Wordpress beveiliging

Populaire scripts en software zijn altijd interessant voor hackers en crackers. Voor Wordpress geldt dat dus ook. Er zijn altijd mensen die misbruik maken van beveiligingslekken om bijvoorbeeld toegang te krijgen tot het admin-gedeelte of malware te installeren op een weblog.

Het is daarom van belang dat je aandacht besteed aan de beveiliging van Wordpress. In dit artikel bekijken we een aantal zaken die de veiligheid van je Wordpress website kunnen verbeteren.

Wordpress updaten

Veruit de belangrijkste stap om je Wordpress blog of website te beveiligen is dat je altijd gebruik maakt van de meest recente update van Wordpress. Er worden regelmatig beveiligingslekken en bugs gevonden. Deze problemen worden weer opgelost door de Wordpress ontwikkelaars. Deze oplossingen worden dan verwerkt in een update voor Wordpress die de gebruikers kunnen downloaden en installeren.

Download daarom altijd nieuwe updates wanneer deze beschikbaar zijn. Je krijgt een melding te zien in het Administration Panel van Wordpress als deze detecteert dat je een verouderde versie gebruikt.

Vanaf Wordpress 2.7 kan er gebruik gemaakt worden van een automatische update in Wordpress, wat alles sneller en eenvoudiger maakt. Je kunt een update ook altijd handmatig uitvoeren. Op de Wordpress website staan de drie stappen die je moet doorlopen voor zo'n update: Upgrading WordPress.

Plugins en themes updaten

Naast het updaten van Wordpress zelf, moet je ook je plugins en themes updaten wanneer er nieuwe versies verschenen zijn. Ook themes en met name plugins kunnen kwetsbaarheden bevatten. Het updaten van plugins kan je snel doen via de automatische update in Wordpress.

Wp-config.php invullen: Security keys en table prefix

Als je Wordpress nog moet installeren dan kun je in wp-config.php de Security keys toevoegen en de Wordpress table prefix wijzigen. Meer hierover lees je in het artikel Wordpress installeren. Als je Wordpress al hebt geïnstalleerd dan raad ik de meeste gebruikers af om deze velden nog te wijzigen.

Je gebruikersnaam wijzigen

Als je de installatie van Wordpress afgerond hebt dan zal er automatisch een gebruikersnaam en wachtwoord voor je aangemaakt worden. Deze standaard gebruikersnaam is altijd admin. Het is verstandig om je gebruikersnaam te wijzigen, want je geeft anders de helft van de gebruikersnaam / wachtwoord combinatie al prijs aan een eventuele cracker.

Om je gebruikersnaam te wijzigen ga je in je Wordpress Administration Panel naar Add new. Op die pagina geef je een nieuwe gebruikersnaam op en een nieuw wachtwoord. Zorg ervoor dat je een wachtwoord kiest met zowel letters als cijfers en het liefst ook nog enkele speciale karakters, zoals $%@#8(). Voor het bewaren van je wachtwoorden kun je een password manager gebruiken.

Onder Role kies je voor Administrator om deze gebruiker alle rechten te geven. Als je de nieuwe gebruiker hebt aangemaakt dan log je uit het Wordpress beheergedeelte om vervolgens met de gegevens van de nieuwe gebruiker weer in te loggen. Nu kun je de oude gebruiker met de naam admin tenslotte verwijderen.

Het wp-config.php bestand afschermen

Het bestand wp-config.php bevat essentiële informatie over je Wordpress installatie. Het bevat onder meer de naam van je database en een MySQL gebruikersnaam en wachtwoord. Het is een .php bestand en kan normaal gesproken niet bekeken worden door bezoekers. Toch kan het een goed idee zijn om dit bestand af te schermen in het .htaccess bestand in de hoofddirectory (root) van je Wordpress site.

Voeg de volgende code toe aan het .htaccess bestand in de rootdirectory:

# Afschermen wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

De wp-admin map afschermen

Het Administration Panel is het hart van je site en het is goed om de map waarin zich de bestanden van het admin-gedeelte bevinden, wp-admin, extra goed te beschermen. Je kunt de wp-admin folder afschermen voor andere personen via .htaccess.

Je kunt een .htaccess bestand aanmaken die je in de wp-admin map plaatst en die de toegang tot deze directory beperkt tot de door jouw gekozen IP-adressen. LET OP: dit .htaccess bestand plaats je alleen in de map wp-admin van je weblog. Overschrijf of wijzig nu dus niet het .htaccess bestand in de hoofddirectory (root) van je weblog!

De code voor het .htaccess bestand (alleen in de wp-admin map plaatsen!):

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
</LIMIT>

Op de plaats van xx.xx.xx.xx zet je je eigen IP-adres. Als je meerdere IP-adressen wilt toevoegen dan maak je een nieuwe regel met allow from en het volgende IP-adres.

Zo wordt voorkomen dat personen met een ander IP-adres toegang krijgen tot de bestanden in de wp-admin map.

Het aantal inlogpogingen beperken

Een cracker kan toegang proberen te krijgen tot een Wordpress installatie door een groot aantal inlogpogingen uit te voeren. Je kunt zo'n aanval tegengaan door de Login LockDown plugin te installeren.

Deze plugin registreert het IP-adres van iedere mislukte inlogpoging. Als er binnen korte tijd meerdere mislukte logins geregistreerd worden van hetzelfde IP-adres dan wordt het inloggen tijdelijk onmogelijk gemaakt voor dat IP-adres. De standaardinstelling is dat het inloggen voor 1 uur bevroren wordt als er binnen 5 minuten drie mislukte inlogpogingen zijn geregistreerd vanaf een bepaald IP-adres.

De Secure Wordpress plugin installeren

Een andere nuttige plugin voor het beveiligen van Wordpress is de Secure Wordpress plugin. Deze plugin doet een aantal zaken die het lastiger maken om informatie over je Wordpress installatie te weten te komen. De belangrijkste zijn:

• Foutmeldingen op de login-pagina worden verwijderd. Een cracker kan nu niet meer zien of de gebruikersnaam en / of het wachtwoord onjuist waren.
• Versie informatie over je Wordpress installatie wordt verwijderd uit de header van je pagina's. Bezoekers kunnen in de bron van je pagina niet meer zien welke Wordpress versie je gebruikt en of dit nog een oude, kwetsbare versie is.
• Een index.html pagina wordt aangemaakt in de plugins directory, zodat de inhoud van de gehele directory (met eventuele kwetsbare plugins) niet meer getoond wordt aan bezoekers die de directory rechtstreeks proberen te bereiken.

WP-scanner uitvoeren

Je kunt de veiligheid van je Wordpress installatie controleren door een security scan uit te voeren. Daarvoor installeer je alleen voor de scan de plugin WP-scanner en voer je de instructies op de pagina uit. Deze scan geeft je mogelijk nog meer tips om de beveiliging van je Wordpress installatie te verbeteren. Na het afronden van de scan moet je de de plugin weer verwijderen, want anders kunnen anderen dezelfde scan uitvoeren op je site.

Tip: maak regelmatig backups!

Maak regelmatig een backup van de Wordpress bestanden op de server en je database. Als er om wat voor reden dan ook bestanden verloren gaan (bijvoorbeeld door een hack van je site) dan heb je altijd nog een backup achter de hand en kun je de bestanden weer herstellen. Uitgebreide instructies voor het maken van backups vind je in de Wordpress Codex: WordPress Backups.

Met een FTP programma kun je eenvoudig een backup maken van de bestanden op de webserver. Van de database kun je ook handmatig een backup maken (zie de uitleg in de Wordpress Codex) of je kunt de WordPress Database Backup plugin gebruiken.

Conclusie

Met de bovenstaande tips kun je de beveiliging van je Wordpress website sterk verbeteren. Het biedt echter geen garantie voor de veiligheid van je website. Je weet wel zeker dat je het eventuele crackers een stuk lastiger maakt.

Houd in elk geval goed in de gaten of er nieuwe Wordpress updates en plugin updates zijn en wees niet laks met het updaten. De meest voorkomende oorzaak van een gekraakte Wordpress website is dat er een verouderde Wordpress versie gebruikt wordt met ernstige beveiligingslekken.

Homepage-Maken Tip