of plug-ins is een andere belangrijke reden voor inbreuken die leiden tot gehackte websites. De meeste updates bevatten code die de beveiliging en prestaties van uw website herstelt. Daarom is het noodzakelijk dat u uw website, thema's en plug-ins bijwerkt zodra ze beschikbaar zijn. Zorg ervoor dat u een volledige siteback-up maakt voordat u gaat updaten.
Wat te doen als uw WordPress is gehackt?
Zelfs als je stappen hebt ondernomen om de risico's te verkleinen, ben je mogelijk nog steeds het slachtoffer geworden van WordPress-hacking.
Raak niet in paniek en volg de onderstaande stappen.
1. Identificeer het type hack
De oplossing om uw site terug te krijgen, hangt af van het type WordPress-hack. Dat betekent dat de eerste stap het definiëren van het type is.
Hier zijn de vragen die u moet stellen om dat te doen:
- Heb je toegang tot het beheerdersgedeelte?
- Wordt uw site omgeleid naar een andere site?
- Staan er onbekende link(s) op uw site?
- Waarschuwt Google de bezoekers over uw site?
- Heeft uw hostingprovider u laten weten dat uw site er verdacht uitziet?
- Toont uw site onbekende advertenties in de kop-, voettekst of andere secties?
- Worden er ongewenste pop-ups weergegeven?
- Is er een onverwachte piek in het bandbreedtegebruik?
Doorloop de vragen één voor één en probeer de antwoorden voor elk van hen te vinden. Dit zal je helpen de beste opties te vinden om de controle over je gehackte WordPress-site terug te krijgen.
2. Probeer herstellen vanaf back-up
Als u de best practices volgt, zou u dagelijkse, wekelijkse of maandelijkse back-ups van uw site moeten hebben. De back-upfrequentie hangt af van hoe vaak u uw website plaatst of wijzigingen aanbrengt.
Wanneer u regelmatig back-ups maakt, is het herstellen van uw gehackte WordPress-site net zo eenvoudig als het herstellen van de nieuwste back-up. Als je een automatisch back-upschema hebt ingesteld, zoek dan uit wat de laatste back-up is voordat je site werd gehackt en herstel die versie.
U moet er dan voor zorgen dat u alle plug-ins, thema's of iets dat niet is bijgewerkt, bijwerkt.
Wat als je geen back-ups van je site hebt gemaakt? Betekent dit dat je je site voor altijd kwijt bent?
Nee eigenlijk.
Er zijn ook andere opties. De meeste gerenommeerde hostingdiensten houden regelmatig back-ups van hun klantensites. Vraag uw hostingprovider of zij een back-up bewaren. Als dat het geval is, kunt u hen vragen om uw site te herstellen vanaf de laatste stabiele back-up.
Als er geen back-up is, moet u een procedure voor het opschonen van uw gehackte WordPress-site doorlopen, die we hieronder laten zien.
3. Zoek hulp bij uw hostingprovider
Meer dan 40% van de gehackte websites had een beveiligingsprobleem op het hostingplatform. Daarom, wanneer je WordPress wordt gehackt, kan het een goed idee zijn om je hostingprovider te vragen om je te helpen je site terug te krijgen.
Elk betrouwbaar webhostingbedrijf zou u in deze gevallen willen helpen. Zij hebben professionals in dienst die dagelijks met deze situaties te maken hebben. Ze zijn zeer vertrouwd met de hostingomgeving en hebben toegang tot geavanceerde scantools voor websites.
Daarom kunnen ze u helpen de meest voorkomende hackaanvallen op websites te herstellen. Als de hack afkomstig is van de server, kan uw hostingbedrijf u helpen de site terug te krijgen.
4. Scan op malware
In veel gevallen krijgen hackers toegang tot uw website door achterdeurtjes te gebruiken. Backdoors creëren ongeautoriseerde toegangspunten tot uw website. Bij gebruik van backdoors kunnen hackers toegang krijgen tot uw website zonder inloggegevens en blijven ze vrijwel onopgemerkt.
Hier zijn enkele veelvoorkomende locaties van de achterdeuren die u moet controleren als uw website is gehackt:
- Thema's: De meeste hackers geven er de voorkeur aan om de achterdeur in een van je inactieve thema's te plaatsen. Door dit te doen, hebben ze nog steeds toegang tot uw website, zelfs als u deze regelmatig bijhoudt. Daarom is het cruciaal om al uw inactieve thema's te verwijderen.
- Plugins: De map met plug-ins is een andere mogelijke plaats om de kwaadaardige code te verbergen. Daar zijn meerdere redenen voor. Allereerst denken de meeste mensen er nooit aan om de plug-inbestanden te controleren. Ze geven er ook de voorkeur aan de plug-ins niet bij te werken zolang ze werken. Bovendien zijn er enkele slecht gecodeerde plug-ins die kunnen worden misbruikt om ongeautoriseerde toegang te krijgen tot een WP-site.
- Uploadmap: In de meeste scenario's hoeft u zich nooit druk te maken over het controleren van de uploadmap, aangezien die map alleen de bestanden bevat die u heeft geüpload. Sommige hackers geven echter de voorkeur aan deze map omdat ze het schadelijke bestand gemakkelijk kunnen verbergen tussen honderden of duizenden bestanden die in verschillende mappen zijn verspreid. Omdat de map beschrijfbaar is, dient deze ook hun doel.
- Inclusief map: Dit is een andere map die door de meeste gebruikers vaak wordt genegeerd. Als gevolg hiervan plaatsen hackers de achterdeur in deze map en krijgen ze volledige toegang tot uw site.
- wp-config.php-bestand: Het is heel gebruikelijk om kwaadaardige code te vinden die zich in dit bestand verstopt. Omdat het bestand echter zeer bekend is, vermijden geavanceerde hackers het gebruik van dit bestand.
Houd je er niet van om je handen vuil te maken met kwaadaardige scripts? Proberen iThemes security en laat hem het vuile werk doen.
De enige manier om van de achterdeur af te komen, is door de kwaadaardige code van de website te verwijderen. Er zijn verschillende plug-ins waarmee u uw website kunt scannen op schadelijke code.
Onder hen zijn de volgende premium plug-ins geweldige keuzes: iThemes Security, Sucuri Beveiliging, WPMUDev-verdediger zijn geweldige opties.
De volgende zijn ook goede opties, maar houd er rekening mee dat beide sinds de update van dit artikel meer dan 3 jaar niet zijn bijgewerkt. Dit betekent dat ze misschien niet zo betrouwbaar zijn als vroeger: Exploitscanner en Thema Authenticiteit Checker.
U kunt deze gratis plug-ins gebruiken om ongewenste wijzigingen in de thema's, plug-ins en kernbestanden van uw website te detecteren. Als u echter serieus uw site wilt repareren, raden we u ten zeerste aan om voor een van de premiumproducten te kiezen.
Ze zullen in het algemeen actueler en betrouwbaarder zijn dan alle gratis producten.
Als de plug-ins een verdacht bestand vinden, maak dan een volledige back-up en verwijder het bestand of kijk welke actie de plug-in suggereert. Als u een back-up maakt, moet u er ook voor zorgen dat u een back-up maakt van een gehackte site.
En als een thema of plug-in is aangetast, verwijder die dan van je site. Download het laatste exemplaar en upload het naar uw website.
Als de wijziging wordt gedetecteerd in een van de kernbestanden, moet u een nieuwe installatie van WordPress downloaden en een handmatige update uitvoeren (dwz alle bestanden overschrijven met de nieuwe).
U kunt ook een nieuwe kopie downloaden van de WordPress-versie die u momenteel bent en alleen de gecompromitteerde bestanden vervangen.
5. Controleer WordPress-gebruikers
Waarschijnlijk heeft u meerdere gebruikers op uw website. Zoals u al weet, hebben ze verschillende mogelijkheden op basis van hun gebruikersrol.
Soms creëren WordPress-hackers een nieuwe gebruiker met de benodigde machtigingen, zodat ze op uw site kunnen inloggen, zelfs als ze de achterdeur kwijtraken.
Of ze kunnen een gebruikersnaam met een zwak wachtwoord gebruiken om uw website te hacken.
Om dit te voorkomen, gaat u vanuit het dashboard naar Instellingen > Gebruikers. Bekijk alle gebruikers en hun rollen. Reset ook ALLE wachtwoorden van ALLE gebruikers.
Het belangrijkste is dat u ervoor zorgt dat aan geen enkel ongeautoriseerd account de beheerdersrol is toegewezen. In het geval van dubieuze accounts, verwijder ze onmiddellijk. Als het geldige gebruikers zijn, kunt u de accounts later altijd opnieuw maken.
Hier volgen nog enkele praktische tips:
- Gebruik nooit de gebruikersnaam 'admin' op uw site. Als je die gebruikersnaam al hebt, verander deze dan zo snel mogelijk. Vermijd ook het gebruik van een algemene gebruikersnaam die hackers kunnen raden.
- Gebruik tweefactorauthenticatie om ongeautoriseerde toegang tot uw website te voorkomen.
- Integreer CAPTCHA of reCaptcha op uw inlogformulierenIntegreer CAPTCHA of reCaptcha op uw inlogformulieren. Dit is een effectieve manier om te voorkomen dat bots of geautomatiseerde scripts toegang krijgen tot uw website.
6. Wijzig de geheime sleutels
Geheime sleutels zijn een handige beveiligingsfunctie van WordPress.
Deze sleutels bevatten willekeurig gegenereerde tekst die helpt bij het versleutelen van de informatie die in cookies is opgeslagen. Gebruik de onderstaande procedure om te controleren of je ze op je site hebt staan. Als je ze niet hebt, kun je ze aanmaken.
Zelfs als je ze al hebt, als je site is gehackt, is het nu een goed moment om ze te wijzigen.
Genereer eerst een set geheime sleutels met deze link. De willekeurige codegenerator maakt elke keer dat u de pagina vernieuwt een nieuwe set unieke codes.
Ga nu naar uw website en open de wp-config.php het dossier. Ga richting lijn 49 en je ziet zoiets als het volgende. Het regelnummer kan per bestand verschillen, maar u moet het volgende gedeelte weten:
Kopieer en plak de waarde van degene die u zojuist in de bovenstaande link hebt gegenereerd. Het bestand opslaan. Hiermee worden alle cookies en alle ingelogde gebruikers gereset, dus als u was aangemeld bij de beheerder, wordt u gevraagd om opnieuw in te loggen.
7. Wijzig AL uw wachtwoorden
Dit is een veelvoorkomende maar cruciale stap bij het herstellen van een gehackte WordPress-website - reset al uw wachtwoorden. De gebruikelijke wachtwoorden zijn WP admin, cPanel, MySQL, FTP, enz.
Reset al deze wachtwoorden samen met de wachtwoorden van elke service van derden die u op de website gebruikt.
Zo wijzigt u de wachtwoorden:
- Om het wachtwoord te wijzigen, gaat u vanuit het dashboard naar Gebruikers > Uw profiel. U vindt het nieuwe wachtwoordveld in het gedeelte 'Accountbeheer'.
- Voor het wijzigen van de cPanel-, MySQL-, FTP-wachtwoorden logt u in op het controlepaneel van uw hostingaccount en volgt u de beschikbare opties. Als je in de war bent, neem dan contact op met de hostingondersteuning voor hulp.
Zorg er bij het resetten of wijzigen van de wachtwoorden voor dat u nu een sterk wachtwoord gebruikt. U moet uw bestaande gebruikers ook dwingen om ook een wachtwoordreset uit te voeren voor hun accounts.
U kunt de plug-in gebruiken Nood wachtwoord resetten om een wachtwoordreset voor alle gebruikers te forceren.
Toekomstige stappen om te voorkomen dat u gehackt wordt
Hoewel de hierboven genoemde stappen u zullen helpen uw website te herstellen, moet u dit als een waarschuwingssignaal beschouwen. Hier zijn enkele belangrijke stappen die u moet nemen om ervoor te zorgen dat uw site in de toekomst beschermd blijft tegen andere WordPress-hackpogingen:
Maak een back-upschema
Zoals je je nu realiseert, is het hebben van regelmatige back-ups van je website cruciaal. Back-ups kunnen u redden als uw site is gehackt. Meerdere back-ups zijn nog beter, omdat je hiermee terug kunt gaan in de tijd naar een momentopname van de site voordat de hack plaatsvond.
Gelukkig hoef je dit niet handmatig te doen. Er zijn veel gratis en premium plug-ins waarmee u regelmatig back-ups van uw site kunt maken. UpdraftPlus is een populaire back-upplug-in, terwijl BackupBuddy en Jetpack enkele zeer aanbevolen premium back-upoplossingen zijn.
Update alles
We hoeven niet te benadrukken hoe belangrijk het is om uw site up-to-date te houden. U moet de WordPress-kern, actieve thema's, plug-ins en al het andere dat u kunt bijwerken bijwerken. Zorg er tegelijkertijd voor dat u ook de ongebruikte thema's en plug-ins verwijdert.
Een beveiligingsplug-in instellen
Als u de beveiliging van uw website wilt verbeteren, moet u een verhardingsplug-in gebruiken zoals iThemes Security, Wordfence-beveiliging of Defender. Deze plug-ins helpen u een firewall te maken, zodat u kwaadaardig verkeer kunt voorkomen, aanvallers kunt blokkeren en andere bedreigingen kunt aanpakken. Je zou ook kunnen overwegen om een volledige webapplicatie-firewall zoals de Sucuri-firewall.
Overweeg een Managed Hosting
Wanneer u kiest voor een managed hosting, zullen zij de beveiliging, het onderhoud, de prestaties en andere problemen voor uw website regelen. Dat betekent dat u zich geen zorgen hoeft te maken over al deze stappen. Enkele betrouwbare managed hostingproviders zijn InMotion, WPEngine, en Kinsta.
Limit Login Attempts
Standaard staat WordPress iedereen toe om onbeperkte wachtwoorden voor elk account te proberen. Dit leidt tot brute force-aanvallen en mogelijke kwetsbaarheden op de site. Gelukkig zijn er enkele gratis plug-ins zoals Inloggen LockDown en Loginizer-beveiliging om u te helpen de inlogpogingen te beperken.
PHP-uitvoering uitschakelen
In de meeste gevallen creëren hackers achterdeurtjes door PHP-bestanden te maken die op kernbestanden lijken. U kunt deze bedreigingen voorkomen door PHP-uitvoering uit te schakelen in de relevante mappen, zoals de upload- en include-map. Hier is een stapsgewijze zelfstudie om dat te doen.
Extra wachtwoord toevoegen voor beheerder
Een andere handige truc om uw site veilig te houden, is door een extra wachtwoord te gebruiken voor toegang tot het beheerdersgedeelte. Dit is heel eenvoudig te doen in cPanel. Volgen deze tutorial om het wachtwoord toe te voegen aan uw WP-beheerder.
Liever filmpje? Bekijk deze video van Sucuri
Als je wat tijd hebt om de volgende video door te nemen, die kan helpen bij het identificeren van gehackte WordPress-sites en hoe je ze kunt repareren. We hebben Sucuri een paar keer genoemd in dit artikel, deze video van Sucuri is een vrij compleet beeld van gehackte sites.
Laatste woorden: hoe u uw gehackte website kunt repareren
Het slachtoffer zijn van een gehackte WordPress-site is een vreselijke ervaring, vooral als dit de eerste keer is. Nu je dit artikel hebt gelezen, zou je echter een duidelijk idee moeten hebben van de noodzakelijke stappen om je gehackte website terug te krijgen.
Voel je vrij om dit artikel te bookmarken en te delen, zodat anderen ook van de stappen op de hoogte zijn.
Tot slot
Als je in de war bent, ga dan voor een managed hosting-oplossing en laat iemand anders het voor je regelen.
Dit is slechts het begin. Naarmate het web zich verder ontwikkelt, zullen ook de hackers en hun pogingen om uw site te infiltreren en u eruit te gooien. Blijf een stap voor door meer te leren over uw gebruiksvriendelijke CMS en op de hoogte te blijven van updates en uw WordPress-beveiliging op de hoogte te houden - dit zal er zeker voor zorgen dat u website-hacking voorkomt.
Blijf veilig.
Hulp nodig bij het opschonen van je website? Probeer deze best beoordeelde betaalbare optredens op Fiverr!
Klik hier om experts te vinden WordPress-beveiliging.
Klik hier om een te maken volledige WordPress website.
Alstublieft laat een nuttig geef commentaar met je mening, deel dit dan op je Facebook-groep (en) die dit nuttig zouden vinden en laten we samen de vruchten plukken. Bedankt voor het delen en aardig zijn!
Disclosure: Deze pagina kan links bevatten naar externe sites voor producten die we geweldig vinden en die we van harte aanbevelen. Als u producten koopt die we aanbevelen, kunnen we een verwijzingsvergoeding verdienen. Dergelijke vergoedingen hebben geen invloed op onze aanbevelingen en we accepteren geen betalingen voor positieve beoordelingen.