Wat kan ik doen om mijn site te beveiligen?
Dit artikel is met name bedoelt voor klanten van MijnHostingPartner.nl die gebruik maken van webapplicaties zoals Wordpress en Joomla. Deze webapplicaties zijn beide in een paar klikken te installeren via het klantenpanel Beide maken gebruik van een eenvoudig te gebruiken beheer omgeving. Er zijn verschillende forums waar informatie over deze webapplicaties gevonden kan worden. Alsook binnen onze kennisbank.
De reden dat deze applicaties zo populair zijn is omdat ze gratis zijn, open source, en zonder te hoeven coderen te gebruiken zijn. Wat echter een nadeel is, is dat kwaadwillenden ook de focus op dit soort websites leggen dankzij deze populariteit. Mede omdat het open source is en er vele duizenden plugins en thema's beschikbaar zijn, zitten er vaak lekken in de applicaties. Dit artikel is er voor bedoeld om onze klanten nader uit te leggen welke stappen je kan ondernemen om de kans zoveel mogelijk te verkleinen om gehackt te worden.
Stap 1: Je wachtwoorden.
Besteed aandacht aan wat je voor wachtwoord instelt binnen de WordPress/Joomla admin en het FTP account. Denk bijvoorbeeld niet aan wachtwoorden als: Test1234$ / Welkom12!@ etc.
Wat een beter voorbeeld is voor een wachtwoord kan je hieronder vinden:
- HR$OgR27hNf0m!8B2oDdBCNw
- vBu2seYo#B7c9WOB3IU-wOZ4
Voor meer informatie over een sterk wachtwoord dan kan je in ons artikel hier meer over lezen. Ook hebben wij een Random Password Generator. Bij veel wachtwoorden die je aanmaakt in het klantenpanel zit ook een "Genereer" optie. Die je in staat stelt om gelijk een wachtwoord te generen die veilig is en opgeslagen kan worden in een password manager.
Stap 2: De schrijfrechten.
Er worden twee soorten schrijfrechten in deze stap behandeld.
1. De lees/schrijfrechten van een FTP account.
2. De lees/schrijfrechten van een map (file manager).
1.De lees/schrijfrechten van een FTP account.
Wanneer je de schrijfrechten van een map op een correcte manier instelt dan kunnen hier geen kwaadaardige bestanden aan toegevoegd worden. Er zijn verschillende redenen waarom dit gebeurt:
Een reden om je site te misbruiken is dat men van de site een botnet wil maken. Via een botnet kunnen verdere aanvallen kunnen worden gelanceerd en spam worden verstuurd. Een andere reden is om phishing aanvallen uit te voeren.
De schrijfrechten dienen goed gezet te worden indien je bestanden wilt uploaden via FTP. Werk je dus aan de site dan kan je dit op lezen en schrijven zetten.
Zodra je weer klaar bent met het werken aan de site dan kan je dit op alleen lezen zetten.
Om de schrijfrechten voor het FTP account te limiteren dan kan je het volgende toepassen:
2. De lees/schrijfrechten van een website instellen via het klantenpanel
Meer informatie over schrijfrechten kan je in het artikel vinden.
Zodra je een langere periode niet aan de site gaat werken kan je dus de schrijfrechten weer uitzetten. Ook zie je in het klantenpanel de optie hiervoor om dit na 7 dagen automatisch te resetten naar de veiligere optie.
Stap 3: Plug-ins en toevoegingen op WordPress en Joomla.
Een voordeel van WordPress en Joomla is dat er hier tal van plug-ins en uitbreidingen voor zijn zodat je het kan aanpassen naar jouw wens.
Het nadeel van deze plug-ins is dat deze wellicht meteen al onveilig zijn en lekken kunnen bevatten die schade kunnen berokkenen.
Download nooit plug-ins via een derde site of een site die niet officieel van WordPress of Joomla is. Als je binnen de admin omgeving blijft om plug-ins te downloaden dan weet je vrijwel zeker dat je op de juiste site zit.
Mocht je vanaf plug-ins of updates willen downloaden dan kan je onder andere de volgende links raadplegen:
Internationale WordPress site: WordPress
Nederlandse WordPress site: Nederlandse WordPress
Internationale Joomla site: Joomla Extensies
Wanneer je een plug-in wilt installeren op jouw site besteed dan aandacht aan de volgende zaken:
- Zijn de reviews positief?
- Heeft iemand er problemen mee gehad?
- Gebruiken een handvol mensen dit of word dit door een grote community gebruikt en regelmatig geüpdatet?
- Hoe oud is de plug-in en voor welke versie van WordPress/Joomla is de plug-in gemaakt?
Stap 4: Back-up van je site
Indien je nog geen back-up van de site hebt gemaakt dan kan je hier lezen via dit artikel hoe je dit kunt doen. Zodra je dit op de manier uit het artikel doet dan zal een complete back-up worden gemaakt van jouw website. Daar vallen de databases dus ook onder van jouw WordPress of Joomla site. Als je alleen een back-up maakt van jouw website bestanden dan zal dit afdoende zijn. Joomla en WordPress functioneren niet zonder de bijbehorende database.
Wanneer jouw website bestanden beschadigd zijn en/of geïnfecteerd dan heb je altijd een back-up van de laatste (werkende) versie van jouw website. In het geval van een hack hoef je na het terugzetten enkel de wachtwoorden aan te passen.
Er bestaat ook de optie om een back-up via een Scheduled Task (Cron Job) te laten lopen. Op deze manier wordt op een gezet tijdstip automatisch een back-up gemaakt. Meer hierover kan je hier vinden.
Stap 5: SFTP
Een normale FTP verbinding maak geen gebruik van versleuteling wanneer je met een FTP client verbinding maakt om bestanden te uploaden naar jouw space. Om verbinding te maken via SFTP kan je de volgende instellingen hanteren:
Stap 6: SSL certificaat
Wat het voordeel is van een SSL certificaat is dat de verbinding altijd versleuteld is tussen bezoeker en website. Zo weet de bezoeker dat hij met de juiste site verbonden is en dat eventuele gegevens die hij opgeeft versleuteld over de lijn gaan. Er zijn meerdere opties voor een SSL certificaat:
Stap 7: Log Files
Als je kijkt via FTP of via de filemanager in het control panel dan zie je in de home directory drie mappen staan:
- Data
- Logs
- wwwroot
De belangrijkste folder is de wwwroot. In deze folder staan jouw website bestanden. Zonder deze folder of bestanden in deze folder zal er eigenlijk geen website zichtbaar zijn. Maar de Logs map kan voor analyse achteraf erg behulpzaam zijn om te achterhalen wat er gebeurt is.
In de log files zijn de URL aanvragen terug te vinden, aan de hand daarvan is ongeveer te zien wanneer wat gebeurd is. Bijvoorbeeld een lange lijst met inlog aanvragen zijn terug te zien in deze logs.
Stap 7: Het up to date houden van jouw website en plug-ins.
Het is zeer belangrijk om jouw website en plug-ins up to date te houden, de code en plug-ins wordt namelijk van een goed CMS telkens bijgewerkt en veiliger gemaakt. Wanneer je de laatste versie draait van WordPress en een verouderde plug-in hebt is dit een gemakkelijke manier om binnen te dringen voor kwaadwillenden.
Wij raden aan om goed op de hoogte te blijven van ontwikkelingen en dit ook na te volgen. Op de website van WordPress en Joomla wordt dit altijd goed aangegeven wanneer een nieuwe versie te downloaden is.
Hoe je jouw website kan updaten kan je in de volgende artikelen vinden.
- Wordpress Updaten.
- Joomla Updaten.
Heb je andere vragen, suggesties of opmerkingen dan kan je altijd een ticket aanmaken via het klantenpanel of kijken of er iemand van de chat op onze website aanwezig is.