Posted: 8 april 2013 By: Comments: 0

WordPress beveiligen

Is het noodzakelijk WordPress te beveiligen? Dat is het zeker!

Geen enkele website/blog is absoluut veilig, er zijn altijd mogelijkheden voor hackers. Deze zoeken natuurlijk het liefst naar eenvoudige doelwitten. Voor een wordpress-site zijn er een aantal zaken waar je gemakkelijk rekening mee kunt houden en in kunt stellen die je beveiliging aanzienlijk verbeteren. Hieronder staat daar een lijstje van, daar weer onder kom ik op elk item teug.

  1. Vermijd de subdirectory “wp”.wplock
  2. Vermijd de username “admin”.
  3. Gebruik “Simple Login Lockdown”.
  4. Pas je .htaccess aan.
  5. Juiste bestandsrechten op de server instellen.

1. Vermijd de subdirectory “wp”.

Het spreekt voor zich dat als iemand op zoek is naar de directory waar wordpress in geïnstalleerd is, hij eerst naar de gangbare directory’s zoekt. Laten we dit inkoppertje niet weggeven.

2. Vermijd de username “admin”.

Hiervoor geldt hetzelfde, vermijd standaarden. Als we de user “admin” noemen, geven we al de helft van onze inloggegevens weg. Natuurlijk is de andere helft, het wachtwoord, ook ontzettend belangrijk. Kies een sterk wachtwoord. Dat bestaat uit minstens 10 karakters, hoofdletters en kleine letters, vreemde tekes als #&$ en cijfers. Een combinatie daarvan zal niet makkelijk te achterhalen zijn.

3. Gebruik “Simple Login Lockdown”.

Deze plugin beperkt het aantal malen dat iemand (IP-adres) foutief kan inloggen. Er volgt dan een tijdelijke blokkade, tijdsduur is instelbaar.

4. Pas je .htaccess aan.

Als je je .htaccess wilt aanpassen, dan zijn er een aantal interessante mogelijkheden.
De eerste is de toegang tot je .htaccess bestand blokkeren. Dit doe je door onderstaande code onderin je .htaccess bestand te plaatsen.

Als tweede wil ik je adviseren om het bestand wp-config te blokkeren, hier staat namelijk gevoelige informatie in! Gebruik hiervoor de volgende code:

Een derde mogelijkheid is om bescherming te bieden tegen script injectie. Hier kun je onderstaande code voor gebruiken.

De map wp-admin kun je ook met je .htaccess bestand beveiligen. Zorg ervoor in onderstaande code dat je de url juist overneemt van je hosting en vervang het ip-adres door je eigen. Gebruik je meerdere ip-adressen, bijvoorbeeld vanaf je werk en vanaf thuis, voeg dan meerdere ip-adressen toe gescheiden door een spatie.

5. Juiste bestandsrechten op de server instellen.

Je wilt natuurlijk de rechten goed geregeld hebben, daarmee bedoel ik dat jij zelf alles kunt instellen/bewerken/installeren, maar dat bezoekers dat niet kunnen. Dit kun je organiseren door rechten toe te kennen aan bestanden en mappen. Ik gebruik hier zelf filezilla voor, maar andere ftp-clients zullen dat ook kunnen. In filezilla kan ik als ik op de rootmap van wordpress klik met mijn rechtermuisknop de rechten instellen. In filezilla spreekt men dan over de bestandsattributen. Hiervoor gekozen kun je aan de hand van een driedelige cijfercombinatie rechten instellen. In eerste instantie kies ik voor 755, deze stel je in voor deze map en alle submappen. Daarna vanaf dezelfde map, kies je voor elk bestand en die zet je op 644. Hiermee heb je alle mappen en bestanden in één keer goed ingesteld.

Afsluitend wil ik je nog vermelden dat dit een aantal beveiligingsmiddelen zijn, er zijn er nog meer die veel dieper gaan. Het belangrijkste is dat je de kwestie serieus neemt en met enige regelmaat controleert of er nieuwe ontwikkelingen zijn op dit gebied.

Deel dit artikel!

Post Categories

Wordpress