WordPress vraagt scherpe blik op beveiliging

1. Hostingbedrijf

Tal van hostingbedrijven bieden ondersteuning voor WordPress-oplossingen aan. Ze bieden echter niet allemaal dezelfde functionaliteit, en al evenmin hetzelfde prestatie- en serviceniveau. WordPress maakt gebruik van de databases MariaDB of MySQL. De eerste stap is dus om na te gaan of het hostingbedrijf u de mogelijkheid biedt om dit type databases aan te maken.

Linux PHP-hosting verdient de voorkeur boven Windows-hosting. Bij gebruik van Linux wordt de WordPress-website in dezelfde taal ontwikkeld. Dit verkleint de kans op incompatibiliteit, iets wat nadelig zou zijn voor het gebruik.

Verder zou u kunnen kiezen voor een hostingbedrijf dat een aanvullende module biedt die direct via de client-interface beschikbaar is. Dit maakt het mogelijk om snel de status van WordPress-updates en beschikbare plug-ins te raadplegen, evenals de staat en eventuele wijzigingen van de beveiliging van de website.

En er is nog een ander aspect om op te letten inzake het hostingbedrijf: de mogelijkheid om een ssl-certificaat of Let’s Encrypt te gebruiken. Dit is zeer belangrijk als bezoekers vertrouwelijke en mogelijke kritieke informatie indienen bij uw website of webwinkel.

Updates

Zoekmachineoptimalisatie is de grootste zorg van alle website-eigenaars. Het is mogelijk om de positie van een website in zoekmachines te verbeteren door het instellen van een cachegeheugen om de laadtijd voor pagina’s te verkorten en gebruik te maken van korte beschrijvende permalinks.

Om de kans op DDoS-aanvallen en spam te verkleinen is het nodig om een captcha te integreren. Een captcha vraagt bij de indiening van internetverzoeken om de invoer van een bepaalde code. Dit dient om er zeker van te zijn dat de verzoeken afkomstig zijn van echte internetgebruikers in plaats van webrobots.

En het is al net zo belangrijk om op de hoogte te blijven van de laatste updates van versies van WordPress, zodat u van nieuwe verbeteringen kunt profiteren. Dode links zijn een nachtmerrie voor website-eigenaars: ze werken frustratie bij bezoekers in de hand, die daardoor kunnen afhaken en op zoek gaan naar een andere website. 

Pepper, de nieuwe versie van WordPress, maakt het mogelijk om een website automatisch te controleren op de aanwezigheid van dode links. Het gebruik van een verouderde versie van Wordpress is daarentegen een valkuil die om te vermijden. Dat is zeer onprettig voor zowel bezoekers als ontwikkelaars van de website. Bovendien bestaat de kans dat oude versies beveiligingslekken bevatten.

Het is heel goed mogelijk dat er kwetsbaarheden in de beveiliging van WordPress aanwezig zijn, maar die worden wel regelmatig gedetecteerd en gemeld. Updates en nieuwe versies moeten worden geïnstalleerd. Dit is een gouden regel.

2. Wordpress-modules

Het is onverstandig om alle modules te installeren of activeren. Door het activeren van een groot aantal plug-ins wordt de website blootgesteld aan meer kwetsbaarheden. Elk van deze modules zou een beveiligingslek kunnen bevatten. Modules nemen bovendien schijfruimte en back-upruimte in beslag. Gebruik de benodigde modules en werk die regelmatig met de laatste updates bij.

Er zijn tal van WordPress-modules beschikbaar die door derden zijn ontwikkeld. Net als bij apps voor smartphones is het belangrijk om alleen modules te downloaden van betrouwbare en geverifieerde websites. Anders bestaat de kans dat modules kwaadaardige code bevatten die systemen kunnen infecteren of  worden gebruikt voor gegevensdiefstal.

Verder is het zaak te voorkomen dat er php-scripts worden uitgevoerd in de mappen wp-content en wp-includes. Deze scripts kunnen achterdeurtjes bevatten. Dat zijn regels code die hackers in staat stellen om een systeem te infiltreren en er de controle van over te nemen.

3. Aanvullende security

Een laatste advies op het gebied van de beveiliging: voeg aanvullende beschermingsmechanismen toe voor verbindingen met de map wp-admin. Er worden regelmatig nieuwe kwetsbaarheden ontdekt in authenticatiemethoden. Om een Wordpress-platform integraal te beveiligen en zich in te dekken tegen kwetsbaarheden is het belangrijk om met een .htaccess-bestand te werken. Hiermee is het mogelijk de configuratie van de Apache-webserver te wijzigen om bijvoorbeeld extra authenticatiemechanismen toe te voegen of bepaalde IP-adressen te blokkeren.

Vergeet overigens niet de traditionele regels voor databescherming en informatiebeveiliging. Het is nodig om over een complete back-up te beschikken van al uw bestanden én de databases van uw WordPress-website. Dit maakt het mogelijk om een website snel weer in de lucht krijgen als de nood aan de man is.

Ten slotte wordt een voor de hand liggende beveiligingsmaatregel vaak over het hoofd gezien, en dat is het juiste gebruik van wachtwoorden. Elke gebruiker moet een complex en uniek wachtwoord instellen. Verder is het uit den boze om dezelfde wachtwoorden te gebruiken voor databases en FTP-servers.

WordPress is een compleet en veelzijdig hulpmiddel, maar het toepassen van deze drie basisregels is doorslaggevend voor de prestaties en beveiliging van de website.