Heb je een backup van voor de hack? Probeer dan eerst om deze terug te zetten. Als het goed is heb je dan weer een schone website. Vervolgens is het van belang om al je wachtwoorden aan te passen:

• Verander de wachtwoorden van alle WordPress accounts op je website
• Verander het wachtwoord van je FTP account
• Pas het wachtwoord van je database aan
• Geef de login van DirectAdmin of Plesk een nieuw wachtwoord

Zijn er nog meer mogelijkheden om een hacker je website binnen te laten dringen? Pas deze wachtwoorden dan ook aan. Gebruik bij voorkeur een sterk wachtwoord met cijfers, letters en leestekens. Deze kun je online laten genereren.

Is een backup geen optie? Installeer dan een plugin die malware herkent en deze kan verwijderen. Deze plugins scannen de bestanden op de server en vergelijken deze met (hun eigen) database met bekende hacks. Soms heb je meerdere plugins nodig om de hack te kunnen identificeren. In veel gevallen bevindt de hack zich in de uploads map van je WordPress installatie. Ook zie je ze vaak terug in het wp-config.php of .htaccess bestand.

Deze plugins kunnen je helpen om gehackte content te verwijderen:

• Wordfence security (gratis)
• Sucuri security (gratis)
• Astra security (betaald, $228 per jaar)

Het kan ook zijn dat de hack in de core bestanden van WordPress terecht is gekomen. Download in dat geval een nieuwe WordPress versie van WordPress.org en overschrijf de oude bestanden. Zorg er wel voor dat je eerst een backup van je website maakt!

Controleer welke gebruikers er toegang hebben tot je website. Om dit te doen ga je in het WordPress hoofdmenu naar Gebruikers -> Alle gebruikers. Daar vind je een lijst met alle gebruikers en hun rechten op je website. Zie je een gebruiker die je niet herkent? Verwijder deze dan. Alleen diegenen die je vertrouwt zouden toegang tot je website moeten hebben.

Ook is het vaak niet noodzakelijk om iemand beheerdersrechten te geven. Bekijk wie welke rol heeft en pas dit aan waar nodig. Stel daarna voor iedereen een nieuw, sterk wachtwoord in.

De ‘secret keys’ van je WordPress installatie vind je in het wp-config.php bestand. Wanneer je een hack hebt opgelost, kun je deze keys het beste vervangen door een nieuwe reeks. In het wp-config.php bestand ziet deze willekeurige reeks er zo uit:

define(‘AUTH_KEY’, ‘#?xkCHTbuC&6ls=cg+OjhQKv>YFQfV<>X-}I%twgL+@^ro-C/JT|p+wPW#!V_T+R’);
define(‘SECURE_AUTH_KEY’, ‘-F[Av+<SV:_.s3HGx>k&j]|RIX=r!F6-II~ZoaQ+1M4%FwZM^sYVWu$h((,vm-:@’);
define(‘LOGGED_IN_KEY’, ‘m-|(34sjPKV`@o4&`-t{J[/sUHA|wyucMi3T/oZMv|@s-Mwj>v&L.psnytHEQ4%8’);
define(‘NONCE_KEY’, ‘xb%?`6Cgehsn2z~-tv;_l?u :48~D!q^ {+H;Fu|vwLDbGg*UZL}Q@79g+<x^D+N’);
define(‘AUTH_SALT’, ‘NcXcNZ()i.<D-X{e(Ct.sxht)WSU,-^{`fg+(Et(0o3eqi/^ZCzH><B9q~W35H-`’);
define(‘SECURE_AUTH_SALT’, ‘-tg71WMY_|JtptQ#i(;eEXY-3Neh6q}yWc_+G9UQH:qApB^C|JE9`N`0kb&$;ouM’);
define(‘LOGGED_IN_SALT’, ‘T3Cu!j~#j8#9i~4PC+n2QONVI(6/&V>C7k|!Hph&RfJIf9}hx.NZv3)f-z1 C#%T’);
define(‘NONCE_SALT’, ‘%Ez5%MfLPFl$|zR,*gUCQkg.>anfa7hG^cB;YYo-d19>dmCtIiGs)8Tnr.wYr]T4’);

Je kunt voor je eigen WordPress website een reeks nieuwe tekens aan laten maken door hier te klikken. De oude reeks vervang je vervolgens in je wp-config.php bestand. Zo worden de gebruikersrechten weer gereset waardoor je minder kans hebt dat een hacker nog toegang heeft tot jouw website.

Bij de meeste goedkope hosting providers worden meerdere, zoniet honderden websites op dezelfde server gehost. Dat levert potentiële problemen op. Wordt een website op de server gehackt? Dan bestaat de kans dat veel andere websites op dezelfde server ook besmet raken. Wanneer je kiest voor een budgetoptie kun je er ook vanuit gaan dat er wordt beknibbeld op de veiligheid. Kies altijd voor een gerenommeerde host waar je website veilig gehost kan worden. Ook al kost je dat een aantal euro’s per maand meer.

Het verwijderen van een hack op je WordPress website kan een lastig technisch verhaal zijn.

Lukt het je niet om de hack te verwijderen? Neem dan contact met ons op om je website hackvrij te maken. Dat doen we professioneel en snel: in de meeste gevallen ben je binnen 24 uur geholpen. Dat kan als eenmalige dienst of kies voor ons premium onderhoudspakket om in de toekomst altijd verzekerd te zijn van een snelle, veilige en hackvrije website!

Heb je een WordPress website? Dan weet je inmiddels wel dat het erg belangrijk is om regelmatig een backup te maken. Daarvoor kun je verschillende plugins gebruiken, maar nog beter is het om ook te kiezen voor hosting met automatische updates. De meeste hostingbedrijven bieden dat aan. Maar ook daar geldt: goedkoop is duurkoop. Informeer jezelf van tevoren of je hosting partij dit doet en hoe makkelijk je een WordPress backup terug kunt zetten.

Zorg er daarnaast voor dat je niet afhankelijk bent van je host. Met een backup plugin zorg je ervoor dat je altijd een recente reservekopie achter de hand hebt. De beste plugins om automatisch backups te maken zijn:

• UpdraftPlus (gratis)
• BackWpUp (gratis)

Om een hack van je website te voorkomen is het belangrijk om je website regelmatig te updaten. Voor je thema, plugins en WordPress versie worden regelmatig updates uitgebracht. Dit is om de functionaliteit te verbeteren en te vernieuwen, maar ook om de beveiliging te verbeteren.

Heel veel updates worden uitgebracht omdat er een lek is ontdekt. Zorg er dus voor dat dit allemaal up to date is. Het liefst wekelijks of dagelijks als je website van levensbelang is. Dit kun je zelf doen of aan ons uitbesteden voor een klein bedrag per maand!

In de adresbalk van jouw browser zie je naast onze domeinnaam een slotje staan. Dat betekent dat de gegevens die over deze website verstuurd worden, versleuteld zijn. Veel hosting bedrijven bieden een gratis certificaat aan van Let’s Encrypt. Bij anderen kun je kiezen voor een betaalde variant. Doe dit sowieso! Je website en gegevens die bijvoorbeeld via een contactformulier worden verstuurd zijn daarmee een stuk veiliger.

Ook ziet Google een dergelijk certificaat als een ranking factor. Zonder SSL heb je een grote kans dat je website niet zal gaan scoren op de voor jou belangrijke zoekwoorden!

We komen helaas te vaak tegen dat WordPress accounts een slecht gekozen gebruikersnaam of wachtwoord hebben. Bijvoorbeeld ‘admin’ als login en ‘123456789’ als wachtwoord. Of accounts waarbij de gebruikersnaam en wachtwoord gelijk zijn. Dat is een van de meest foute dingen die je kunt doen: bots struinen dagelijks heel het internet af en testen deze gebruikersnamen en wachtwoorden op willekeurige websites. Heb je zo’n wachtwoord? Dan is de kans groot dat je website gehackt wordt.

Zorg voor een sterk wachtwoord dat bestaat uit verschillende tekens, spaties, kleine letters, hoofdletters en cijfers. Daarmee maak je het hackers veel moeilijker om de login te ‘raden’. Je kunt dit eenvoudig in WordPress zelf doen. Ga in het beheerders scherm naar gebruikers en klik op een gebruiker. Scroll naar beneden tot je de optie ‘nieuw wachtwoord’ ziet. WordPress maakt daar automatisch een lang en ingewikkeld wachtwoord voor je aan. Dat kun je natuurlijk niet onthouden, dus zorg ervoor dat je bent ingelogd in Chrome om het wachtwoord op te slaan. Of maak gebruik van een service als LastPass waarmee je wachtwoorden kunt beheren.

Zorg ook voor een login naam die niet voor de hand ligt. Gebruik geen namen van mensen die met naam en toenaam op je website staan, en al helemaal geen ‘admin’.

Een goede beveiligingsplugin kan je website al een stuk veiliger maken. Voorbeelden die je eerder op deze pagina tegenkwam zijn Wordfence en Sucuri. Deze plugins zorgen voor een firewall waarmee het login gedeelte van je website beveiligd wordt. Proberen hackers vanaf 1 ip-adres meerdere malen in te loggen? Dan worden ze automatisch geblokkeerd. Ook beschikken ze over een ingebouwde malware scanner die je website dagelijks scant op onregelmatigheden. Je kunt instellen dat je elke dag een e-mail krijgt met de laatste bevindingen. Is je WordPress website gehackt? Dan krijg je direct een melding zodat je er wat aan kunt doen.

Het is natuurlijk aantrekkelijk om je website voor maar € 2 per maand te hosten. Je moet er dan wel rekening mee houden dat de beveiliging op deze servers minder goed geregeld is. Ook komt je website op een gedeelde server te staan. Deze deel je dan met tientallen of soms wel honderden websites. Wanneer een van deze websites gehackt wordt, bestaat de kans dat andere websites op de server ook geïnfecteerd raken. Daarom kun je beter een host kiezen die de veiligheid hoog in het vaandel heeft staan. Bijvoorbeeld door pro-actief je bestanden te scannen of je een melding te sturen wanneer er iets mis is. Daar betaal je vaak wat meer voor, maar het oplossen van een hack is achteraf altijd duurder.

Bestel je bij ons een premium onderhoudspakket? Dan wordt je website standaard op een beveiligde en razendsnelle VPS server gehost!

• Verander je database prefix. Standaard krijgt een WordPress installatie een wp_ prefix in de database. Dat maakt je installatie voorspelbaar, net als het gebruik van ‘admin’ als gebruikersnaam. Voor een extra laag beveiliging kun je een willekeurige prefix gebruiken, bijvoorbeeld iets als rS01_. Je bent dan minder zichtbaar en het duurt langer voordat je website gehackt kan worden.
• Maak gebruik van 2 factor authentication. Daarmee zorg je voor een extra beveiligingslaag wanneer je wilt inloggen. Je hebt daarvoor de mobiele app Google Authenticator en de gelijknamige WordPress plugin nodig. Zorg ervoor dat alle gebruikers op je website beschikken over deze app.