10 tips om je website akelig goed te beveiligen

10 tips om je website akelig goed te beveiligen

Je website beveiligen… ooit werk van gemaakt? Of doe je dat pas nadat-ie een keer is gehackt? In dit artikel een aantal simpele veiligheidsmaatregelen.

Als het om mijn website gaat, ben ik net een bezorgde moeder. Ik moet er niet aan denken dat ‘m iets overkomt en zit bij het eerste hoestje al bij de dokter.

Daarom heb ik mijn website goed gevaccineerd. Laatst realiseerde ik me hoeveel maatregelen ik heb genomen in de loop van de jaren om mijn websites te beveiligen. Ik zet ze op een rijtje, zodat je kan doorklikken naar de tips die je nog niet kent.

Ik ben gelukkig nooit gehackt. Tenminste, niet voor zover ik het weet. Een goede hacker laat geen sporen achter! Wel weet ik hoeveel gedoe een Skype-hack of een FB-hack oplevert, en ik moet er niet aan denken dat mijn website…. 🙁

Ik ga je zo meteen 10 tips geven hoe je 99% van de hackers letterlijk buiten de deur houdt (zowel voor WordPress als voor andere systemen). Maar eerst kort iets over:

  • je website beveiligen en de AVG;
  • waarom iemand jouw website wil hacken.

Je website beveiligen en de AVG

Als je website AVG-proof is, betekent dat onder andere dat je een groen slotje in de adresbalk hebt staan. Je hebt dan een SSL-certificaat, en gegevens van gebruikers worden via een versleutelde verbinding verstuurd. Dat is stap één (zie ook tip #2).

De volgende stap is je website beveiligen tegen hackers. Dat doe je niet alleen voor je eigen gemoedsrust; het is ook een manier om gegevens van bezoekers te beschermen.

En dan heb je nog het tabje ‘beveiligingsmaatregelen’ in het register Verwerkingsactiviteiten. Veel bedrijven hebben als regel dat je je laptop nooit onbeheerd mag achterlaten of hebben een clean desk policy. Ook de beveiliging van je website hoort in dat rijtje thuis.

Wie zou mij nou willen hacken?

Jouw website is geen top secret 🙂 Dat geloof ik direct. En als je geen persoonlijk appeltje te schillen hebt met iemand met hackerskwaliteiten, wat voor gevaar loop je dan?

Volgens W3Techs draait 33,5% van de website wereldwijd op WordPress (cijfers van 2 april 2019). Dat maakt het systeem extra aantrekkelijk voor hackers. Maar ook als je geen WordPress website hebt, is een goede beveiliging een must.

Hackers kraken met handige tooltjes dagelijks duizenden wachtwoorden. Ik ben geen hacker, maar de volgende stap ligt voor de hand: de hacker kijkt welke e-mailmarketing software iemand gebruikt en probeert daar in te loggen met dezelfde gegevens.

En echt, er zijn talloze mensen die aan één wachtwoord genoeg denken te hebben (zie tip #10). En dan heeft de hacker dus zo je mailinglijst te pakken. De ene keer zullen dat een paar honderd mailadressen zijn, de andere keer 100.000.

Wat doet iemand met die mailadressen? Hij verkoopt de adreslijsten of stuurt een ‘slimme’ phishing mail rond. Of de hacker ‘gijzelt’ je website en zet er 18+ inhoud op. Je zal op een dag maar wakker worden als eigenaar van een pornosite…

Veel hackers richten zich op WordPress
Veel hackers richten zich op random WordPress websites

En geen haan die er naar kraait, want onze websites hebben geen geavanceerde beveiligingstechnieken. Er gaan geen alarmbellen af. De FBI hacken is zeg maar voor zulke hackers minder aantrekkelijk 🙂

Grote kans dat de hacker binnen en weer buiten is zonder dat je het merkt. Of je krijgt naderhand een melding dat iemand vanaf een onbekend apparaat heeft ingelogd op jouw website. En dan ben je dus te laat.

Als je gaat zoeken op internet vind je veel meer redenen waarom je je website goed moet beveiligen. Denk aan DDoS-aanvallen (waarover je vaak in het nieuws hoort), maar ik wil je niet vervelen met tech-stuff. Dus over naar de tips om hackers te slim af te zijn.

WordPress en andere websites beveiligen

De tips in deze blog gelden niet alleen voor ondernemers met een WordPress site, al noem ik wel een aantal een handige plugins. Sommige tips zullen niet heel verrassend zijn, maar ikzelf moet adviezen soms 10x horen voordat ik eindelijk in actie kom…

Alle tips zijn newbie-friendly en geschikt voor non-techies (leuk, van die vriendelijke Engelse benamingen). Maar jij bent ondernemer, en net als ik ben je geen webbouwer. Dus ik ga alles stap voor stap uitleggen. Heb je vragen, laat dan van je horen in de comments!

#1 Verberg je login pagina (WordPress)

Gebruik je WordPress, dan log je in op jouwwebsite.nl/wp-admin of /wp-login. Dus een hacker die zich op WordPress richt, laat zijn software eerst achter een domeinnaam /wp-admin of /wp-login zetten. Dan is meteen duidelijk of een site op WordPress draait?!

Van mij mag je kijken wat je tegenkomt op https://businessblogschool.nl/wp-admin. Yep, een error pagina… Toen ik de tip om je login pagina te verbergen tegenkwam, kon ik een big smile niet onderdrukken (zijn dat niet de leukste tips?).

Ik gebruik hiervoor de simpele maar bijna geniaal te noemen plugin WPS Hide Login plugin. Zonder zichtbare loginpagina blok je denk ik 99% van de hackerspogingen.

De plugin maakt een soort redirect aan, en alleen jij weet waar deze redirect naartoe verwijst. Je login pagina wordt dan dus iets als jouwwebsite.nl/mijn-geheime-url.

WPS Hide Login klaarmaken voor gebruik

Heb je de plugin geïnstalleerd, volg dan deze stappen:

  1. Ga naar settings > general.
  2. Scroll naar beneden naar ‘login url’ en vul jouw privé-url in. Gebruik geen spaties en kies (net als bij wachtwoorden) niet iets wat enorm voor de hand ligt.
  3. Bewaar deze link héél goed. Mocht je ‘m ooit kwijtraken, dan is er trouwens nog geen man overboord. Want via je hostingpartij kan je in de root map de plugin deactiveren, en dan heb je je gewone login pagina terug.
  4. Klik op ‘Wijzigingen opslaan’. Je website is nu al aardig beveiligd!
WPS Hide Login verander de login url
Je website beveiligen door je loginpagina te verbergen. Brilljant!

Zoals je ziet hou ik van praktische tips. Mijn e-book ‘Mijn beste 39 tips over zakelijk bloggen’ staat ook vol met makkelijk toepasbare tips. Een leuke startersgids, en een handige checklist voor als je al langer aan het bloggen bent.

beste tips zakelijk bloggen

#2 Nog geen groen slotje? Installeer een SSL-certificaat

Zonder SSL-certificaat kan je niet van een veilige website spreken. Deze maatregel zorgt ervoor dat gegevens via een beveiligde verbinding worden verstuurd. Bijvoorbeeld als iemand een contactformulier invult of een reactie op een blog achterlaat.

Een SSL-certificaat wordt in de wet AVG niet genoemd. Maar zonder groen slotje kan je je website nooit 100% AVG-proof noemen.

#3 Voer een malware en security scan uit

Je kan je site gratis laten scannen op malware en veiligheidsrisico’s met een online tool als Securi. Maak er een gewoonte van en doe dit bijvoorbeeld op hetzelfde moment als je je wachtwoord verandert (zie tip #10). Twee vliegen in één klap.

#4 Maak regelmatig back-ups

Je website beveiligen met een back-up? Nee, niet direct. Maar als een hacker de content van je website verandert, wil je zo snel mogelijk je eigen website terugzetten.

En natuurlijk kan een website ook een keer crashen. Kortom, back-ups draaien is het belangrijkste onderdeel van website onderhoud. Idioot dat ondernemers honderden of duizenden euro’s uitgeven om een site te laten ontwerpen, maar beknibbelen op back-ups…

Er zijn 2 manieren om back-ups te draaien:

  1. Je laat je hostingpartij dit voor je doen.
  2. Je doet het zelf (handmatig of met behulp van een plugin).

Ikzelf host al mijn websites bij Siteground. Er waren destijds 2 redenen om voor deze hostingpartij te kiezen, en ik heb er geen spijt van:

  1. Ze hebben 24/7 chat support. Eén keer hebben ze op een zaterdagavond om 23.00 uur mijn site teruggezet toen ik iets te overmoedig was geweest met een bepaalde plugin.
  2. Siteground maakt elke dag een back-up van je hele website. Hoef je niets extra’s voor te betalen. Veel hostingpartijen laten je bijbetalen voor die service.
Back up plugin UpdraftPlus

Je kan ook zelf back-ups draaien. Je slaat de back-up extern op, bijvoorbeeld met Google Drive, OneDrive of Dropbox. Een prima back-up plugins is UpdraftPlus. Deze draait gratis jouw back-ups, zowel geplande back-ups als handmatige back-ups.

Nadeel van zelf back-ups draaien is dat je voldoende tech-kennis nodig hebt om zo’n back-up terug te zetten. Als je je bij Siteground een beetje van de domme houdt, dan fixen zij dat voor je terwijl je aan het chatten bent 🙂

#5 Houd plugins up-to-date (WordPress)

Let eens op dat oranje bolletje bij het tabje ‘plugins’ in je WordPress dashboard. Als dat verschijnt, is het zaak om even naar je plugins te gaan. Bij één of meerdere plugins zal staan dat er een update beschikbaar is.

  • Veel updates dichten recent ontdekte beveiligingslekken.
  • Soms werkt een plugin niet 100% perfect, en bevat een update een ‘bug fix’.
  • Veel plugins komen regelmatig met nieuwe opties.

Gebruik geen plugins die al langer dan een paar maanden niet zijn geüpdatet. Zij kunnen veiligheidslekken bevatten, en dat zijn de achterdeurtjes voor hackers.

Omdat iedereen plugins mag ontwikkelen en in de WordPress bibliotheek mag zetten, zijn niet alle plugins even goed gebouwd. En soms trekt een developer de stekker eruit, maar draait zijn plugin nu eenmaal op tal van websites. Dan komen er dus geen updates meer, en kan je beter op zoek gaan naar een alternatief.

Zoek je een alternatief voor een plugin? Ga naar https://wordpress.org/plugins/ en zoek naar het type plugin dat je nodig hebt. Bijvoorbeeld ‘social media plugin’ of ‘security plugin’.

Maak een back-up voordat je je plugins updatet. Niet om je bang te maken… just in case! (bij mij is het hier nog nooit verkeerd gegaan).

#6 Beperk het aantal loginpogingen (WordPress)

Een hacker schrijft software om talloze wachtwoordcombinaties uit te proberen. Zijn tool zal je wachtwoord niet in één keer kraken, tenzij je 123456 als wachtwoord hebt.

In 2018 was 123456 voor het zesde jaar op rij het meest gebruikte wachtwoord (bron: Splasdata via Metronieuws).

Door het aantal loginpogingen te beperken, kan je een hacker aardig dwarszitten (en je website beveiligen). Voor WordPress heb je bijvoorbeeld de plugin Limit Login Attempts. Deze plugin zorgt ervoor dat je niet eindeloos vaak kan proberen in te loggen.

Ga je een stap verder en installeer je een security plugin, dan kan je daarmee meestal ook het aantal inlogpogingen beperken.

Je bepaalt zelf hoeveel pogingen je toestaat, en hoe lang je daarna niet kan inloggen

#7 Verberg de WordPress login foutmelding

Deze stap lijkt misschien iets meer voor gevorderden, maar is nog altijd een fluitje van een cent. Hieronder vind je een video waarin ik deze stap in 1:50 uitleg én uitvoer.

Als je niet correct inlogt, vertelt WordPress je of de fout in de gebruikersnaam of in het wachtwoord zit. Handig voor de hacker, want zo weet-ie direct of hij al de juiste gebruikersnaam te pakken heeft.

Die foutmelding kan je eenvoudig verbergen. Je schakelt deze functie uit door een klein stukje code toe te voegen aan je functions.php file. Zorg dat je de code letterlijk overneemt, want één tikfoutje, en dan werkt het niet:

/**
* Verberg login errors
*/

function failed_login() {
return “Uw inloggegevens zijn niet correct”;
}
add_filter ( ‘login_errors’, ‘failed_login’ );

Voortaan krijg je een algemene foutmelding. In dit filmpje zie je hoe ik de code invoeg en hoe eenvoudig dat is. Yeah, weer een stap dichter bij een goed beveiligde website 🙂

#8 Verwijder de standaard Admin gebruikersnaam (WordPress)

WordPress stelt automatisch ‘Admin’ in als gebruikersnaam. Wil je je website beveiligen, dan moet je deze verwijderen. Want hackingssoftware zal deze gebruikersnaam als eerste uitproberen (zie ook tip #6).

De gebruikersnaam veranderen kan niet, maar je kan wel een nieuwe gebruiker aanmaken en deze de beheerdersrechten geven. Heb je dat eenmaal gedaan, verwijder dan ‘Admin’. Ook ‘info’ komt veel voor. Kies een andere gebruikersnaam.

Let op: Gebruik je Gravatar? Dat is de tool die bij reacties en in de auteursbox automatisch je fotootje zet. In dat geval, gebruik het mailadres dat je ook voor je Gravatar gebruikt. Anders verlies je dat fotootje. Het mailadres kan je later nog aanpassen.

Zo maak je een nieuwe gebruiker aan en verwijder je de Admin gebruiker

Benodigde tijd: 4 minuten.

Nieuwe gebruiker aanmaken en Admin verwijderen

  1. Log in en klik op Gebruikers in je WordPress dashboard

    Zorg dat je inlogt als gebruiker met beheerdersrechten. Heb je maar één gebruiker, dan gebruik je dat account. In de linkerbalk zie je het tabje Gebruikers of Users staan.

  2. Klik bovenaan op ‘Nieuwe toevoegen’

    Hiermee maak je een nieuwe gebruiker aan. In de Engelse versie ‘Add New’.

  3. Geef deze gebruiker een naam

    Behalve Admin en Info zou ik ook niet mijn eigen naam gebruiken. Hackers zijn niet gek.

  4. Vul de andere gegevens in

    Deze gegevens kan je later altijd nog aanpassen, in tegenstelling tot de gebruikersnaam. Vul mailadres in, voor- en achternaam en schermnaam.

  5. Klik op ‘Wachtwoord tonen’

    Je kan het superveilige wachtwoord gebruiken dat WordPress voorstelt. Je kan ook zelf een veilig (uniek!) wachtwoord kiezen.

  6. Verander de rol in beheerder / administrator

    Belangrijk. Als je straks Admin verwijdert, is deze nieuwe gebruiker jouw ‘super user’.

    Wordpress gebruiker beheerder

  7. Klik op ‘Nieuwe gebruiker’ om de instellingen op te slaan

  8. Log uit en log in met je nieuwe gebruikersnaam

  9. Ga weer naar Gebruikers

  10. Ga met je muis over de gebruiker die je wilt verwijderen

    Klik op ‘verwijderen’ en ZORG DAT JE STAP 11 NIET OVERSLAAT.

  11. Wijs de inhoud toe aan de nieuwe gebruikers

    Vink het vakje aan ‘inhoud koppelen’ en kies je nieuwe gebruiker. Let op: als je dit niet doet, gaat alle content van de oude gebruiker verloren.

    Wordpress gebruiker verwijderen

  12. Klik op ‘Verwijdering bevestigen’

Zo, je website is nu weer een stukje beter beveiligd! Ook voor deze stap is het een geruststellend idee als je weet dat je een goede back-up hebt. Just in case… 🙂 (zie tip #4)

Goed bezig. Nog 2 tips te gaan!

#9 Een security plugin voor een veiligere website (WordPress)

Behalve hack-aanvallen zijn er natuurlijk ook talloze virussen en andere malware in omloop. En ook als je de veiligheid van je site prima op orde hebt, kan je site geïnfecteerd worden.

Ikzelf ben heel tevreden over de gratis plugin WP Cerber Securityy, Antispam & Malware. De belofte: “Beschermt WordPress tegen hack-aanvallen, spam, trojans en virussen. Malware scanner en integriteitscontrole. Versterkt WordPress met uitgebreide veiligheidsalgoritmen. Beschermt tegen spam met reCAPTCHA en detectie van bot-activiteit. Maakt activiteit van gebruikers en indringers te volgen via meldingen per e-mail, mobiel of desktop.”

Kortom, misschien wel meer dan je nodig hebt 😉 Ik gebruik Cerber echt alleen voor de hack-aanvallen, en de bescherming tegen malware. Misschien is het scannen op malware (tip #3) nu niet meer nodig, maar… better safe than sorry.

#10 Verander regelmatig je wachtwoord

Deze open deur heb ik voor het laatst bewaard. Maar 1) je kan er een hoop leed mee voorkomen, en 2) het is iets waarin we met z’n allen zó laks zijn… Ik verander tegenwoordig 1x per kwartaal mijn wachtwoorden.

Verander je wachtwoord meteen als je klaar bent met het lezen van deze blog. Tip: maak er een terugkerende taak van in je agenda.

Het is een kleine moeite maar zo belangrijk. Je website beveiligen stelt zónder deze stap weinig voor. En gebruik niet voor al je systemen hetzelfde wachtwoord. Alsjeblieft!

Website beveiligen: stroop de mouwen op!

Tja, dat zeg ik wel. Maar je kan deze lijst natuurlijk ook aan je virtueel assistent geven. Of vraag je webbouwer welke maatregelen hij al heeft genomen toen hij de site bouwde.

De meeste van deze veiligheidsmaatregelen zijn set and forget, dus een eenmalig klusje. Op zich zijn de stappen eenvoudig. Maar denk jij ‘mij niet gezien’, begin er dan ook niet zelf aan en besteed je websiteonderhoud zo snel mogelijk uit. Alleen, zorg dat het gebeurt!

Ik ben benieuwd hoe goed jij je website hebt beveiligd. En natuurlijk welke stappen je gaat zetten om de beveiliging verder te verbeteren.

 

Ook interessant voor je:

Interessant? Deel dit artikel zodat ook andere ondernemers ervan kunnen profiteren.

10 reacties op “10 tips om je website akelig goed te beveiligen

  1. joop kamperman schreef:

    Dit is een heel lang verhaal. Dit is eigenlijk geen blog artikel maar een ebook. Je moet hier echt even voor gaan zitten, maar wel goede tips. Ik mis de google 2 traps verificatie. Die vind ik super.

    1. Jessie van Loon schreef:

      Bedankt voor je reactie Joop. De Google 2 traps verificatie is een extra beveiligingslaag over je Google-account. Dat staat dus los van hoe je je website beveiligt. Maar het is natuurlijk een goede manier om te voorkomen dat je Google-account wordt gehackt 🙂

  2. Wendy Schuchmann schreef:

    Bedankt voor alle tips. Aangezien ik een premium abonnement heb bij WordPress.com, wordt een groot gedeelte van de techniek door WordPress zelf geregeld. Het is echter zeer de moeite waard om te kijken welke stappen ik zelf kan zetten om mijn blog nog beter te beveiligen.

    1. Jessie van Loon schreef:

      Is zeker het uitzoeken waard. Goede hosting verkleint het aantal risico’s maar er blijft altijd een aantal zwakke plekken over. Succes!

  3. Victor schreef:

    Kijk, dit zijn echt de betere blogs. Mooie dat je zo in heldere taal en zeer grondig dit onderwerp uitlicht. Ik heb direct naast tweefactor authenticatie (google Authenticator) aangezet zodat ik de we code moet scannen. Thanks

    1. Jessie schreef:

      Ha Victor, mooi compliment. De 2-step verification vind ik zelf wat omslachtig maar het is natuurlijk een prima manier om het hackers nog een stukje lastiger te maken. Met een verborgen login pagina lijkt het me ook niet nodig; daarom houd ik het bij de WPS Hide Login plugin.

  4. Skincarebynaomi schreef:

    Zo te zien ben ik al heel goed op weg, regelmatig verdiep ik mij erin om te kijken of ik nog beter kan beveiligen. Bedankt voor deze informatieve blog, dat helpt mij verder!

    1. Jessie schreef:

      Ha, goed om te horen Naomi. Enne… goed bezig dus!

  5. Roelinde Brons schreef:

    Goede tips Jessie!

    De lijst kun je natuurlijk eindeloos uitbreiden, maar welke zeker nummer 11 zou zijn (zo niet nummer 1) is goede hosting. Een goede hosting houdt al veel hackers buiten en plaatst niet te veel websites op dezelfde serverruimte, zodat de hacker niet van site naar site kan hoppen.

    En mocht je denken: “Gehackt? Het zou mij wat.” Hier kun je lezen wat de impact van een gehackte website kan zijn.

    1. Jessie schreef:

      Mooie aanvulling Roelinde. Ik had dit niet opgenomen, omdat mensen ook een gevoel van schijnveiligheid kunnen krijgen als ze niet goed onderzoeken wat de beloftes van de hostingpartij waard zijn. Bovendien vinden mensen het vaak nogal een gedoe om hun site te verhuizen. Maar je hebt gelijk dat een partij als Siteground veel kan doen; daar host ik al mijn sites. Tegelijk zie ik aan de Cerber reports die ik elke week krijg, dat Siteground ook weer lang niet alles kan ‘afvangen’. Dus ik weet niet of ik er tip #1 of #11 van zou maken 🙂

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *