Hoe bescherm jij je WordPress beheerdersgedeelte

Het beschermen van het WordPress beheerdersgedeelte en de loginpagina is belangrijk.

Hackers kunnen je website aanvallen met bepaalde script, maar ook jij kan een beveiligingsrisico zijn voor je eigen website.

Het draait er allemaal om dat alles correct is ingesteld en je niet zomaar iedereen laat registreren en dergelijke. Gelukkig bescherm jij je WordPress beheerdersgedeelte vrij eenvoudig met een aantal simpele tips die in dit artikel volgen.

Kies voor sterke inloggegevens

Sterke inloggegevens zijn ontzettend belangrijk en dit is niet alleen voor je eigen website, maar ook je inloggegevens op andere websites.

Je moet ervoor zorgen dat je een goede gebruikersnaam kiest (geen admin). Heb je toch voor de gebruikersnaam admin gekozen bij de installatie van WordPress? In het artikel “Gebruikersnaam Admin verwijderen in WordPress” kun je lezen hoe je dit kunt aanpassen.

Verder moet je zorgen dat het wachtwoord lang is en allerlei verschillende karakters, nummer en symbolen heeft. Korte wachtwoorden zijn nou eenmaal makkelijker te kraken. Zeker als het normale woorden zijn. Gebruik verder ook niet altijd voor alle websites hetzelfde wachtwoord, dit is zeer onverstandig.

Daarnaast zijn niet alleen jouw inloggegevens belangrijk. De inloggegevens van andere beheerdersaccounts op jouw WordPress-website zijn net zo belangrijk. Zorg dus dat iedereen een sterk wachtwoord heeft.

Tip: Om een sterke wachtwoord te genereren hoef je overigens helemaal niet veel moeite te doen. Login op je website en ga naar “Gebruikers -> Je profiel”. Bij het kopje Gebruikersbeheer zie je een knop “Wachtwoord genereren”, waar WordPress voor jou een sterk wachtwoord maakt.

Maak gebruik van authenticatie in twee stappen

Authenticatie in twee stappen, ook wel Two Factor Authentication (2FA) genoemd, is een methode om je account extra te beschermen. Naast je gebruikersnaam en wachtwoord krijg je namelijk een extra unieke code of token via je smartphone.

Wanneer iemand dus je inloggegevens bemachtigd, zal hij of zij alsnog een extra code nodig hebben om echt in te kunnen inloggen.

Voor WordPress zijn er allerlei verschillende plugins die je kunnen helpen met authenticatie in twee stappen. Zo kun je gebruik maken van plugins als Google Authenticator, Keyy of een andere plugin.

Limiteer de inlogpogingen

Met brute force attacks wordt er een poging gedaan om je inloggegevens te achterhalen door allerlei combinaties automatisch uit te voeren en te testen. Het is een populaire methode om een website binnen te dringen. Het is daarom verstandig om de inlogpogingen die gedaan mogen worden te limiteren.

Er zijn diverse plugins beschikbaar die je hiermee van dienst kunnen zijn. Het is zelfs zo dat er hostingproviders zijn die al maatregelen hebben genomen en een extra scherm tussen de inlogscherm zet om automatische scripts te weten.

Wanneer je met een plugin de inlogpogingen wilt limiteren, kun je kijken naar plugins als Login Lockdown.

WordPress inlogpagina verbergen

Een mogelijkheid die je ook nog hebt, is de inlogpagina van je WordPress-website te verbergen voor de buitenwereld. Wel kan het soms voor conflicten zorgen met sommige plugins, waardoor het een twijfel tussen gebruiksgemak en veiligheid kan zijn.

Het voordeel van de slug aanpassen van de inlogpagina is gewoonweg dat de scripts niet zoeken naar deze pagina, deze zijn puur gericht op wp-login.php.

Een plugin die je zou kunnen gebruiken om de slug van de inlogpagina van WordPress te veranderen is WPS Hide Login. Wel moet je natuurlijk onthouden waar je het in aanpast.

Bepaal de gebruikersrol per gebruiker

Te vaak zie ik dat mensen voor andere mensen die aan de website mogen werken de gebruikersrol Beheerder hebben. Elke beheerder is in principe een extra gevaar voor je website, want deze gebruiker kan echt overal bij.

Schrijft er iemand voor je website? Geef deze dan de rol Schrijver of Redacteur. De schrijver kan dan nog steeds overal bij waar hij of zij bij zou moeten kunnen.

Wil je nog een stapje verder, dan kun je met een plugin als User Role Editor de gebruikersrollen nog verder customizen. Je kunt met deze plugin namelijk alle gebruikersopties helemaal naar wens aanpassen.

Verder is het natuurlijk ook handig om gebruikers die niet meer actief zijn te verwijderen van je website. Indien je meer informatie wilt over het geven van de juiste gebruikersrol, kun je het artikel “Geef altijd de juiste gebruikersrol in WordPress” lezen.

Conclusie

Wanneer het gaat om de veiligheid van je website zijn er een hoop dingen waar je aan kunt denken. Een eenvoudig onderdeel is de controle houden over wie er ‘binnen’ mag komen op je website.

Geef je hier totaal geen aandacht aan, dan moet je niet raar kijken als het een keer fout gaat en dit gevolgen heeft voor je website.

In dit artikel heb ik je een aantal tips gegeven waar je over na zou kunnen denken. Het is aan jou de keuze of je hier iets mee doet of niet.

4 reacties Voeg ook een reactie toe

  1. Hallo Maikel,
    weer een heel interessant artikel. Helaas lukt het mij niet om mijn wachtwoord van mijn WP website te veranderen. Ik begrijp niet waarom de site het precies niet ‘oppikt’. Ik geef een nieuw wachtwoord in, het krijgt een groene kleur en melding sterk, ik klik op knop ‘profiel bijwerken’ en vervolgens log ik uit. Als ik weer inloggen wil, werkt enkel mijn oude wachtwoord. Niet het nieuwe. Hoe kan dat nu?
    vriendelijke groeten
    Maryse

Geef een reactie