Een veilige WordPress website

Het is alweer een paar maanden geleden dat ik met mijn collega’s Jelke en Remco afgereisd ben naar Sofia, Bulgarije. We waren hier voor WordCamp Europe, een congres voor en door mensen van de WordPress community. Er waren veel interessante sprekers die spraken over verschillende onderwerpen.

Eén van deze sprekers was Tony Perez van Sucuri. Hij deed een inspirerende lezing over de veiligheid van WordPress websites. Een onderwerp waar wij ook veel mee te maken hebben. In deze blog een korte samenvatting van deze lezing van Tony.

Tony Perez is de medeoprichter van Sucuri. Hij heeft veel ervaring met de beveiliging van websites en heeft een specifieke interesse voor WordPress. It starts with good posture, dat is de titel van de talk van Tony. Een titel die de lezing perfect samenvat.

Uit de talk van Tony blijkt dat het onmogelijk is om een 100% veilige website of WordPress website te hebben. Veiligheid gaat over risicovermindering. Daarnaast draait alles om de houding die je als bedrijf aanneemt op het gebied van veiligheid. Weet wat veiligheid is, weet welke veiligheidsaspecten belangrijk zijn en speel adequaat in op eventuele veiligheidsissues. Door bewust bezig te zijn met veiligheid reduceer je de veiligheidsrisico’s tot een minimum. Het risico zal echter nooit nul zijn. Tony vat deze theorie samen in een overzichtelijke diagram.

Veiligheid start in de basis met een goed afweersysteem (protection). Bescherm je website en zorg ervoor dat de kans dat kwaadwilligen toegang tot je website krijgen tot een minimum beperkt wordt. Daarnaast is het belangrijk om eventuele veiligheidslekken tijdig te detecteren (detection). Dit kan bijvoorbeeld met tools zoals de Sucuri security plugin. Het kunnen detecteren van veiligheidslekken is belangrijk, maar de vervolgstappen zijn vervolgens nog belangrijker. Zorg ervoor dat je genoeg kennis en capaciteit hebt om deze problemen direct op te kunnen lossen (response).

De veiligheid van een WordPress website is afhankelijk van veel aspecten. Denk bijvoorbeeld aan onveilige plugins of het niet gebruik maken van de data validatie functies die WordPress biedt. Er zijn echter ook veel zaken waar je zelf als website eigenaar invloed op kan hebben. Denk bijvoorbeeld aan het delen van accounts of het gebruik van niet veilige wachtwoorden. Een aantal tips om je website veilig te houden:

• Zorg voor een minimaal aantal beheerderaccounts. Vijf beheerder accounts zijn bijvoorbeeld al vrij veel. Denk na over welke rechten welke gebruikers moeten hebben.
• Verplaats de login locatie /wp-admin/ naar een andere URL.
• Gebruik geen eenvoudig te raden wachtwoorden. Brute force technieken hebben een eenvoudig wachtwoord binnen no-time gekraakt. De meest voorkomende lek ligt bij gebruikeraccounts.
• Zorg voor een up-to-date systeem.
• Vermijd het gebruik van onbekende en niet betrouwbare plugins.
• Minimaliseer het aantal plugins en verwijder plugins die niet gebruikt worden.

Uiteraard is dit slechts een selectie van een aantal veelvoorkomende veiligheidsissues. Onthoud vooral dat veiligheid een kwestie van bewustwording is. In de loop van de jaren zijn we tegen verschillende veiligheidsissues aangelopen. We hebben daardoor veel ervaring met het veilig houden van je WordPress. Mocht je nog verdere vragen over dit onderwerp hebben, neem contact met ons op.