Wie op Twitter of andere social media platforms zit heeft de waarschuwing waarschijnlijk al talloze keren voorbij zien komen. Toch wijd ik er (net als vele anderen) een artikel aan, voor wie deze berichten heeft gemist. Beter meerdere keren gewaarschuwd dan de klos omdat je van niets wist.
Waarom deze waarschuwing?
Er zijn zogenaamde ‘brute force’ aanvallen gaande op WordPress sites. Wat dat precies inhoudt kun je lezen op de website van Tweakers.net.
Je loopt verhoogd risico om gehackt te worden als je loginnaam ‘admin’ gebruikt. Ligt voor de hand dat je er verstandig aan doet deze loginnaam aan te passen. En er zijn meer manieren om je WordPress website beter te beveiligen.
Ook interessant?
Verbeter je WordPress wachtwoord encryptie
Wachtwoord encryptie in WordPress Wachtwoorden kunnen via verschillende encryptie methodes versleuteld worden opgeslagen. In WordPress worden wachtwoorden versleuteld opgeslagen in de database van je website en […]
Bescherm je WordPress site
Een stappenplan:
- Maak een backup! Dat kan meestal via je control panel bij je webhost. Je kunt ook een backup plugin installeren: kies dan voor Complete Central Backup, BackWPup of XCloner.
- Gebruik je nog loginnaam admin? Ga dan als volgt te werk:
Log in op je WordPress site met gebruikersnaam admin
Ga naar menu Gebruikers -> Nieuwe toevoegen en maak een nieuw (beheerders)account aan (met een sterk wachtwoord!)
Log uit en log opnieuw in maar dan met het nieuwe account
Ga naar menu Gebruikers -> Alle gebruikers en kies bij gebruiker admin voor ‘Verwijderen’
Wijs in het volgende scherm de berichten toe aan de nieuwe gebruiker.
- Gebruik je een zwak wachtwoord? Wijzig je wachtwoord in een sterk wachtwoord! Gebruik hoofdletters + kleine letters + cijfers en eventueel bijzondere tekens zoals ! of @
- Een mooie plugin om diverse zaken tegelijk aan te pakken is Better WP Security. Met deze plugin kun je je admin loginnaam aanpassen, inloggen (tijdelijk) blokkeren, diverse URL’s aanpassen en meer. Verder kun je je site laten scannen en kun je kiezen voor een backupschema voor je database.
- Zorg dat WordPress, plugins en thema’s up to date zijn.
Ben je gehackt?
Raak niet in paniek. Voorkomen kost minder tijd dan herstellen, maar doorgaans kan je site gewoon worden hersteld. Er zijn diverse varianten van hacks, het gaat te ver om alle varianten te beschrijven en te voorzien van een stappenplan voor herstel.
Heb je hulp nodig? Roep de hulp in van een WordPress specialist. Zij werken dagelijks met WordPress en weten precies hoe ze besmette bestanden moeten traceren en herstellen.
Opmerkingen of vragen? Laat hieronder je reactie achter.
Hallo Petra
Onze club heeft sinds korte tijd een nieuwe website gemaakt in WordPress.
http://www.spatlab.nl
omdat de site regelmatig gekraakt wordt en ik, als digibeet, bij de maker op de stoep sta, wil ik erg graag een backup plugin installeren.
Ik heb vandaag geinstalleerd: wp-db-backup, en de backup die ik kan krijg is: db773_sl_wp_wp_20130911_577.sql.gz
Alleen heb ik geen flauw idee wat het is of waar ik het terug moet zetten.
Heb al wel een backup gemaakt van alle andere bestanden, zoals wp-content, includes en admin + allerlei andere folders waar mijn foto’s enz enz staan.
Heb vanmiddag wp-dbmanager geinstalleerd maar daar moet ik van alles invullen, heb ik gedaan, een backup gedaan maar er gebeurt niets.
In reactie op Anja WelvaartsAuteur
Hoi Anja,
Dergelijke backups (van je database) kunnen (als het mis gaat met je site) worden geimporteerd in een database omgeving. (phpmyadmin). Op zich is deze manier van backuppen wat omslachtig omdat je met de plugin alleen de database hebt en de rest dan nog apart moet downloaden.
Wat ik zou doen is BackWPup installeren en activeren. Je krijgt in je menu dan ‘backup’ te zien (ergens onderin). Daar kun je kiezen voor ‘new job’. Je kunt de backup maken naar een (gratis) dropbox.com account, volautomatisch. Als je hulp kunt gebruiken met de instellingen, geef even een seintje, ik heb dat al zo vaak gedaan, dat is voor mij 5 minuutjes.
Hallo Petra,
Heb een mooi aanvulling op dit top artikel 🙂
Zet dit in je .htaccess en je site is weer een stuk veiliger (Bron: webdesignermagazine)
Wel je eigen ip adres invullen uiteraard
# don’t allow wp-config.php to load
order allow,deny
deny from all
# prevent directory browsing
Options -Indexes
# protect the htaccess file
order allow,deny
deny from all
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# authorised IP address
allow from ??.???.???.???
# authorized IP address
allow from ??.???.???.???
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]# BEGIN WordPress
RewriteEngine On
RewriteBase /
# return 403 Forbidden when someone puts script tags or GLOBALS or _REQUEST stuff in the URL
#
RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
In reactie op MartinAuteur
Dank je Martin! Ik zag dat je code allemaal achter elkaar gepropt werd door WordPress reacties, heb ik aangepast, dit is beter zo. 🙂 Top!