tech365

3 handige plugins om je WordPress site veiliger te maken

WordPress is enorm populair als platform voor blogs. Het is eenvoudig te installeren en je kunt met weinig effort een leuke persoonlijke twist aan je site geven. Dit aanpassen gebeurd over het algemeen door de inzet van plugins en thema’s. Sommige plugins geven je net wat extra handigheidjes die je normaal niet hebt, of voegen uitgebreide opties toe aan je blog. Ook zijn er plugins die je helpen de beveiliging van je WordPress site flink te verbeteren. Om je hiermee een stukje op weg te helpen heb ik een drietal handiger plugins voor je op een rijtje gezet. 

Login Lockdown

Als je WordPress hebt geïnstalleerd dan heb je gekozen voor een gebruikersnaam en wachtwoord. Hier hoop ik dat je gekozen hebt om niet de standaard gebruikersnaam “admin” te gebruiken. Waarom? Omdat dit het eigenlijk heel eenvoudig maakt om 50% van het account dat je nodig hebt om als beheerder in te loggen al kunt gokken. Omdat dit voor WordPress redelijk standaard is kun je hier bij het automatisch raden van het wachtwoord al als gebruikersnaam invullen. Dit wordt ook wel een Brute Force aanval genoemd. Goede tip: kies een andere niet logische naam als gebruikersnaam voor je beheerder-account.

Login LockDown

Om dergelijke Brute Force aanvallen een halt toe te roepen kun je gebruik maken van de plugin Login Lockdown. Wanneer er een aantal keer een foutieve poging om aan te melden wordt gedetecteerd dan blokkeert de plugin het betreffende IP-adres voor een uur. Hiermee is het voor kwaadwillende niet meer mogelijk om vanaf dit IP-adres te proberen aan te melden op je WordPress site.  De interval kun je zelf bepalen en het is ook mogelijk om handmatig een blokkade van een IP-adres op te heffen.

Sucuri plugin

De plugin van Sucuri is gratis en biedt een flinke hoeveelheid opties om de beveiliging van je WordPress site te verbeteren. Naast deze aanpassingen is het ook mogelijk om meer inzicht te krijgen in wat er op je site gebeurd. Zo kun je een bericht krijgen wanneer er een mislukte aanmeldingspoging is, een Brute Force aanval, een nieuwe plugin of een wijziging in een bericht. Stel niet teveel van dit soort notificaties in, want je wordt er binnen notime helemaal gek van. Zonder dat je het weet krijgt je WordPress site regelmatig te maken met een Brute Force aanval. Zie hieronder een voorbeeld uit de log van tech365.

BruteForce login tech365

De opties waar ik zelf erg van gecharmeerd ben zijn de mogelijkheden voor een stukje hardening. Zo kun je bijvoorbeeld het standaard leesbare bestand readme.txt voor de buitenwereld verbergen. Wat je hier aan hebt? Nou, in dit bestand staat de versie van WordPress die je gebruikt. Ideaal voor scripts of hackers die op afstand willen weten welke versie je gebruikt om eventuele kwetsbaarheden te kunnen gebruiken. Ook opties als het inzetten van beveiligingssleutels, het blokkeren van de ingebouwde theme editor en het hernomen van de prefix van de tabellen van je database is mogelijk. Kortom een dikke aanrader om te gebruiken op je site.

Securi plugin

Google Authenticator for WordPress

Een goede gebruikersnaam (dus niet admin) en een sterk wachtwoord is eigenlijk gewoon een must. Maar naast deze combinatie kun je nog een extra laag van beveiliging toevoegen aan dit proces. Door middel van zogenaamde multi-factor authentication (MFA) wordt het aanmelden extra beveiligd door middel van een wisselende code.

Om gebruik te maken van MFA kun je de plugin Google Authenticator van Henrik Schack installeren. Als de plugin klaar is voor gebruik kun je bij je profiel een barcode scannen met met de Google Authenticator app op je smartphone. Hiermee koppel je jouw profielinformatie aan de rolcode die de app genereert. De volgende keer dat je moet aanmelden op je WordPress site is het noodzakelijk om een extra code op te geven die in de app verschijnt. Er is een app voor Android en iOS beschikbaar.

Google Authenticator profiel

 

Martijn

Martijn is naast eigenaar van tech365 ook werkzaam als IT Professional. Zijn passies zijn gadgets, fotografie en alles wat met automotive te maken heeft. Je kunt hem ook vinden als blogger op wielerblog www.lifebehindbars.nl

Reageer op dit artikel

avatar

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

  Inschrijven  
Abonneren op

Privacy opties

Wijzig je voorkeur voor het bijhouden van gegevens op tech365.

Privacybeleid | Sluiten
Instellingen