Bij het maken van een website komt meer kijken dan slechts het ontwikkelen van een mooie, functionele site. Er zijn namelijk ook mensen met slechte intenties, die zullen proberen je website te exploiteren, door beveiligingslekken te vinden en misbruiken. Dit wil je natuurlijk niet en gelukkig kan je het met enkele voorzorgsmaatregelen vrijwel onmogelijk maken om in te breken op je website.
Deze handleiding zal enkele goede maatregelen behandelen waarmee je je website kunt beveiligen tegen hackers!
Mocht je te laat zijn met deze voorzorgsmaatregelen en je site geïnfecteerd zijn met malware, dan kan je veelal nog een gehackte site opschonen.
- Gebruik sterke wachtwoorden
- Je site beveiligen met SSL
- Zet "allow_url_fopen" uit
- Stel de "open_basedir" beperking in
- Beveilig je ".htaccess"
- Voorkom openbare site index
- Verwijder verouderde plugins/thema's
- Delete/Suspend niet gebruikte domeinen
Aangezien deze handleiding algemene beveiligingsmaatregelen behandelt, plaatsen we deze tips om je WordPress te beschermen bovenaan.
Je kunt tevens gebruik maken van de iThemes security plugin als je een WordPress site gebruikt!
Tot slot staat hier uitgelegd hoe je een WordPress site kunt updaten.
Naast de stappen in de handleiding, hebben wie ook nog een DDoS filter actief op de servers, welke automatisch inschakelt als er een DDoS aanval plaatsvindt. Hier hoef je dus zelf niets voor te doen!
1. Gebruik sterke wachtwoorden
Allereerst is het belangrijk een goed wachtwoord in te stellen, hier kan je ook meer over lezen in dit artikel met drie beveiligings tips voor beginners.
Toch is het voor velen redelijk onduidelijk wanneer iets nou een sterk wachtwoord is. Hiervoor kan je als vuistregel nemen dat een wachtwoord willekeurig moet zijn. Dus laat dit geen bestaand woord zijn.
We adviseren om een wachtwoord van 20 tekens te gebruiken, het liefst een combinatie van letters, getallen en leestekens.
Je kunt ook het wachtwoord van je database sterker maken, maar hierbij moet je wel ook het wachtwoord aanpassen in je MySQL configuratie.
2. Je site beveiligen met SSL
Het is tevens belangrijk dat er geen gegevens die verstuurd worden onderschept kunnen worden. Dit kan je beveiligen door deze te versleutelen middels SSL. Hiervoor moet je allereerst een SSL certificaat installeren op je website.
Als je een SSL certificaat hebt geïnstalleerd wil je voorkomen dat mensen je site nog zonder SSL kunnen bezoeken. Hiervoor wil je dus de verbinding over SSL forceren.
Wanneer je wilt dat verbindingen zonder SSL simpelweg niet werken, kan je de security instellingen hiervoor aanpassen. Dit kan door middel van HSTS. Een strenger security beleid waarmee verbindingen zonder SSL nooit toegang tot je site krijgen.
3. Zet "allow_url_fopen" uit
Ga in DirectAdmin naar Select PHP version, onder "Advanced Features".
Klik dan op Show PHP Settings om bij de instellingen te komen.
Er staat helemaal bovenaan een setting, "allow_url_fopen" welke standaard aan zal staan.
Zet deze op Off en klik onderaan op Save.
Test of je site nog werkt met deze instelling uitgeschakeld, aangezien sommige sites hierdoor problemen zullen krijgen.
Dit is tevens de reden dat de instelling standaard aan staat.
Mocht je site hierdoor problemen krijgen, dan moet deze instelling voor jou helaas aan staan.
4. Stel de "open_basedir" beperking in
Als je net de "allow_url_fopen" instelling hebt aangepast, ben je nog bij de php instellingen.
Zoek deze anders opnieuw op.
4a. PHP instelling
We gaan nu de uitvoering van php scripts beperken, door dit uitsluitend toe te staan binnen je site bestanden en een tijdelijke upload map.
We willen dat dit niet de standaard temporary upload map is, maar een map binnen je hosting.
Stel rechts van open_basedir de volgende regel in:
/home/GEBRUIKERSNAAM/domains/VOORBEELD.NL/public_html:/home/GEBRUIKERSNAAM/upload_tmp
En bij upload_tmp_dir stel je in:
/home/GEBRUIKERSNAAM/upload_tmp
Dit ziet er dan als het goed is als volgt uit:
Sla de instellingen op en ga verder met het tweede deel van deze stap.
4b. Maak temporary upload map
Ga nu bovenin DirectAdmin naar Files om bij je bestanden te komen.
Scroll naar onderen, voer naast "Create New Folder" in: upload_tmp en klik op Create
We willen niet dat iedereen toegang tot deze map heeft, dus we gaan deze beveiligen.
Selecteer de zojuist aangemaakte map door deze rechts aan te vinken.
Typ nu naast "set Permission" 700 en klik daarna op de knop.
Hierna zal deze map enkel door het systeem ingezien mogen worden!
5. Beveilig je ".htaccess"
Er zullen vele regels die de Apache instellingen van je site regelen staan in je .htaccess.
Het is daarom belangrijk dat deze niet ingezien kan worden, of kan worden aangepast.
Dit is met een kleine toevoeging aan de .htaccess extra sterk te beveiligen!
Je voegt hiervoor onderaan je .htaccess de volgende regels toe:
<Files .htaccess> Order Allow,Deny Deny from all </Files>
Sla de wijzigingen op en je .htaccess is (extra) beveiligd!
6. Voorkom openbare site index
Het kan een risico vormen wanneer iedereen kan inzien welke bestanden er in iedere map aanwezig zijn.
Dit kan je ook in je .htaccess uitsluiten, met slechts een enkele regel!
Hiervoor voeg je helemaal bovenaan je .htaccess deze regel toe:
Options -Indexes
Druk op "Save" om het op te slaan.
Er zal nu geen index getoond kunnen worden van je bestanden!
7. Verwijder verouderde plugins/thema's
Als een plugin of een thema verouderd is, kan deze voor beveiligingsrisico's zorgen.
Dit kan zelfs wanneer je deze plugin of dit thema niet zozeer zelf gebruikt!
Verwijder dus altijd plugins en thema's die je niet meer gebruikt, om te voorkomen dat ze verouderen.
Let op! Installeer enkel thema's en plugins die nog onderhouden worden!
Als je een plugin of thema hebt dat niet meer onderhouden wordt, verwijder deze dan.
Dat er geen nieuwe updates voor je plugins en thema's zijn, betekent niet dat per se deze up-to-date zijn.
Let dus altijd op de datum waarop een plugin/thema voor het laatst is bijgewerkt.
8. Delete/Suspend niet gebruikte domeinen
Wanneer je een site niet meer gebruikt, zal je deze ook niet meer onderhouden.
Het kan zijn dat de gedachte is dat het geen kwaad kan deze site gewoon te laten staan.
Je maakt er geen gebruik meer van, dus het is niet heel erg als deze gehackt wordt.
Deze gedachte is fout, omdat hackers ook vanuit deze niet onderhouden site toegang tot de andere sites op hetzelfde hosting pakket kunnen verkrijgen!
Dit zien we vaak gebeuren en is heel gemakkelijk te voorkomen.
Je kunt deze site(s) zowel Suspenden (offline zetten) als helemaal verwijderen.
Slechts suspenden is al genoeg om een beveiligingslek te voorkomen.
Om dit te doen ga je naar Domain Administration/Domain Setup in DirectAdmin
Zet hier een een vinkje bij de site die niet gebruikt wordt en druk op Suspend of Delete.
Dat was alles, je actieve sites kunnen nu niet aangetast worden vanuit de site die je niet meer gebruikt.
Mocht iets in deze handleiding onduidelijk zijn of heb je een aanvulling/vraag hierover, dan horen wij het graag!
Je kunt contact met ons opnemen langs de Live Chat of met een Support Ticket.