Basis uitleg veiligheid voor je WordPress installatie - deel 2
Een veilige WordPress website
WordPress beveiligen
In het vorige artikel over veiligheid binnen een WordPress installatie hebben we ruimschoots stil gestaan bij de acties en handelingen die je kunt ondernemen om vanuit de basis WordPress een stuk veiliger in te zetten en te houden. In dit tweede deel van WordPress veiligheid gaan we iets verder in op een aantal plugins die je kunt gebruiken. Ook komen een aantal functies aan bod welke je kwijt kunt in je wp-config bestand en in het functie (functions.php) bestand in het actieve thema om het een en ander nog veiliger te houden.
Config file aanpassen
Om te beginnen is het aan te raden om een aantal functies, welke standaard bij WordPress inbegrepen zitten, uit te schakelen. Een daarvan is de mogelijkheid van de thema en plugin bewerker in de admin. Dit doe je door de volgende regel in je wp-config.php te plaatsen:
define('DISALLOW_FILE_EDIT', true);
Verder vind je in de map van de wp-config file nog een aantal zaken waar je actie op kunt en eigelijk moet ondernemen. Zo vind je in diezelfde map een "readme.html" bestand met informatie over de huidige WordPress installatie.
Doordat we deze bestanden in deel 1 van de uitleg al hebben weggestopt in de map "mijnsitesiveilig", is deze minder snel op te vragen maar toch adviseer ik om dit bestand gewoon te verwijderen. Het bestand is namelijk van geen nut en kan enkel schade aanrichten. We gaan nu verder naar de map "wp-admin" en zoeken het bestand "install.php". Deze gaan we ook verwijderen. De installatie is immers al gedaan.
Functions.php
Als het goed is heb je bij de installatie zorgvuldig een gebruikersnaam gekozen, zodat niemand weet dat het de standaard "admin" gebruikersnaam is. Het zou dan ook zonde zijn als iemand precies weet wat hij fout doet tijdens het inloggen in jouw site. Standaard geeft WordPress deze informatie wel (gebruikersnaam fout / wachtwoord fout). Dit gaan we voorkomen via de volgende functie. Deze plak je in
"functions.php" van het actieve thema.
function explain_less_login_issues(){ return '<strong>FOUT</strong>: Het inloggen is niet gelukt.';}
add_filter( 'login_errors', 'explain_less_login_issues' );
Er komt nu, wat er ook fout wordt ingevoerd aan gebruikersnaam / wachtwoord, standaard getoond "het inloggen is niet gelukt".
Omdat we zojuist de readme.html hebben weggehaald met versie informatie over onze WordPress installatie, zou het ook zonde zijn als dit in onze broncode nog naar voren komt. Standaard wordt ook dit door WordPress vrijgegeven, maar gelukkig is ook dit te verhelpen.
We blijven nog even in ons functions.php bestand werken en voegen ook de volgende regel hier aan toe:
function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );
Let op: Er zijn vele manieren om extra informatie achter te houden, ik richt me bij deze enkel op veiligheid.
Plugins
We zijn nu bijna klaar met het beveiligen van je WordPress website, we gaan nu alleen nog de hulp inschakelen van een aantal plugins. Je kunt hierbij denken aan:
Ultimate security checker
Deze plugin controleert op basis van een x-aantal punten hoe veilig de WordPress installatie is en wat er nog beter kan. Deze informatie wordt op een eenvoudige en heldere manier naar voren gebracht.
Login Lockdown
Deze plugin zorgt er voor dat een IP-adres na bijvoorbeeld 5 of 10 foutieve inlogpogingen een bepaalde tijd niet meer ik kan loggen. Hiermee voorkom je dat vanaf afstand bijvoorbeeld duizenden keren een wachtwoord combinatie geprobeerd kan worden om in te loggen.
Better WP security
Deze plugin biedt de mogelijkheid om specifieke informatie van WordPress (zoals versie nummer) niet meer te tonen. Als je dit artikel gevolgd en uitgevoerd hebt zijn die functies niet belangrijk, omdat dat al is gedaan. Heb je echter geen toegang tot die bestanden of ben je er niet helemaal uitgekomen? Dan is dit een ideale plugin.
Ready to go
Heb je bovenstaande allemaal uitgevoerd en ben je ook op de hoogte van het eerste artikel ver Basis uitleg veiligheid voor uw WordPress installatie? Dan ben je nu redelijk safe. Helemaal safe ben je natuurlijk nooit, maar je hebt vanuit de basis in ieder geval gedaan wat je kon doen.
Benieuwd of je site veilig is?
Ben je benieuwd hoe veilig jouw website nu eigelijk is of wil je meer weten over wat je nóg meer kunt doen voor het beveiligen van je WordPress website? Neem dan gerust contact op. Tussendoor helpt je graag bij het beveiligen van je WordPress website.