14 vitale tips om uw WordPress-beheerdersgebied te beschermen (bijgewerkt)
Ziet u veel aanvallen op uw WordPress-beheergebied? Door het admin-gebied te beschermen tegen ongeautoriseerde toegang, kunt u vele veelvoorkomende veiligheidsbedreigingen blokkeren. In dit artikel zullen we u enkele van de essentiële tips en hacks laten zien om uw WordPress-beheergebied te beschermen.
1. Gebruik een firewall voor een websitetoepassing
Een firewall voor een websitetoepassing of WAF controleert websiteverkeer en blokkeert verdachte verzoeken om uw website te bereiken.
Hoewel er verschillende WordPress-firewall-plug-ins zijn, raden we aan om Sucuri te gebruiken. Het is een website-beveiligings- en controleservice die een op de cloud gebaseerde WAF aanbiedt om uw website te beschermen.
Al uw websiteverkeer gaat eerst via hun cloudproxy, waar ze elk verzoek analyseren en verdachte berichten blokkeren om ooit uw website te bereiken. Het voorkomt dat uw website mogelijke hackpogingen, phishing, malware en andere kwaadwillende activiteiten uitvoert.
Bekijk voor meer informatie hoe Sucuri ons geholpen heeft 450.000 aanvallen binnen een maand te blokkeren.
2. Wachtwoord beveiligen WordPress Admin Directory
Uw WordPress-beheergebied is al beschermd door uw WordPress-wachtwoord. Het toevoegen van wachtwoordbeveiliging aan uw WordPress beheerdersdirectory voegt echter een extra beveiligingslaag toe aan uw website.
Log eerst in op uw WordPress cPanel-dashboard en klik vervolgens op 'Wachtwoordbeveiliging Directories' of 'Directory Privacy' icoon.
Vervolgens moet je je wp-admin map selecteren, die zich normaal in / public_html / map bevindt.
Op het volgende scherm moet u het selectievakje naast 'Wachtwoordbeveiliging van deze map' aanvinken en een naam voor de beveiligde map opgeven.
Klik daarna op de knop Opslaan om de rechten in te stellen.
Vervolgens moet je op de knop Terug klikken en vervolgens een gebruiker maken. U wordt gevraagd om een gebruikersnaam / wachtwoord in te voeren en vervolgens op de knop Opslaan te klikken.
Wanneer iemand nu de WordPress-beheerder of wp-admin-map op uw website probeert te bezoeken, wordt hen gevraagd om de gebruikersnaam en het wachtwoord in te voeren.
Raadpleeg voor meer gedetailleerde instructies onze handleiding over het beveiligen van de WordPress admin (wp-admin) -directory.
3. Gebruik altijd sterke wachtwoorden
Gebruik altijd sterke wachtwoorden voor al uw online accounts, waaronder uw WordPress-site. We raden aan om een combinatie van letters, cijfers en speciale tekens in uw wachtwoorden te gebruiken. Dit maakt het moeilijker voor hackers om uw wachtwoord te raden.
Vaak worden we door beginners gevraagd hoe al die wachtwoorden moeten worden onthouden. Het eenvoudigste antwoord is dat je dat niet hoeft te doen. Er zijn een aantal echt geweldige wachtwoordbeheer-apps die je op je computer en telefoons kunt installeren.
Raadpleeg onze handleiding over de beste manier om wachtwoorden voor WordPress-beginners te beheren voor meer informatie over dit onderwerp.
4. Gebruik tweestapsverificatie voor WordPress Login Screen
Tweestapsverificatie voegt een andere beveiligingslaag toe aan uw wachtwoorden. In plaats van alleen het wachtwoord te gebruiken, wordt u gevraagd een verificatiecode in te voeren die is gegenereerd door de Google Authenticator-app op uw telefoon.
Zelfs als iemand uw WordPress-wachtwoord kan raden, heeft deze nog steeds de Google Authenticator-code nodig om in te loggen.
Raadpleeg onze handleiding voor gedetailleerde stapsgewijze instructies voor het instellen van authenticatie in twee stappen in WordPress met Google Authenticator.
5. Beperk inlogpogingen
WordPress biedt gebruikers standaard de mogelijkheid om wachtwoorden zo vaak in te voeren als ze willen. Dit betekent dat iemand kan blijven proberen uw WordPress-wachtwoord te raden door verschillende combinaties in te voeren. Het biedt hackers ook de mogelijkheid om geautomatiseerde scripts te gebruiken om wachtwoorden te kraken.
Om dit te verhelpen, moet u de plug-in Login LockDown installeren en activeren. Ga bij activering naar visit Instellingen "Login LockDown pagina om de plug-in-instellingen te configureren.
Raadpleeg onze handleiding voor gedetailleerde instructies over waarom u inlogpogingen in WordPress moet beperken.
6. Beperk inlogtoegang tot IP-adressen
Een andere geweldige manier om WordPress-login te beveiligen, is door de toegang tot specifieke IP-adressen te beperken. Deze tip is met name handig als u of slechts een paar vertrouwde gebruikers toegang tot het beheerdersgebied nodig hebben.
Voeg eenvoudig deze code toe aan uw .htaccess-bestand.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic order deny, allow deny from all # whitelist Syed's IP-adres allow from xx.xx.xx.xxx # whitelist David's IP-adres allow from xx.xx .xx.xxx
Vergeet niet om xx-waarden te vervangen door uw eigen IP-adres. Als u meer dan één IP-adres gebruikt om toegang tot internet te krijgen, zorg er dan voor dat u deze ook toevoegt.
Raadpleeg onze handleiding voor gedetailleerde instructies over het beperken van de toegang tot WordPress-beheerder met .htaccess.
7. Schakel Aanmeldingshints uit
Bij een mislukte inlogpoging geeft WordPress fouten weer die gebruikers vertellen of hun gebruikersnaam onjuist was of het wachtwoord. Deze aanmeldingshints kunnen door iemand worden gebruikt voor kwaadwillige pogingen.
U kunt deze aanmeldingshints gemakkelijk verbergen door deze code toe te voegen aan het function.php-bestand van uw thema of een sitespecifieke plug-in.
function no_wordpress_errors () ga terug 'Er is iets mis!'; add_filter ('login_errors', 'no_wordpress_errors');
8. Vereisen dat gebruikers sterke wachtwoorden gebruiken
Als u een WordPress-site met meerdere auteurs uitvoert, kunnen die gebruikers hun profiel bewerken en een zwak wachtwoord gebruiken. Deze wachtwoorden kunnen worden gekraakt en geven iemand toegang tot het WordPress-beheergebied.
Om dit te verhelpen, kunt u de plug-in Force Strong Passwords installeren en activeren. Het werkt uit de doos en er zijn geen instellingen die u kunt configureren. Eenmaal geactiveerd, voorkomt dit dat gebruikers zwakkere wachtwoorden opslaan.
Het controleert de wachtwoordsterkte niet voor bestaande gebruikersaccounts. Als een gebruiker al een zwak wachtwoord gebruikt, kunnen ze hun wachtwoord blijven gebruiken.
9. Reset wachtwoord voor alle gebruikers
Bezorgd over wachtwoordbeveiliging op uw multi-user WordPress-site? U kunt eenvoudig al uw gebruikers vragen om hun wachtwoorden opnieuw in te stellen.
Eerst moet u de plug-in Emergency Password Reset installeren en activeren. Ga bij activering naar visit Gebruikers »Resetten van wachtwoord voor noodgevallen pagina en klik op de knop 'Alle wachtwoorden opnieuw instellen'.
Raadpleeg onze handleiding over gedetailleerde informatie over het opnieuw instellen van wachtwoorden voor alle gebruikers in WordPress
10. Houd WordPress bijgewerkt
WordPress brengt vaak nieuwe versies van de software uit. Elke nieuwe versie van WordPress bevat belangrijke bugfixes, nieuwe functies en beveiligingsoplossingen.
Als u een oudere versie van WordPress op uw site gebruikt, blijft u open voor bekende exploits en potentiële kwetsbaarheden. Om dit op te lossen, moet u ervoor zorgen dat u de nieuwste versie van WordPress gebruikt. Raadpleeg voor meer informatie over dit onderwerp waarom u altijd de nieuwste versie van WordPress zou moeten gebruiken.
Op dezelfde manier worden WordPress-plug-ins ook vaak bijgewerkt om nieuwe functies te introduceren of beveiligings- en andere problemen op te lossen. Zorg ervoor dat je WordPress-plug-ins ook up-to-date zijn.
11. Maak aangepaste aanmeldings- en registratiepagina's
Veel WordPress-sites vereisen dat gebruikers zich registreren. Voor lidmaatschapssites, leermanagementsites of online winkels moeten gebruikers bijvoorbeeld een account maken.
Deze gebruikers kunnen hun accounts echter gebruiken om zich aan te melden bij het WordPress-beheergebied. Dit is geen groot probleem, omdat ze alleen dingen kunnen doen die zijn toegestaan door hun gebruikersrol en mogelijkheden. Het voorkomt echter dat u de toegang tot aanmeldings- en registratiepagina's op de juiste manier beperkt, aangezien u deze pagina's nodig heeft voor gebruikers om zich aan te melden, hun profiel te beheren en in te loggen.
De gemakkelijke manier om dit op te lossen, is door aangepaste aanmeldings- en registratiepagina's te maken, zodat gebruikers zich rechtstreeks vanaf uw website kunnen aanmelden en inloggen.
Raadpleeg onze handleiding voor gedetailleerde stapsgewijze instructies voor het maken van aangepaste aanmeldings- en registratiepagina's in WordPress.
12. Meer informatie over gebruikersrollen en machtigingen van WordPress
WordPress wordt geleverd met een krachtig gebruikersbeheersysteem met verschillende gebruikersrollen en -mogelijkheden. Wanneer u een nieuwe gebruiker aan uw WordPress-site toevoegt, kunt u een gebruikersrol voor hen selecteren. Deze gebruikersrol bepaalt wat ze kunnen doen op uw WordPress-site.
Het toewijzen van een onjuiste gebruikersrol kan mensen meer mogelijkheden bieden dan ze nodig hebben. Om dit te voorkomen, moet u weten welke mogelijkheden verschillende gebruikersrollen bieden in WordPress. Zie onze beginnershandleiding voor WordPress-gebruikersrollen en -rechten voor meer informatie over dit onderwerp.
13. Beperk toegang tot het dashboard
Sommige WordPress-sites hebben bepaalde gebruikers die toegang tot het dashboard nodig hebben en sommige gebruikers die dat niet doen. Standaard hebben ze echter allemaal toegang tot het beheerdersgebied.
Om dit op te lossen, moet u de Remove Dashboard Access-plug-in installeren en activeren. Ga bij activering naar Instellingen "Dashboard-toegang pagina en selecteer welke gebruikersrollen toegang hebben tot het admingebied op uw site.
Raadpleeg onze handleiding over het beperken van de toegang tot het dashboard in WordPress voor meer gedetailleerde instructies.
14. Uitloggen Inactieve gebruikers
WordPress logt gebruikers niet automatisch uit totdat ze expliciet uitloggen of hun browservenster sluiten. Dit kan een zorg zijn voor WordPress-sites met gevoelige informatie. Dat is de reden waarom websites en apps van financiële instellingen automatisch gebruikers uitloggen als ze niet actief zijn geweest.
Om dit te verhelpen, kunt u de plug-in Idle User Logout installeren en activeren. Ga bij activering naar Instellingen "Afmelden voor niet-gebruikers pagina en voer de tijd in waarna u wilt dat gebruikers automatisch worden uitgelogd.
Zie ons artikel voor meer informatie over het automatisch uitloggen van inactieve gebruikers in WordPress voor meer informatie.
We hopen dat dit artikel u heeft geholpen nieuwe tips en hacks te leren om uw WordPress-beheerdersgebied te beschermen. Misschien wilt u ook onze ultieme stap voor stap WordPress beveiligingsgids voor beginners bekijken.
Als je dit artikel leuk vond, meld je dan aan voor onze YouTube-video-tutorials over WordPress. U kunt ons ook vinden op Twitter en Facebook.