Wie op Twitter of andere social media platforms zit heeft de waarschuwing waarschijnlijk al talloze keren voorbij zien komen. Toch wijd ik er (net als vele anderen) een artikel aan, voor wie deze berichten heeft gemist. Beter meerdere keren gewaarschuwd dan de klos omdat je van niets wist.
Waarom deze waarschuwing?
Er zijn zogenaamde ‘brute force’ aanvallen gaande op WordPress sites. Wat dat precies inhoudt kun je lezen op de website van Tweakers.net.
Je loopt verhoogd risico om gehackt te worden als je loginnaam ‘admin’ gebruikt. Ligt voor de hand dat je er verstandig aan doet deze loginnaam aan te passen. En er zijn meer manieren om je WordPress website beter te beveiligen.
Bescherm je WordPress site
Een stappenplan:
- Maak een backup! Dat kan meestal via je control panel bij je webhost. Je kunt ook een backup plugin installeren: kies dan voor Complete Central Backup, BackWPup of XCloner.
- Gebruik je nog loginnaam admin? Ga dan als volgt te werk:
Log in op je WordPress site met gebruikersnaam admin
Ga naar menu Gebruikers -> Nieuwe toevoegen en maak een nieuw (beheerders)account aan (met een sterk wachtwoord!)
Log uit en log opnieuw in maar dan met het nieuwe account
Ga naar menu Gebruikers -> Alle gebruikers en kies bij gebruiker admin voor ‘Verwijderen’
Wijs in het volgende scherm de berichten toe aan de nieuwe gebruiker.
- Gebruik je een zwak wachtwoord? Wijzig je wachtwoord in een sterk wachtwoord! Gebruik hoofdletters + kleine letters + cijfers en eventueel bijzondere tekens zoals ! of @
- Een mooie plugin om diverse zaken tegelijk aan te pakken is Better WP Security. Met deze plugin kun je je admin loginnaam aanpassen, inloggen (tijdelijk) blokkeren, diverse URL’s aanpassen en meer. Verder kun je je site laten scannen en kun je kiezen voor een backupschema voor je database.
- Zorg dat WordPress, plugins en thema’s up to date zijn.
Ben je gehackt?
Raak niet in paniek. Voorkomen kost minder tijd dan herstellen, maar doorgaans kan je site gewoon worden hersteld. Er zijn diverse varianten van hacks, het gaat te ver om alle varianten te beschrijven en te voorzien van een stappenplan voor herstel.
Heb je hulp nodig? Roep de hulp in van een WordPress specialist. Zij werken dagelijks met WordPress en weten precies hoe ze besmette bestanden moeten traceren en herstellen. Je kunt hiervoor bij ons terecht, maar ook bij onze WordPress collega’s in andere regio’s: Nostromo (Berkel en Rodenrijs), WebPressed (Hellevoetsluis), IFRA (Elst GLD) en HEERS (Gorinchem).
Opmerkingen of vragen? Laat hieronder je reactie achter.
Hallo Petra, Heb een mooi aanvulling op dit top artikel 🙂 Zet dit in je .htaccess en je site is weer een stuk veiliger (Bron: webdesignermagazine) Wel je eigen ip adres invullen uiteraard # don’t allow wp-config.php to load order allow,deny deny from all # prevent directory browsing Options -Indexes # protect the htaccess file order allow,deny deny from all AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all # authorised IP address allow from ??.???.???.??? # authorized IP address allow from ??.???.???.??? RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* – [F]# BEGIN WordPress RewriteEngine… Lees verder »
Dank je Martin! Ik zag dat je code allemaal achter elkaar gepropt werd door WordPress reacties, heb ik aangepast, dit is beter zo. 🙂 Top!
Hallo Petra Onze club heeft sinds korte tijd een nieuwe website gemaakt in WordPress. http://www.spatlab.nl omdat de site regelmatig gekraakt wordt en ik, als digibeet, bij de maker op de stoep sta, wil ik erg graag een backup plugin installeren. Ik heb vandaag geinstalleerd: wp-db-backup, en de backup die ik kan krijg is: db773_sl_wp_wp_20130911_577.sql.gz Alleen heb ik geen flauw idee wat het is of waar ik het terug moet zetten. Heb al wel een backup gemaakt van alle andere bestanden, zoals wp-content, includes en admin + allerlei andere folders waar mijn foto’s enz enz staan. Heb vanmiddag wp-dbmanager geinstalleerd maar… Lees verder »
Hoi Anja, Dergelijke backups (van je database) kunnen (als het mis gaat met je site) worden geimporteerd in een database omgeving. (phpmyadmin). Op zich is deze manier van backuppen wat omslachtig omdat je met de plugin alleen de database hebt en de rest dan nog apart moet downloaden. Wat ik zou doen is BackWPup installeren en activeren. Je krijgt in je menu dan ‘backup’ te zien (ergens onderin). Daar kun je kiezen voor ‘new job’. Je kunt de backup maken naar een (gratis) dropbox.com account, volautomatisch. Als je hulp kunt gebruiken met de instellingen, geef even een seintje, ik heb… Lees verder »