Ik ben benieuwd hoe andere SD'ers de beveiliging van hun website (of in het specifiek WordPress) geregeld hebben.

Ik houd natuurlijk netjes mijn WordPress, theme en plugin updates bij, de bestandsrechten staan goed en m'n host - antagonist - heeft iets van beveiligingssoftware draaien, patchman. Naast deze basic dingen heb ik eigenlijk geen maatregelen genomen om de beveiliging van m'n websites te waarborgen. Voorheen was dit niet zo'n probleem, maar nu websites een significant deel van m'n omzet vormen wordt beveiliging toch steeds belangrijker.

Gebruiken hier mensen plugins zoal bijvoorbeeld WordFence? Wat zijn je ervaringen hiermee? Gebruik je daarnaast nog aanvullende beveiligingsmaatregelen?

Ik gebruik All In One WP Security & Firewall met de maximale beveiligingsinstellingen. Verder zorgen dat je nooit 'admin' als username gebruikt, de inloglink goed verbergt, goed oplet welke themes/plugins je gebruikt (kijk of ze wel frequent een update krijgen, en goed kijkt in het supportforum of er bugs/lekken worden gerapporteerd). Verder zorg ik dat mijn sites dagelijks hun WP/theme/plugin updates hebben via WP Remote en dat er wekelijs een update wordt gemaakt. Verder heeft Neostrada ook eea lopen om WP sites te beveiligen.

Het up to date houden van alles is het allerbelangrijkst, en natuurlijk geen thema's gebruiken van bijvoorbeeld themeforest, dat zijn namelijk populaire doelwitten voor hackers. Verder idd. er voor zorgen dat je username bij voorkeur geen admin is, en je zou de pagina /wp-admin nog elders kunnen plaatsen en voorzien van een captcha of no robot plugin.

Plugins als wordfence doen vrij weinig.

Origineel gepost door MaartenK.

Het up to date houden van alles is het allerbelangrijkst, en natuurlijk geen thema's gebruiken van bijvoorbeeld themeforest, dat zijn namelijk populaire doelwitten voor hackers. Verder idd. er voor zorgen dat je username bij voorkeur geen admin is, en je zou de pagina /wp-admin nog elders kunnen plaatsen en voorzien van een captcha of no robot plugin.

Plugins als wordfence doen vrij weinig.

Geen thema's gebruiken van Themeforest? Dat zijn juist de meestverkochte thema's. Die worden ook regelmatig geupdate. Denk dat je dan beter af bent dan met een thema van een 1 of andere programmeur die er verder niet meer naar omkijkt.

Ik bescherm persoonlijk mijn WP-Admin omgeving op IP basis, alleen adressen die toegestaan zijn kunnen in die omgeving komen. En uiteraard alles up2date houden, belangrijk is ook zoals veel hier aangeven maak niet gebruik van een standaard login zoals "admin" maar als ze erin willen komen kunnen ze je username toch wel achterhalen.

Zelf heb ik ook nog een jall op Fail2ban gezet die kijkt of er pogingen gedaan worden op de wp-login of xmlrpc. De xmlrpc is overgenomen vanuit een andere site, kan echter de bron niet meer vinden. Hij lijkt wel ongeveer op de jail van wp-login dus zou niet heel moeilijk moeten zijn, Fail2ban is trouwens los van Plesk dit kan je overal opzetten, het was alleen me bron.

Werk al bijna 10 jaar met WordPress en heb al veel sites gehackt zien worden. Voornamelijk door simpele wachtwoorden of outdated plugins. Er zijn veel dingen waar je rekening mee moet houden, een goede security plugin is daar 1 van. Heb daar toevallig net een hele blogpost aan gewijd.

Ik heb 1 keer meegemaakt dat een website was overgenomen.
Een onbenullige plugin, uit de Wordpress repository bevatte malafide code waardoor bezoek na 30 seconden werd geredirect naar een casino website.
Dat ontdekte ik pas na 3 maanden... toen was de plugin al lang verwijderd uit de repository.

Belangrijkste is dat de plugins, thema's en Wordpress altijd worden up to date zijn.
Een goede firewall kan enorm helpen, WP Limit Login Attempts en eventueel 2 stapsverificatie middels een smartphone.

Belangrijkste quick wins zijn:

- Gebruikersnaam niet 'admin'
- url.nl/wp-admin onbereikbaar maken door url te veranderen

Naar mijn idee is het veranderen van de wp-admin naam niet handig. WP kan daar niet altijd mee omgaan en kan tot potentiele problemen leiden.
Het makkelijkste is door inderdaad niet je gebruikersnaam als admin te hebben. Gebruikersnaam ID niet 1 te laten zijn en de backend alleen toegankelijk te laten zijn vanaf een specifiek IP adres.

Daarnaast alle plugins altijd up-to-date houden. Auteurs-sitemap uitzetten (Anders kan men dmv je sitemap achterhalen wat je gebruikersnaam is). En als je een bericht plaatst hier altijd een synoniem voor gebruiken en niet je gebruikersnaam hiervoor gebruiken.

Waar het altijd op neer komt: goede template, invulformulier beveiligd, simpele functionaliteit zorgt ervoor dat er complexe problemen komen, bepaalde omgeving dichtgooien door het af te schermen op IP-niveau.

Origineel gepost door Roderik Peeters

Naar mijn idee is het veranderen van de wp-admin naam niet handig. WP kan daar niet altijd mee omgaan en kan tot potentiele problemen leiden.

Correct. Men bedoelt ongetwijfeld wp-login.php. Je kunt de WP installatie wel in een aparte directory (/cms/ is dan niet erg origineel) zetten om hem iets minder vindbaar te maken.

Verder is het verstandig om aparte users aan te maken voor beheerder en redacteuren, met ieder hun eigen mogelijkheden. Zorg dat de beheerder niets plaatst, dan is die gebruikersnaam nog moelijker te achterhalen.

Kleine toevoeging, nooit maffia/clooned plugins en thema's installeren.
Daar zit bijna altijd rotzooi in, door er gebruik van te maken haal je het paard van troje binnen.
Ooit gedaan, binnen een shared hosting omgeving. Alle websites van de 'buren' waren langdurig offline.

Nog een mooie toevoeging, al heeft dat niet met beveiliging te maken. Maar maak gebruik van staging, dan weet je altijd welke wijziging ergens voor heeft gezorgd. Echter is dit vaak wel een duurdere service bij een hosting partij, maar voorkomt wel een hoop ellende.

Origineel gepost door Rogier van E

Kleine toevoeging, nooit maffia/clooned plugins en thema's installeren.
Daar zit bijna altijd rotzooi in, door er gebruik van te maken haal je het paard van troje binnen.
Ooit gedaan, binnen een shared hosting omgeving. Alle websites van de 'buren' waren langdurig offline.

Ook een manier: achterhalen of je grootste concurrenten op zo'n shared omgeving zitten. Hostingpakketje op diezelfde server afnemen, nulled theme d'r op en zo de concurrent plat gooien.... (ik ben vast in een recalcitrante bui.. ;-) )


Nog iets: als je geen comments wilt, zet die van het begin af aan gewoon 'uit', ook al zitten de comments niet eens meer in de template. Heb afgelopen week bij een klant pagina's vol spamcomments verwijderd...

Ik werk full time in de beveiliging van WordPress, en heb er dan ook zo'n 120+ artikelen over geschreven.
De belangrijkste punten op het gebied van beveiliging zijn:

1. Geen illegale plugins of thema's gebruiken
(Zelfs de eerder genoemde Themeforest heeft inderdaad wel diverse betaalde premium themes die lek zijn)
2. Simpelweg niet te veel plugins gebruiken, er zijn er zoveel lek! Kijk maar eens op WPvulndb.com
3. Check zo af en toe of je site nog veilig is, dat doe je via de SUCURI malware scanner

Qua beveiliging heb ik ook veel onderzoek gedaan. Waar ik het afgelopen jaar mee gewerkt heb is een verbeterde iThemes Security PRO die door mij en een programmeur in het Nederlands vertaald is. Er zijn tevens 100+ verbeteringen in toegevoegd maar daar kun je wel een studie voor nemen ;)

Veiligheid begint ook bij jezelf, gebruikersnamen en wachtwoorden + de site up-to-date en schoon houden.
Laat dus geen oude plugins of thema's op de server staan, of ergens nog een volledige WP site in een blog map op je server. (heb ik vaak gezien)

Ik hou me dagelijks bezig met het "opruimen" van WordPress sites waar backdoors en malware in zitten.. dus als je nog specifieke vragen hebt! Laat maar horen ik weet het antwoord meestal wel uit ervaring. (ik lees niet elke dag op SiteDeals, stuur even een DM als je hier een vraag richting mij hebt geschreven)

Top, bedankt voor de tips allen. DeWP-Admin omgeving beveiligen op IP basis is inderdaad een erg goede tip, die zal ik gaan toepassen, ook artikelen publiceren als redacteur ipv beheerder had ik nog niet aan gedacht.

Thanks voor het delen van je artikelt Jeroen de Beurs, goede tips staan er in en een handig overzichtje van verschillende beveiligingsplugins.

Heeft iemand enig idee in welke mate beveiligingsplugins invloed hebben op de snelheid van WP websites?