Een veiliger WordPress Blog in zeven simpele stappen

De kans is zeer groot dat vroeg of laat jouw blog ook aan de beurt is. Iemand met te veel vrije tijd breekt in op je website en laat voornamelijk een hoop hoofdpijn achter. In de meeste gevallen was dit makkelijk te voorkomen. De stappen in deze post kosten in totaal nog geen uur van je tijd en zijn een goed begin van een veilig WordPress blog.

Om deze stappen uit te kunnen voeren zijn er wel wat vereisten, namelijk;

1. Je hebt FTP toegang tot de WordPress installatie.
2. Je weet hoe je plugins moet installeren in WordPress.

1. Update regelmatig naar de meest recente versie van WordPress.

Hoef ik weinig meer aan toe te voegen, toch? En als je daar toch mee bezig bent maak je uiteraard ook even een backup van de database en filesystem.

2. CHMOD Controleren

Meestal staan de rechten op je bestanden al helemaal goed, maar controleer het toch nog maar even. In principe moeten alle mappen op 755 staat en de (meeste) bestanden op 644. Uitzonderingen zijn bijvoorbeeld wp-config.php en htaccess die chmod respectievelijk 600 en 640 zijn. Lees meer over het aanpassen van bestandsrechten in de wordpress codex.

Je kan dit vrij gemakkelijk controleren met de meeste FTP programma’s. Ik gebruik zelf FileZilla, omdat het gratis is en ik nog nooit iets nodig heb gehad wat niet kan met FilleZilla. Heb je deze geïnstalleerd, verbind dan met je server en check of de rechten goed staan (rechtermuis op file > bestandsrechten)

Met het aanpassen van rechten kan je een website compleet om zeep helpen, dus zorg ervoor dat je geen fouten maakt wanneer je aanpassingen maakt op een productie server.

Je kan de rechten zelf aanpassen door alle files te selecteren en het bestandsrechten scherm te openen. Pas hier mee op!

3. Verwijder de Admin user

Klinkt simpel, is het ook..

Maak een nieuwe user aan > geef deze user admin rechten > log in met de nieuwe user en verwijder de oude Admin user. Mocht je al posts op naam van admin hebben staan kan je deze met wordpress overzetten op een andere user op het moment dat je de admin user aan het verwijderen bent.

4. WordPress Security Keys

Als het goed is staan in de wp-config.php file al WordPress Security Keys. Dit zijn willekeurige variabelen die de encryptie van opgeslagen informatie verbeterd. Op WPBeginner.com staat een artikel die het helemaal uitlegt, maar in principe hoef je alleen nieuwe variabelen aan te vragen en die in wp-config.php te vervangen.

https://api.wordpress.org/secret-key/1.1/salt/

5. Verwijder het versie nummer uit je meta tags

Het is mij niet helemaal duidelijk waarom dit handig is, maar vaak staat het versie nummer van WordPress in de Meta tags. Deze verwijder je door de volgende regel code uit je <head> sectie te verwijderen;

<meta content=”WordPress <?php bloginfo(‘version’); ? />” name=”generator” />

6. Verbeter de beveiliging van je blog door middel van de htaccess file.

Kopieer onderstaande regels naar de htaccess file

# protect the htaccess file
<files .htaccess>
order allow,deny
deny from all
</files>

# disable the server signature
ServerSignature Off

# limit file uploads to 10mb
LimitRequestBody 10240000

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

7. Plugins

Installeer tenslotte nog de volgende plugins om de beveiliging van je WordPress blog te verbeteren.

De WordPress Firewall Plugin

De Login Lockdown Plugin

 

Vragen, opmerkingen of tips voor goede plugins? Zet ze in de comments.

• Tags: Beveiliging × chmod × Hacker × Security × veiligheid × Wordpress