WordPress beveiligen via aanpassingen in het .htaccess bestand. Het kan, en het zorgt voor een veiliger website.

Wederom, controleer voordat je hieraan begint de WordPress codex voor mogelijke updates.

Disable File Editing

Standaard kun je als admin thema en plugin bestanden aanpassen en opslaan. Dit is doorgaans het eerste dat misbruikt zal worden, omdat nieuwe code direct uitgevoerd zal worden. Je kunt deze bestanden allemaal alleen leesbaar maken door de bestandsrechten aan te passen via ftp, maar je kunt deze functie ook uitschakelen door de volgende code aan je wp_config.php:

define('DISALLOW_FILE_EDIT', true);

Dit voorkomt niet dat een mogelijke aanvaller zelf bestanden kan uploaden, maar via de editor kan niets meer worden aangepast, dat stopt misschien sommige aanvallen.

Beperk toegang tot wp-login tot bepaalde IP adressen

Vul je eigen IP adres in, en niemand anders kan verder op je site inloggen. Het is mogelijk om meerdere IP adressen in te vullen.

<Files wp-login.php>
order deny,allow
deny from all
allow from ??.???.???.???
</Files>

Beveilig .htaccess

Dit bestand beveiligt zichzelf, maar omdat er nu zoveel beveiligingsregels aan zijn toegevoegd is het misschien raadzaam om het bestand zelf ook nog te beveiligen.

<files .htaccess>
order allow,deny
deny from all
</files>
# BEGIN WordPress

Pas de standaard table prefix aan

Veel SQL-injectie aanvallen gaan ervan uit dat de standaard table_prefix, wp_ niet veranderd is. Is dat wel zo, dan blokkeer je daarmee in ieder geval een aantal van de mogelijke aanvallen.
Het standaard:

$table_prefix = ‘wp_’;

kun je bij een nieuwe installatie eenvoudig aanpassen naar van alles:

$table_prefix = ‘veiliger_’;

Deze regel code vind je in je wp-config.php.

Pas de beveiligingssleutels aan

Deze vind je ook in je wp-config.php

beveiligingssleutels wp-config

 

 

 

 

Deze codes beveiligen de informatie die in cookies van gebruikers wordt opgeslagen. De regels met _SALT zorgen weer voor extra beveiliging van de erboven staande codes. met deze beveiliging is het stukken lastiger om een login uit een opgeslagen cookie te halen.

Overal waar ‘put your unique phrase here’ staat, moet een unieke code komen met hoofdletters, kleine letters, cijfers en symbolen door elkaar. Je kunt zelf een ingewikkelde code verzinnen, of een wachtwoord laten genereren door een online password generator.

De beste methode is om de API van WordPress te gebruiken. Ga daarvoor naar: https://api.wordpress.org/secret-key/1.1/salt/, kopieer de codes, en plak ze in je wp-config.php bestand.

Beveilig wp-config.php tegen ongewenste bewerkingen

Er is geen enkele reden dat iemand behalve de website-eigenaar ooit wp-config.php zou hoeven te bewerken. En omdat het het bestand is dat de database aan de rest van de site knoopt, is het een erg belangrijk bestand.

Om het te beveiligen is het aan te raden om de bestandsrechten ervan aan te passen. Dat kan via FTP. Zoek op je server het bestand wp-config.php, klik het aan met de rechtermuisknop en selecteer ‘bestandsrechten aanpassen’. Pas als volgt aan:

bestandsrechten wp-config

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Bij sommige hosters is de numerieke waarde na het zoals bovenstaand aanpassen 400, bij sommige 440. Allebei is goed.

Lees ook de andere berichten in deze serie:
Deel 1
Deel 2
Deel 4