Beveilig je WordPress beter!

op 14 november 2014

Met enige regelmaat krijg ik vragen van klanten wat betreft de beveiliging van WordPress. Vaak worden ze door iemand met een slechte ervaring ingelicht dat WordPress onveilig is. Net als bij alle software zitten er in WordPress ook wel eens wat fouten. Gelukkig worden die snel opgelost en zijn er snel  updates beschikbaar. Daarbij wordt WordPress door ongelooflijk veel mensen gebruikt (Feb, 2014:  74.6 miljoen websites zijn gebouwd op WordPress). Wat betekend dat het ook interessant is voor kwaadwillende om WordPress sites aan te vallen.

Vandaar dit blog met een aantal tips op je WordPress beter te beveiligen.

1. Updaten!

De meest eenvoudige tip is WordPress, je themes en plug-ins up to date te houden. Het is vrij eenvoudig bij te houden, aangezien WordPress zelf aangeeft dat er updates zijn. Zie bijvoorbeeld de afbeelding hieronder. In de afbeelding is te zie – naast het roze pijltje – dat er vijf updates klaar staan. Als je een update uitvoert zorg er dan altijd voor dat er een back-up wordt gemaakt. Om een back-up te maken kun je bijvoorbeeld gebruik maken van Snapshot. In geval dat er heel veel updates zijn en/of plug-ins zijn die niet meer onderhouden worden overleg dan eerst met je web-bouwer.

Updates in WordPress

Updates in WordPress

Probeer daarnaast voornamelijk plug-in te gebruiken die goed worden onderhouden. Een aantal voorbeelden van plug-ins waar wij veelvuldig gebruik van maken zijn Gravity Forms, Advanced Custom Fields en Yoast SEO. Voor de kleine functionaliteiten bouwen we vaak maatwerk en zoeken we geen plug-in dit gaat ons en onze klanten op langer termijn alleen maar meer tijd kosten.

Bij themes is het uitzoeken vaak wat lastiger. We komen vaak tegen dat er themes zijn geïnstalleerd  die al enkele maanden of zelfs jaren geen update meer hebben gehad. Dit is echt vragen om problemen.  Wij zijn ook groot fan van het maken van themes op maat. Zo is het onderhoud voor ons makkelijk en voorspelbaar. Bij komend voordeel voor de klant is die zijn thema krijgt zoals dat hij/zij het bedoeld heeft.

2. iThemes Security

Een plug-in die heel goed de beveiliging van jou WordPress wat kan verbeteren is iThemes Security. Deze plug-in zorgt er op verschillende manieren voor dat dat je WordPress beter wordt beveiligd. Een aantal belangrijke punten die de plug-in aanpakt:

  • Zorgt er voor dat je website minder herkenbaar is als WordPress.
  • Kan IP nummers buiten sluiten na een x aantal gefaalde logins.
  • In de gaten houden of er files op de server zijn veranderd.
  • Veranderen van standaard /wp-admin url

Op de site staat een volledige lijst van alle functionaliteiten het is nogal een was lijst van kleine tweaks die de plug-in verzorgt.

3. Hosting

Het ook goed om na te gaan of je nog wel bij de juiste hosting partij zit. Als er een infectie is wil je snel en professioneel geholpen worden. De hosting partij is hier een belangrijke schakel in. In dit blog artikel wil ik geen waarde oordeel geven over verschillende hostingpartijen maar je wel bewust maken dat de hosting erg belangrijk is.

Toch nog problemen? Stuur dan een bericht.

 

WordPress 4.0 “Benny”

op 5 september 2014

Op 4 september is de 4.0 versie van WordPress genaamd `Benny` uitgekomen. Een goed gebruik bij WordPress is om iedere release een naam te geven van een bekende Jazz muzikant. In dit geval Benny Goodman. Ondanks dat het een we van 3.x naar 4.x gaan hoef je geen revolutionaire veranderingen te verwachten. De veranderingen zijn voornamelijk te vinden in een verbeterde gebruikers ervaring bij het beheren van de content.

Bettere SEO met SSL

op 21 augustus 2014

Het verbeteren van websites ten behoeven van hoger terug komen in de resultaten bij zoekmachines (SEO) is een belangrijke tak van sport geworden.

Recentelijk heeft Google laten weten dat ook het hebben van een website achter SSL een kleine bijdrage levert aan de SEO ranking.

Wat is SSL?

SSL staat voor  Secure Socket Layer en wil zeggen dat je verbinding beveiligd is. Bij een niet beveiligde verbinding kunnen andere mensen in het netwerk jou berichten lezen. Dit is bij veel websites niet zo’n probleem omdat iedereen op de website kan komen en lezen wat daar gebeurd. Het is echter wel van belang als je bijvoorbeeld in de beveiligde omgeving van een bank bent.

In de meeste webbrowsers is te zien aan geen groene balk en de URL dat het gaat om een website die beveiligd is. Hieronder zie je de balk groen is en dat de naam van de instantie, Rabobank in het groen staat. Ook begint de URL niet met http  maar met https. 

SSL Rabobank

SSL Rabobank

Er zijn twee belangrijke verschillen in beveiligde verbindingen. Je hebt de “gewone” SSL certificaten en de zo genaamde EV (Extended Validated) certificaten. Technisch en qua beveiligingsniveau zit er geen verschil tussen de twee certificaten. Het verschil bij een EV certificaat is een extra validatie proces volgt om te kijken dat het bedrijf of instantie waar het certificaat aan wordt verstrekt ook echt bestaat (volledige richtlijnen hier). In de afbeelding van de Rabobank inlog hierboven is een te zien dat het om een EV certificaat gaat omdat de balk groen is en de naam van de instantie, Rabobank, wordt getoond. Hieronder is een voorbeeld te zien van een SSL verbinding die niet een EV certificaat beschikt maar wel beveiligd is. Te zien is dat de naam van de instantie niet te zien maar wel dat de URL begint met https en dat er een groen slotje getoond wordt.

SSL Linkedin

SSL Linkedin