Werk alleen met goede gastheren
U moet alleen werken met betrouwbare, hoogwaardige en veilige hosting. Dit advies lijkt voor de hand te liggen, toch?
Min of meer, iedereen denkt dat hun hosting geweldig is totdat er voor het eerst iets kapot gaat. In de echte wereld zijn niet alle hostingbedrijven en hostingaanbiedingen gelijk.
Sommige hosts zijn gewoon sub-par en doen het niet goed onder stress.
Het slechte nieuws hier is dat de meeste van de tijd dat je niet eens weet dat uw gastheer niet serieus genoeg neemt uw website beveiliging.
Dingen zoals verhoogde hackeraanvallen, frequente downtime, lage prestaties, kunnen allemaal het gevolg zijn van ontoereikende beveiligingsmechanismen.
Gebruik geen “admin” als uw gebruikersnaam.
Helaas is de inlogpagina van een WordPress site een van de belangrijkste doelwitten voor hackers. Zij proberen toegang te krijgen tot de site door de inloggegevens (gebruikersnaam en wachtwoord) steeds opnieuw te raden.
Zorg er dus voor dat u niet de standaard gebruikersnaam voor uw WordPress site gebruikt – dit maakt het makkelijker voor hackers om direct op uw inlogpagina te komen.
Als u WordPress al heeft geïnstalleerd met de standaard gebruikersnaam, dan kunt u deze direct wijzigen door een SQL-query toe te voegen in PHPMyAdmin. Zorg er ook voor dat u iets unieks en moeilijk te kraken gebruikersnamen voor uw website gebruikt.
Bescherm het wp-config.php bestand
Het bestand wp-config.php bevat cruciale informatie over uw WordPress-installatie en is het belangrijkste bestand in de hoofdmap van uw site. Beschermen betekent de kern van uw WordPress-blog beveiligen.
Deze tactiek maakt het moeilijk voor hackers om de beveiliging van uw site te doorbreken, omdat het wp-config.php-bestand voor hen ontoegankelijk wordt.
Als bonus is het beveiligingsproces heel eenvoudig. Neem gewoon uw wp-config.php-bestand en verplaats het naar een hoger niveau dan uw hoofdmap.
Upgrade naar HTTPS
Vergeet niet om uw WordPress-site over te schakelen naar HTTPS om deze te beschermen tegen hackers en andere beveiligingsaanvallen. HTTPS versleutelt de verbinding tussen uw webbrowser en uw webserver, waardoor de aanvaller wegblijft wanneer u de gegevens van de ene naar de andere server overbrengt.
Bovendien kan het uw site beschermen tegen onbetrouwbare verborgen scripts die beschikbaar zijn op uw computersysteem, en een script dat wordt gebruikt om gegevens te stelen van aanmeldingsformulieren.
Daarnaast heeft WordPress het verplicht gesteld om HTTPS in WordPress-websites te hebben als ze beter willen scoren in de Google-zoekresultaten – dit is een grote stimulans voor uw naamsbekendheid.
Bestandsbewerking niet toestaan
Als een gebruiker toegang heeft tot uw WordPress-dashboard, kan hij/zij alle bestanden die deel uitmaken van uw WordPress-installatie bewerken. Dit omvat alle plugins en thema’s.

Als u het bewerken van bestanden niet toestaat, zal niemand in staat zijn om een van de bestanden te wijzigen – zelfs als een hacker admin toegang krijgt tot uw WordPress dashboard.
Directielijst uitschakelen met .htaccess
Als u een nieuwe directory aanmaakt als onderdeel van uw website en er geen index.html bestand in plaatst, zal het u misschien verbazen dat uw bezoekers een volledige directory list kunnen krijgen van alles wat er in die directory staat.
Als u bijvoorbeeld een directory met de naam “data” aanmaakt, kunt u alles in die directory zien door simpelweg http://www.example.com/data/ in uw browser te typen. Er is geen wachtwoord of iets dergelijks nodig.
Begrijp en bescherm tegen DDoS-aanvallen
Een DDoS-aanval is een veel voorkomende aanval op de bandbreedte van uw server, waarbij de aanvaller meerdere programma’s en systemen gebruikt om uw server te overbelasten.

Hoewel een aanval als deze uw sitebestanden niet in gevaar brengt, is het bedoeld om uw site voor een lange periode te laten crashen als het niet wordt opgelost. Meestal hoort u alleen over DDoS-aanvallen als het gebeurt met grote bedrijven zoals GitHub of Target.
Ze worden uitgevoerd door wat velen noemen cyberterroristen, dus het motief kan gewoon zijn om een ravage aan te richten.
Verwijder de ongebruikte thema’s en plugins
Verwijder alle ongebruikte thema’s en plugins uit uw WordPress-beheergebied. Dergelijke thema’s en plugins maken uw site niet alleen traag, maar ook kwetsbaar voor veiligheidsaanvallen.
Het is vrij duidelijk dat als u geen gebruik maakt van een plugin/thema, u stopt met het updaten ervan.
Hierdoor kan een hacker een maas in de wet vinden en toegang krijgen tot uw site. Om deze situatie tegen te gaan, dient u deze te deactiveren en te verwijderen van uw WordPress admin dashboard.
Lees onze tips voor beginnende webmasters.
Hernoem uw login URL om uw WordPress-website te beveiligen
Het wijzigen van de login URL is een eenvoudige zaak. Standaard is de WordPress-inlogpagina eenvoudig toegankelijk via wp-login.php of wp-admin toegevoegd aan de hoofdURL van de site.
Wanneer hackers de directe URL van uw inlogpagina kennen, kunnen ze proberen om zich een weg naar binnen te banen.
Ze proberen in te loggen met hun GWDb (Guess Work Database, d.w.z. een database met geraden gebruikersnamen en wachtwoorden; bijv. gebruikersnaam: admin en wachtwoord: [email protected] … met miljoenen van dergelijke combinaties).