Meer tips voor het beveiligen van je WordPress website

Als het om de veiligheid van websites gaat, dan WordPress wordt vaak beschouwd als de onofficiële zondebok. Net zoals vele andere populaire web applicaties, is WordPress een aantrekkelijk doelwit voor cyberaanvallen. Gelukkig zijn er tegenwoordig volop opties met betrekking tot veiligheidsconfiguraties en plugins om de algemene veiligheid van je WordPress site te verbeteren.

In dit artikel lichten we nog een aantal tips toe om de veiligheid van je WordPress website te verbeteren.

Hosting en Webhosting bij Combell

WordPress Security Plugins

Schoon je computer op

Voor je begin met het installeren van WordPress, moet je jezelf ervan verzekeren dat je computer vrij is van virussen en malware. Het lijkt vanzelfsprekend, maar het is van essentieel belang dat je computer betrouwbaar is. Als je computer geïnfecteerd is, is elke veiligheid gerelateerde maatregel die je neemt zo goed als zinloos. Zorg voor een goed antivirus programma om je systeem te beschermen tegen malware en virussen.

Installeer WordPress in een andere directory

De kernbestanden van je WordPress site kun je heel goed op een andere locatie zetten dan in je root directory. Er zijn nogal wat meningsverschillen over deze methode; scanners en hackers kunnen er nog steeds achter komen waar je WordPress is opgeslagen, maar aangezien het onderwerp geregeld wordt aangekaart vonden we het wel het vermelden waard. Zelfs al ben je van mening dat deze methode geen extra veiligheid biedt, helpt het wel om je server netjes georganiseerd te houden.

Verander de database prefix

WordPress creëert de database standaard de prefix wp_. Men is in de veronderstelling dat spammers en hackers die gebruik maken van geautomatiseerde tools kennis hebben van je database structuur. Zou je de standaard database prefix gebruiken, dan maak je het hen allemaal maar makkelijk. Ook dit is, net als het installeren van WordPress in een andere directory, een onderwerp van discussie.

Tijdens de configuratie van wp-config.php in het installatieproces, kun je de prefix veranderen naar iets willekeurigs en unieks, zoals bijvoorbeeld wp_Df3R_. Je kunt cijfers, letters en underscores gebruiken.

Beveilig wp-config.php

Wp-config.php is het belangrijkste bestand in WordPress; het bevat waardevolle informatie, waaronder de database, de gebruikersnaam, het wachtwoord en authenticatiesleutels. Niemand zou directe toegang tot dit bestand mogen hebben.

Zoals we al eerder aangaven kun je wp-config.php buiten je root map opslaan. Maar je kunt er nog een extra stukje beveiliging aan toevoegen. Om toegang tot het bestand te weigeren, moet je boven in het .htaccess bestand de volgende regels code toevoegen:

<files wp-config.php>

order allow, deny

deny from all

</files>

Dit bestand zou niet door anderen moeten kunnen worden aangepast of overgeschreven.

Verwijder het nummer van je WordPress versie

Soms kan het laten staan van je WordPress versienummer een veiligheidsrisico vormen, zeker wanneer WordPress niet regelmatig geüpdate wordt. Natuurlijk raden we het sterk aan om regelmatig updates uit te voeren, maar als je toch het versienummer wilt verwijderen, dan is dat gelukkig heel simpel. In het header.php staat de code die het WordPress versienummer genereert:

<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />

Om het versienummer te verwijderen voeg je de onderstaande regel code toe aan het functions.php bestand van je actieve thema:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

Gebruik Secret Keys

Secret Keys helpen om de data die is omgeslagen in de cookies die WordPress gebruikt te versleutelen en maken het lastiger voor hackers om je WordPress site binnen te dringen.

WordPress creëert die Secret Keys voor je tijdens de installatie. Echter, wanneer je een oudere site hebt, of wanneer het wp-config.php bestand handmatig is vervangen, dan heb je die Secret Keys niet.

Secret Keys worden als volgt weergegeven in wp.config.php:

define(‘AUTH_KEY’,         ‘put your unique phrase here’);

define(‘SECURE_AUTH_KEY’,  ‘put your unique phrase here’);

define(‘LOGGED_IN_KEY’,    ‘put your unique phrase here’);

define(‘NONCE_KEY’,        ‘put your unique phrase here’);

define(‘AUTH_SALT’,        ‘put your unique phrase here’);

define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);

define(‘LOGGED_IN_SALT’,   ‘put your unique phrase here’);

define(‘NONCE_SALT’,       ‘put your unique phrase here’);

Als je deze Secret Keys opnieuw wil genereren, kun je de officiële generator van WordPress.org gebruiken.

Schakel directory browsing uit

WordPress biedt gebruikers de mogelijkheid om door de web directories te browsen, als ze weten waar ze moeten zoeken. Dit is natuurlijk iets wat we liever willen vermijden, want op die manier kunnen hackers je meest kwetsbare bestanden vinden. Om ervoor te zorgen dat niemand de inhoud van je directories kan zien, hoef je alleen maar de onderstaande regel aan je .htaccess bestand toe te voegen:

Options –Indexes

Beveilig al je WordPress installaties

Als je meer dan één WordPress installatie bij dezelfde host hebt, moet je voor elke database verschillende gebruikers referenties gebruiken. Elke website moet een unieke database gebruikersnaam en wachtwoord hebben in het wp-config.php bestand. Dit verzekerd de isolatie van je websites, voor het geval dat er één wordt gehackt.

Beveilig je site met WordPress plugins

Als je het niet echt aandurft om in de code te gaan zitten rommelen, dan zijn er nog een aantal plugins die je kunnen helpen om je WordPress installatie te beveiligen, of je te helpen herstellen wanneer je het slachtoffer bent geworden van een cyberaanval:

Tot slot

Omdat een heel groot percentage van de websites op WordPress draait is het niet zo verwonderlijk dat WordPress veiligheid een populair onderwerp is. Als je de veiligheid van je site serieus neemt, is het zeker aan te raden om de tijd te nemen de bovenstaande maatregelen te treffen. Lees ook nog het artikel over htaccess

Korting op WordPress handleiding

Eén reactie op “Meer tips voor het beveiligen van je WordPress website”

  1. David schreef:

    Nuttig artikel! Ik vroeg me alleen af.. Moet je bij het veranderen van de prefix de “wp” erin laten?

Geef een reactie