WordPress beveiligen via aanpassingen in het .htaccess bestand. Het kan, en het zorgt voor een veiliger website.
Wederom, controleer voordat je hieraan begint de WordPress codex voor mogelijke updates.
Disable File Editing
Standaard kun je als admin thema en plugin bestanden aanpassen en opslaan. Dit is doorgaans het eerste dat misbruikt zal worden, omdat nieuwe code direct uitgevoerd zal worden. Je kunt deze bestanden allemaal alleen leesbaar maken door de bestandsrechten aan te passen via ftp, maar je kunt deze functie ook uitschakelen door de volgende code aan je wp_config.php:
define('DISALLOW_FILE_EDIT', true);Dit voorkomt niet dat een mogelijke aanvaller zelf bestanden kan uploaden, maar via de editor kan niets meer worden aangepast, dat stopt misschien sommige aanvallen.
Beperk toegang tot wp-login tot bepaalde IP adressen
Vul je eigen IP adres in, en niemand anders kan verder op je site inloggen. Het is mogelijk om meerdere IP adressen in te vullen.
[sourcecode language=”plain”]
<Files wp-login.php>
order deny,allow
deny from all
allow from ??.???.???.???
</Files>
[/sourcecode]
Beveilig .htaccess
Dit bestand beveiligt zichzelf, maar omdat er nu zoveel beveiligingsregels aan zijn toegevoegd is het misschien raadzaam om het bestand zelf ook nog te beveiligen.
[sourcecode language=”plain”]
<files .htaccess>
order allow,deny
deny from all
</files>
# BEGIN WordPress
[/sourcecode]
Pas de standaard table prefix aan
Veel SQL-injectie aanvallen gaan ervan uit dat de standaard table_prefix, wp_ niet veranderd is. Is dat wel zo, dan blokkeer je daarmee in ieder geval een aantal van de mogelijke aanvallen.
Het standaard:
[sourcecode language=”plain”]
$table_prefix = ‘wp_’;
[/sourcecode]
kun je bij een nieuwe installatie eenvoudig aanpassen naar van alles:
[sourcecode language=”plain”]
$table_prefix = ‘veiliger_’;
[/sourcecode]
Deze regel code vind je in je wp-config.php.
Pas de beveiligingssleutels aan
Deze vind je ook in je wp-config.php
Deze codes beveiligen de informatie die in cookies van gebruikers wordt opgeslagen. De regels met _SALT zorgen weer voor extra beveiliging van de erboven staande codes. met deze beveiliging is het stukken lastiger om een login uit een opgeslagen cookie te halen.
Overal waar ‘put your unique phrase here’ staat, moet een unieke code komen met hoofdletters, kleine letters, cijfers en symbolen door elkaar. Je kunt zelf een ingewikkelde code verzinnen, of een wachtwoord laten genereren door een online password generator.
De beste methode is om de API van WordPress te gebruiken. Ga daarvoor naar: https://api.wordpress.org/secret-key/1.1/salt/, kopieer de codes, en plak ze in je wp-config.php bestand.
Beveilig wp-config.php tegen ongewenste bewerkingen
Er is geen enkele reden dat iemand behalve de website-eigenaar ooit wp-config.php zou hoeven te bewerken. En omdat het het bestand is dat de database aan de rest van de site knoopt, is het een erg belangrijk bestand.
Om het te beveiligen is het aan te raden om de bestandsrechten ervan aan te passen. Dat kan via FTP. Zoek op je server het bestand wp-config.php, klik het aan met de rechtermuisknop en selecteer ‘bestandsrechten aanpassen’. Pas als volgt aan:
Bij sommige hosters is de numerieke waarde na het zoals bovenstaand aanpassen 400, bij sommige 440. Allebei is goed.
Lees ook de andere berichten in deze serie:
Deel 1
Deel 2
Deel 4