1. Je website up-to-date houden
Het is belangrijk om te weten dat hackers altijd op zoek zijn naar kwetsbaarheden. Deze kwetsbaarheden zijn (kleine of grote) fouten in de code van bijvoorbeeld WordPress zelf, of van bepaalde invoegtoepassingen (die noemen we plug-ins). Het gevaar bestaat dat hackers deze fouten misbruiken om toegang te krijgen tot je WordPress-website en daar dan kwaadaardige code en bestanden neerzetten.
Om dit te voorkomen (of in elk geval het risico op het misbruiken van dit soort fouten te verkleinen) is het van groot belang om WordPress (dus de kern van je website), de door jou gebruikte plug-ins en het sjabloon (ook wel thema of template genoemd) zo regelmatig mogelijk bij te werken. Ontwikkelaars van de software brengen regelmatig updates uit voor hun plug-in of thema. Installeer deze, want als zij foutjes ontdekt hebben, worden die in de nieuwste versie gedicht.
Heb je zelf geen tijd om je WordPress-website bij te werken, maar wil je toch geen risico lopen? Ik bied diverse abonnementen aan waar ik je deze zorg uit handen neem. Bekijk de mogelijkheden door hier te klikken.
2. Veilige gebruikersnaam en wachtwoord kiezen
Als je een nieuwe router koopt, dan heeft die vaak een standaard gebruikersnaam en wachtwoord om in te loggen. Zoals admin en 1234. De fabrikant zegt er dan bij dat je deze gegevens zo snel mogelijk moet veranderen. Of soms dwingen ze je ook om bij de eerste keer inloggen een sterker wachtwoord op te geven.
Kies voor WordPress een sterke en veilige gebruikersnaam en wachtwoord. Als je je website door iemand anders hebt laten bouwen, dan is dat in de meeste gevallen in elk geval niet admin meer. Als wachtwoord gebruik je een combinatie van letters, cijfers en tekens die niet makkelijk door hackers te achterhalen zijn. Dus geen namen van familieleden, geen geboortedata, je postcode of andere gegevens die een hacker eenvoudig zou kunnen raden. Een sterk wachtwoord is bijvoorbeeld: xH9e$j1#mO8r@tJ of iets vergelijkbaars. Probeer om geen cijfers of letters te gebruiken die opeenvolgend zijn of achter elkaar op het toetsenbord zitten. Dus niet qwerty123.
Tip: ga je veel artikelen publiceren en geeft WordPress de auteur weer onder het artikel? Dan kun je er voor kiezen om een extra gebruiker aan te (laten) maken in het WordPress-systeem. Dit voorkomt dat de gebruikersnaam die je voor het inloggen gebruikt vermeld wordt als auteur bij je berichten. Je kunt een nieuwe gebruiker aanmaken met je eigen voornaam of iets algemeens, zoals “redacteur”. Zo maak je het hackers in elk geval moeilijker om de gebruikersnaam die toegang geeft tot WordPress te achterhalen.
3. 2FA. 2FA? Ja, 2FA.
Misschien ken je 2FA al van je bank of een andere instelling waar het steeds gebruikelijker wordt. 2FA staat voor two factor authentication en wil zeggen dat je 2 wachtwoorden of code’s gebruikt om in te loggen. Ook voor WordPress is dit nu mogelijk, via de Wordfence plug-in die wij als optie bij onze websites aanbieden.
Het werkt als volgt. Je kiest een veilige gebruikersnaam en wachtwoord om je aan te melden bij de backend (de achterkant van WordPress die de gebruiker niet ziet, maar waar jij pagina’s en content toevoegt). Daarna verschijnt er een extra scherm waarin om een code gevraagd wordt. Dit is dan de tweede autorisatie die gevraagd wordt voordat je toegang krijgt tot WordPress. Deze code wordt willekeurig gemaakt door een app op je smartphone. Een voorbeeld van zo’n app is Google Authenticator. Nadat je jouw account hebt toegevoegd maakt die app steeds wisselende codes aan. Zodra je erom gevraagd wordt, typ je de code in die op dat moment in de app staat en krijg je toegang tot WordPress.
Omdat de app op een andere apparaat staat (je smartphone in plaats van je pc of laptop) en door het snel willekeurig genereren van de inlogcode biedt deze manier van inloggen extra bescherming tegen ongewenste toegang tot de backend van WordPress.
4. Betrouwbare hosting en een SSL-certificaat
Ik werk samen met betrouwbare hostingbedrijven, die zich kenmerken door een uitstekende klantenservice, snelle servers, maar die ook oog hebben voor beveiliging. Zo kun je bijvoorbeeld bij TransIP inloggen met 2FA, zodat ook daar een extra beveiligingslaag aanwezig is. Daarnaast kies je het liefst voor een hostingbedrijf dat ook op diens website aandacht besteed aan beveiliging, zodat je weet dat zij daar ook actief mee bezig zijn.
Op technisch gebied kun je bij de meeste hostingproviders een SSL-certificaat aan je hostingpakket toevoegen. Je herkent websites die een SSL-certificaat hebben door het slotje dat in de adresbalk van je browser staat en aan het feit dat de link (de url) begint met https in plaats van http. Dit SSL-certificaat zorgt voor encryptie. Dat wil zeggen dat de gegevens die via je website verzonden worden beveiligd zijn. Voor SEO-optimalisatie is het overigens ook interessant, omdat Google e.a. websites mét een SSL-verbinding hoger waarderen dan die zonder.
Als laatste punt noem ik nog even kort de snelheid van de servers. Uit mijn ervaringen (en die van klanten) blijkt dat er soms een groot verschil zit in de servers waarop de WordPress-websites staan. Door met een goed hostingbedrijf in zee te gaan kun je de snelheid waarmee websites geladen worden aanzienlijk verbeteren. Dit levert de bezoeker een betere gebruikerservaring op en jou meer klandizie. Meer over hoe je dit kunt meten en tips over optimalisatie lees je op de pagina over SEO-optimalisatie.