Basis uitleg veiligheid voor je WordPress installatie - deel 1
Houd je WordPress website veilig
Veiligheid boven alles
Veiligheid wordt een steeds groter issue. Ook als het gaat over WordPress (en andere websites). In mijn ogen is het dan ook niet meer dan logisch dat je, vanaf het eerste moment al, rekening houdt met de veiligheid van je website. Dat is misschien makkelijker gezegd dan gedaan en daarom help ik je graag op weg om een aantal basis elementen te behandelen. Hiermee wordt jouw WordPress installatie vele malen veiliger.
Installatie
Een WordPress installatie wordt in veel gevallen uitgevoerd in de "root" van je FTP server. De bestandsindeling is dan als volgt:
- domeinnaam.nl/public_html/ – hier de WordPress bestanden --
Dit is logisch, want je kunt de bestanden en mappen direct kopiëren uit de WordPress map welke je gedownload hebt. Dezeplak of sleep je naar die public_html of andere root map.
Dit is ook direct de eerste stap waar het veiliger kan. Hernoem de map "WordPress" naar bijvoorbeeld "mijnsiteisveilig" of iets anders dat je zelf bedacht hebt en plaats die hele map in de pubic_html / root map.
Je bestandsindeling is dan als volgt:
- doeminnaam.nl/public_html/mijnsiteisveilig/ -- hier de WordPress bestanden –
Uiteraard willen we niet dat bezoekers naar https://www.tussenodor.nl/mijnsiteisveilig zouden moeten navigeren, dus we gaan direct verder met het aanpassen en verplaatsen van twee bestanden.
Versleep (dus niet kopiëren!) enkel en alleen het "index.php" en .htaccess bestand en plaats deze in je public_html / root map. Open vervolgens het index.php bestand en verander het volgende:
require('./wp-blog-header.php');
Verander deze regel naar:
require('./mijnsiteisveilig/wp-blog-header.php');
De bestanden staan nu klaar om verder te gaan met de installatie van je WordPress website, hier gaan we meteen verder met het verder beveiligen en veilig houden van je website.
WordPress installatie doorlopen
Tijdens de installatie krijg je de vraag om een aantal gegevens in te voeren, zoals:
- database naam
- database username
- database wachtwoord
- database prefix (belangrijk)
Ik hoef denk ik niet te vertellen hoe belangrijk een wachtwoord is voor de veiligheid van je website en ik raad daarom ook aan om deze aan te maken via een tool als 1Password of strongpasswordgenerator.com.
Als we verder gaan zien we de database prefix. Standaard is dit "wp_". Dit is mede van invloed op de veiligheid van je wordpress website, immers mocht iemand tóch toegang verkrijgen tot je database en de prefix "wp_" WordPress, dan is het invoeren van malafide code een makkelijke klus.
Heb je je prefix echter aangepast naar bijvoorbeeld "msiv_" dan zal dit veel minder snel herkend worden en dus resulteren in een - misschien maar een klein beetje - veiligere site. Gelukkig helpen alle kleine beetjes.
PS: "msiv" staat in dit geval voor mijn site is veilig.
Je kunt hier elke code of combinatie van letters neerzetten die je maar wilt.
Tot slot
We zijn nog steeds bezig met de installatie en gaan nu een stap verder in het WordPress installatie traject.
Je bent nu aan de beurt om een gebruikersnaam en wachtwoord te bedenken voor de beheerder van de site. Standaard werd jarenlang gebruik gemaakt van de "admin" gebruikersnaam, wederom een kwetsbaarheid in het WordPress systeem.
Men had namelijk altijd al de gebruikersnaam om in te loggen en hoefde alleen nog maar op zoek naar een passend wachtwoord. Door talloze pogingen te wagen op een wachtwoord kon dan op vrij eenvoudige wijze toegang worden vershaft tot het beheerderpaneel van die website.
Om een lang verhaal kort te maken raad ik je daarom ook aan om een gebruikersnaam anders dan "admin" te gebruiken voor je WordPress website. Het wachtwoord dient wederom niet (te) eenvoudig te zijn!
Voor zover deel 1, op naar deel 2
De installatie is nu volledig afgerond en heb je de tips hierboven in acht genomen, dan beschik je over een erg solide installatie van je WordPress website. We zijn echter nog lang niet klaar, maar wat je verder nog kunt doen om je WordPress website veilig te maken en vooral te houden, dat bespreken we volgende keer in het volgende item van Basis uitleg veiligheid voor uw WordPress website (deel 2).