Is jouw WordPress website onveilig(er) omdat er een login is voor het beheer van de website? Volgens het dagblad Trouw wel, maar dit is wel erg kort door de bocht. WordPress is net als alle andere CMS-en prima te beveiligen tegen aanvallen van buitenaf. Als dit niet zou kunnen lijkt het me sterk dat bijv. de website van het witte huis in WordPress wordt gemaakt.
Maar dan moet je dit wel doen. Hieronder een aantal tips.
Denk nou niet, ik heb een kleine website dus ik ben niet interessant voor hackers. Dit maakt namelijk niet uit, want hackers gebruiken vaak automatische tools die op elke website ter wereld testen op beveiligingsgaten. Dit geldt trouwens ook voor andere online zaken zoals e-mail, sms of jouw telefoon.
Wil je beveiliging serieus nemen, en dat geldt dan voor alle online activiteiten, zorg dan voor het volgende:
- Gebruik voor elke website zoveel mogelijk een andere wachtwoord
- Maak gebruik van een wachtwoord-manager
- Zorg dat je wachtwoorden lang en moeilijk te raden zijn
- Gebruik waar mogelijk 2 factor authentication
- Wees kritisch met wie je gegevens deelt
Als je deze regels in acht neemt verklein je al de kans dat iemand toegang krijgt tot jouw gegevens en verklein je de schade indien iemand toch toegang krijgt tot een bepaald wachtwoord.
WordPress is het meest gebruikte CMS ter wereld waardoor het voor hackers erg interessant wordt om hun automatische tooltjes voor dit systeem te optimaliseren. Daarintegen wordt het voor ontwikkelaars ook erg interessant om tools te ontwikkelen die dit weer tegengaan. In een vorige artikel van mij staan een aantal plugins en tips die je direct kunt toepassen op je eigen website. Hiermee kun je jouw website beveiliging in één keer structureel verbeteren zonder veel inspanningen.
3. Go Headless
Mocht de bovenstaande oplossing niet voldoende zijn, dan kun je ook voor de “Headless” oplossing gaan. Met “Headless” wordt bedoeld dat het publieke gedeelte van je website wordt gescheiden van het beheerders gedeelte van de website. De 2 gedeeltes kunnen dan apart van elkaar worden beveiligd en kunnen dan via API’s met elkaar communiceren. Voorbeelden hiervan is de standaard WordPress REST-API interface of de WPGrapHQL plugin waarmee publieke data kan worden opgevraagd.
Het voordeel van deze oplossing is dat de beheerders kun content kunnen beheren zoals ze altijd deden en dit gedeelte goed te beveiligen is. Het publieke gedeelte wordt dan statische HTML, is snel en veilig.
Het nadeel is dat deze oplossing een extra investering vereist en dat frontend plugins niet meer bruikbaar zijn.
Conclusie
Website beveiliging is en blijft altijd nodig. Met een aantal simpele regels en trucjes kun je jouw website veiliger maken en kun je de schade beperken.
