Hoe een WordPress website te beveiligen

Essentiële WordPress Beveiliging Tweaks, Tips & Tricks – Samenvatting:

Basis WordPress Beveiligingstips:

• Wijzig uw gebruikersnaam
• Sterk WordPress wachtwoord
• WordPress website bijwerken
• Beste beveiliging WordPress Plugins
• WordPress SSL Certificaat
• WordPress Bestand Machtigingen
• Cloud beheerde WordPress Hosting

WordPress Beveiligingstips voor gevorderden:

• Authenticatielaag op serverniveau
• WordPress Beperk WP-Config.PHP
• WordPress Inlog Hints
• Wijzig WordPress Admin URL

De overweldigende populariteit van WordPress maakt het een doelwit voor hackers. Meer bepaald zijn er duizenden aanvallen geweest van bots (netwerken van computers die met kwaadaardige software zijn geïnfecteerd) die met brute kracht toegang tot deze sites proberen te krijgen.

De meeste van deze aanvallen gebruiken de eenvoudigste methode om toegang te krijgen tot een site: combinaties van gebruikersnaam en wachtwoord uitproberen tot ze kunnen inloggen. Deze methode berust op gebruikersfouten in die zin dat veel WordPress gebruikers zich niet bewust zijn van hun verantwoordelijkheid om hun site veilig te houden.

In dat geval kunnen de botnets ontelbare keren proberen in te loggen op deze sites, aangezien er gewoon niets is om hen tegen te houden.

Waarom is WordPress het doelwit van hackers?

Sinds december 2020, is WordPress CMS de meest gebruikte vorm van script gebruikt in het Website Ontwikkelingsproces van het gehele WWW. Met de hand gecodeerde talen (met uitzondering van de Content Management Systemen / CMS. HTML-taal is een goed voorbeeld) zijn sinds het ontstaan van het WEB de meest gebruikte soort websites geweest. En vanaf december 2020 is deze titel toegekend door WordPress.

Gebruikers die hun site niet proactief beschermen of oude plugins/WordPress-versies niet bijwerken, kunnen onbewust potentieel grote kwetsbaarheden in hun site blootleggen. Hier volgen enkele tips om uw site beter te beveiligen tegen aanvallen.

Als u geen tijd heeft om uw bedrijfswebsite te beheren, kijk dan hier: WordPress Website Onderhoudsdiensten

Is WordPress Website Veilig?

Ja en nee. Alles kan gehackt worden, en het WordPress CMS vormt daarop geen uitzondering. Maar, als u mijn advies hieronder opvolgt, zult u uw WordPress site beveiligen.

Over het algemeen is WordPress CMS een van de meest beveiligde vormen van web. WordPress heeft zo nu en dan last van kleine beveiligingsproblemen. Sommige van deze veiligheidslekken worden snel gepatcht dankzij de actieve ontwikkelaarsgemeenschap. De meeste veiligheidsproblemen kunnen echter vermeden worden door de WordPress setup te harden.

Deze gids dwingt de aanpak af van betere beveiligingspraktijken die u kunt volgen om uw installatie te beschermen tegen veelvoorkomende bedreigingen. U zult een aantal veel voorkomende oplossingen leren die uw WordPress setup kunnen helpen. U zult ook leren welke bestanden moeten worden gewijzigd om de beveiliging te versterken.

Neem WordPress veiligheidsproblemen nooit licht op!

Zelfs kleine plug-in of thema wijzigingen kunnen leiden tot een beveiligingslek in WordPress. Onthoud, naarmate software evolueert, evolueren ook de veiligheidslekken. Het beste wat u kunt doen is het nemen van voorzorgsmaatregelen en het vermijden van de gemeenschappelijke gronden van waaruit veiligheidslekken waarschijnlijk invloed hebben op uw WordPress site.

Basis WordPress beveiligingstips voor een veiliger WordPress installatie:

ATTENTIE! VOORDAT JE IETS VERANDERT, MAAK EEN BACKUP VAN JE WORDPRESS SITE!

1. Wijzig de WordPress Admin gebruikersnaam

Gebruik admin niet als gebruikersnaam voor uw site. Dit is de meest gerichte gebruikersnaam die deze aanvallen gebruiken. Andere te vermijden gebruikersnamen zijn administrator, manager, root, support, test, en user.

Om een gebruikersnaam in WordPress te veranderen:

• Log in met uw beheerdersaccount en voeg een nieuwe gebruiker toe, met beheerdersbevoegdheden. Zorg ervoor dat uw weergavenaam anders is dan uw gebruikersnaam.
• Zodra u klaar bent, logt u uit en logt u in als uw nieuwe gebruiker. Verwijder uw oude beheerdersaccount.
• U wordt gevraagd wat er moet gebeuren met berichten van deze gebruiker, kies ‘alle berichten toekennen aan’ en selecteer uw nieuwe gebruikersnaam.

2. Sterk WordPress Wachtwoord: Wees CREATIEF!

Door een WordPress wachtwoord te maken dat cijfers, symbolen, hoofdletters en kleine letters en veel tekens bevat, maak je het die vervelende bots een stuk moeilijker om je wachtwoord te raden. Hier is een lijst van wachtwoorden die je zeker moet vermijden:

Slechtste WordPress Wachtwoorden van 2020 – Je moet ze allemaal vermijden:

• 123456

• 123456789

• foto1

• wachtwoord

• 12345678

• 111111

• 123123

• 12345

…en ga zo maar door. Je hebt het idee: Kies je p4S$W0rDs met creativiteit!

Ik stel ook voor om wachtwoorden als ‘WordPress’ en ‘admin’ te vermijden – u begrijpt het al.

Sterk wachtwoord=Veilige website.

Hoe kan ik sterke wachtwoorden afdwingen in WordPress?

Er zijn diensten die veilige en langere wachtwoorden kunnen genereren (zelfs cPanel biedt deze mogelijkheid). Hier zijn enkele van de mogelijkheden om veilige wachtwoorden te genereren. U kunt ook programma’s als Lastpass gebruiken om uw wachtwoorden op te slaan en die te gebruiken voor de autologin.

Beste WordPress Wachtwoord Beheerders:

• LastPass
• KeePass
• RoboForm

Bewaar de wachtwoorden niet in de normale tekst- of wordbestanden. Bewaar de wachtwoorden niet in de FTP programma’s. Bewaar wachtwoorden niet in een programma dat toegang geeft aan een andere gebruiker dan uzelf.

3. Update uw WordPress site!

WordPress wordt om de zoveel tijd bijgewerkt en daarmee worden problemen verholpen. Beveiligingsproblemen die aan het licht komen, worden aangepakt, en door niet bij te werken, creëert u kwetsbaarheden. Het is belangrijk om uw WordPress installatie up to date te houden, en dit geldt vooral voor plugins en thema’s.

Aangezien dit het geval is, is het ook een goed idee om alle plugins te verwijderen die niet op uw site worden gebruikt. Zorg er altijd voor dat u een back-up maakt van uw site voordat u wijzigingen aanbrengt (nieuwe plugins installeren, het thema aanpassen, plugins of thema updaten, etc).

4. Beste WordPress Beveiliging Plugins

Heeft u WordPress Beveiliging Plugin nodig?

Een sterke WordPress beveiligingsplugin kan veel handiger en tijdbesparend zijn voor een niet-technisch persoon. Maar als je genoeg vrije tijd hebt en je wilt je site beveiligen zonder een beveiligingsplugin te gebruiken, dan kun je de tips uit dit artikel volgen (in de Geavanceerd sectie).

Gratis of Premium WordPress Beveiliging Plugin?

Het is niet eenvoudig om het type plugin te kiezen dat geschikt is voor uw opstelling. Sommige van de premium plugins zijn geschikt als uw WordPress gegevens van cruciaal belang zijn voor uw bedrijf. Als je een hobby blog of niet-commerciële blog hebt, hoef je niet te investeren in een premium plugin. Hou er rekening mee dat hoe meer belangrijke gegevens WordPress verwerkt, hoe strenger de beveiliging moet zijn.

Hoeveel WordPress veiligheidsplugins moet ik gebruiken?

Kort antwoord: Zo weinig mogelijk. Vermijd het gebruik van onnodige plugins en vergeet niet om de inactieve plugins te verwijderen.

Ik heb een lijst van plugins voor u om uit te kiezen en te installeren op uw dashboard. U hoeft echter niet een heleboel plugins te installeren. Bijvoorbeeld, als je van plan bent om je site snelheid te optimaliseren, moet je niet 3 cache plugins, 5 image optimizers, of 500 CDN plugins installeren (je hebt het idee). U moet gebruik maken van een plugin die veel functies (image optimalisatie, caching, script optimalisatie, enz.) op te nemen. Dit is ook het geval met de beveiligingsplugin: Installeer een goede en dat is het. Er is geen logica om 3 plugins tegelijkertijd te gebruiken voor hetzelfde doel. Houd er rekening mee dat sommige hosts bepaalde WordPress plugins niet toestaan.

Wat is de beste beveiligingsplugin voor WordPress?

Om de beste beveiligingsplugin voor uw WordPress site te kiezen, gebruikt u de volgende checklist:

• Het aantal downloads. Selecteer de hogere gedownloade plugin.
• Hoeveel problemen zijn er gemeld op de officiële pagina van de plugin, op WordPress.org.
• De plugin auteurs activiteit in het Forum. Een andere beste manier is om op Reddit over hem te zoeken.
• Het aantal updates van de plugin.
• Negeer de sterrenscore van de plugin.
• Hoe de plugin gebruik maakt van unieke namespace items.
• Hoe de plugin gebruik maakt van de instellingen API in de functies.
• De Hooks, Filters, en Acties in de plugins.
• Als de plugin de data en MySQL statements goed heeft gezuiverd.
• De plugins die nonces gebruiken in plaats van browsercookies. Als de meer dan een plugin doet dezelfde taak, kies de plugin met hogere download aantal en beoordelingen.
• De reputatie van de plugin auteur in de WordPress gemeenschap.

Dit zijn de criteria om naar te kijken bij het selecteren van de veiligheid plugin uit de WordPress Support repository. Als u ervoor kiest om de premium versie van de plugins te installeren dan moet je online zoeken naar de recensies. Ook, test rijdt hun gratis plugin of trial service voordat u de plugin kopen.

a. Beste WordPress Beveiliging Plugins in 2021 – Degenen die ik persoonlijk heb gebruikt

Hieronder zal ik u de beste WordPress Security Plugins in 2021 laten zien en niet alleen. Het installeren van een aantal van de essentiële plugins uit de onderstaande lijst kan de veiligheid van uw WordPress setup garanderen. Hier zijn enkele van de plugins die ik persoonlijk heb gebruikt op vele WordPress sites.

Sucuri

Sucuri is een van de meest WordPress Security plugins in 2021. Ze hebben gratis & premium versie. Sucuri biedt ook suggesties en tweaks om de beveiliging te verbeteren, zodat uw website veilig blijft. Sucuri Security heeft de volgende functies: Auditing, Malware Scanner en Security Hardening.

Wordfence

Wordfence is een zeer eenvoudige en makkelijk te gebruiken plugin. Het fungeert als een firewall en anti-virus, en geeft suggesties om de beveiliging van uw site te verbeteren. Kijk zeker eens naar de ‘Live Traffic’ sectie, je kan er alle mislukte login pogingen op je site zien, het is verrassend.

iThemes Security (voorheen Better WordPress Security)

iThemes Security Deze plugin zal u een meer gedetailleerd overzicht geven van wat u kunt doen om uw site te beschermen en meer ingewikkelde beveiligingsopties. Wees voorzichtig met het activeren van instellingen die kunnen conflicteren met andere thema’s of plugins. Deze zijn blauw gemarkeerd in Systeemstatus.

b. Andere WordPress Beveiligings plugins:

Alles-in-één WP Beveiliging & Firewall

Deze plugin kan u helpen een aantal basis veiligheidscontroles uit te voeren op uw WordPress setup. Je kunt een paar dingen aanpassen via je plugin opties pagina. U kunt deze plugin installeren, de scan uitvoeren en de minimale beveiligingsproblemen oplossen. Eenmaal de basis beveiligingsfixes uitgevoerd, kan je de plugin verwijderen.

Shield Security

WordPress Firewall vermijdt SQL injectie aanvallen, brute kracht aanvallen en Spambot registratie aanvallen. Het waarschuwt u ook via e-mail wanneer er een live aanval op uw site plaatsvindt. Als u niet van e-mailmeldingen houdt, kunt u die uitschakelen. Het komt ook met een handige functie die u toelaat om het IP te blokkeren dat regelmatig probeert uw WordPress setup aan te vallen. U kunt ook bepaalde IP-adressen op een zwarte lijst zetten voor extra bescherming. Als je een deel van het IP adres in een witte lijst wilt hebben, heeft de plugin een optie waarmee je dat kunt doen.

Slechte zoekopdrachten blokkeren

Block bad Queries plugin is ontworpen om het verzoek URI in het WordPress dashboard te controleren. Op die manier kan het enkele van de meest voorkomende aanvallen uitfilteren. Deze plugin controleert op te lange request strings (d.w.z., meer dan 255 karakters), evenals de aanwezigheid van ofwel “eval(” of “base64” in de request URI. Slechte zoekopdrachten blokkeren doet een heel ander werk dan WordPress firewall 2. Dus is het noodzakelijk om deze plugin geïnstalleerd te hebben met WordPress Firewall 2.

Website Bestands Wijzigingen Monitor

Het houdt elke verandering in de WordPress installatie bij. Het houdt een log bij van de wijzigingen in de bestanden van de WordPress directories. Het brengt u op de hoogte van de veranderingen die in de bestanden plaatsvinden. Als een hacker toegang krijgt tot uw thema’s en plugins en nieuwe informatie herschrijft in een van de bestanden, krijgt u een melding van de wijzigingen. Deze plugin is handig om te begrijpen welk bestand in de vorige toestand moet worden teruggerold. U kunt de back-upbestanden gebruiken om het onaangetaste bestand op die plaats te herstellen. Om dit te doen, moet u een andere back-up plugin of handmatige back-up op regelmatige basis.

Limit Login Attempts Reloaded

Installeer de plugin en stel het aantal pogingen in op de plugins opties pagina. U kunt ook het aantal minuten instellen dat het slot op een aanmeldingspagina moet blijven staan. Het houdt ook een logboek bij van het aantal pogingen en het aantal keren dat het slot werd ingesteld.

AntiVirus

AntiVirus plugin helpt uw WordPress setup door het scannen van de bestanden voor malware en virus. Deze plugin detecteert elke verandering in het bestand en rapporteert in het dashboard. Het veroorzaakt soms valse positieven wanneer het de verandering in require_once, includes en andere bijgewerkte fragmenten triggert die echt zijn maar toch als kwaadaardige code worden gerapporteerd. Als een thema eval, base64_decode of shell_exec gebruikt, dan wordt dit gemeld in het rapport. U kunt dergelijke thema’s dan vervangen door thema’s met een veiligere code.

BCRYPT

Installeer de ‘bcrypt’ wachtwoorden plugin. Github-pagina. Dit zal de sterkte van gecodeerde wachtwoorden in uw SQL database aanzienlijk verbeteren.

Fail2Ban

Gebruik fail2ban samen met WP Fail2ban Redux. Zo worden hackers die uw website scannen op kwetsbaarheden betrapt en vroegtijdig geweerd.

WP-Bruiser

WP-Bruiser wordt meestal gebruikt als een no-captcha methode om spam bots te blokkeren in je commentaar, contact, registratie en login formulieren, maar het bevat ook een aantal handige brute-force beveiligingen, en een functie die je waarschuwt wanneer een beheerder inlogt. Deze functies zijn gratis beschikbaar. Dit is een geweldige licht-gewicht optie.

c. WordPress Database Back-up Plugins:

U kunt zich veel hoofdpijn besparen door uw site te herstellen als u regelmatig een back-up maakt. U kunt sommige plugins plannen om automatisch een back-up van uw site te maken wanneer u een bericht plaatst of op bepaalde tijden in de week. Als het gaat om WordPress back-up zijn er tal van oplossingen. Hier gaan we drie methoden bespreken: plugins, gehoste back-upservices en handmatige back-ups.

WordPress Backup Plugins – Deze plugins kunnen u helpen een back-up te maken van uw WordPress berichten, commentaar en andere instellingen en deze op te slaan waar u maar wilt. Sommige bieden de mogelijkheid om uw back-up te e-mailen of te uploaden naar een externe server zoals Amazon S3, Dropbox of een andere back-updienst.

Handmatige back-up – Bij deze methode moet u zelf een back-up maken van de installatie en deze veilig bewaren. Je moet de back-up gegevens opslaan op een andere plaats dan de hosting server. Er zijn gratis en betaalde backup plugins beschikbaar voor WordPress. U kunt er een kiezen die aan uw behoeften voldoet.

Hosted Backup Service – Deze diensten integreren met de WordPress setup en maken regelmatig een snapshot van de WordPress setup. Het zijn in feite plugins die verbonden zijn met de backupserver. In dit artikel zal ik het hebben over de eerste twee methoden.

De meeste gratis plugins die de gegevens naar Dropbox uploaden of via e-mail verzenden, genieten de voorkeur van de leden van de WordPress-gemeenschap. Als uw WordPress gegevens van kritiek belang zijn, is een abonnement op een dienst als Vaultpress of Codevault een veel betere optie. U kunt ook premium plugins zoals BackupBuddy of Backupify gebruiken om een back-up van uw gegevens te maken.

Hoe belangrijker uw gegevens, des te beter is het om uw back-up naar een gehoste oplossing te brengen.

Hier zijn enkele van de back-up plugins die uw back-up en monitoring eisen kunnen oplossen:

WP-DB Beheerder

Deze gratis plugin is erg handig om je database te optimaliseren. Het stuurt de backup ook via e-mail naar de admin of de specifieke gebruiker. De plugin is niet makkelijk te gebruiken omdat er geen specifiek punt is voor de newbie om van te leren en te gebruiken. Echter, als u vertrouwd bent met WordPress en het is verschillende plugin configuratie dan is het niet moeilijk om de plugin te gebruiken.

BackWPup

Dit is een gratis plugin die is erg handig voor het uploaden van uw database back-up naar externe diensten zoals dropbox, amazon s3, Google-schijf en enkele andere back-up diensten. Herstel optie voor een nieuwe installatie is opgenomen in de plugin. Het heeft geen actieve ondersteuning in de forums, maar voor de gratis plugin krijgt het de klus geklaard en heeft het geen kritieke bugs.

WP-DB-Backup

Zeer populair voor het maken van een back-up van de database. Het is heel eenvoudig om deze plugin te gebruiken. Het doet maar één taak – en dat is een back-up maken van de kerndatabase. Je mag de back-up locatie niet kiezen. Je kunt geen backup maken van berichten en andere bestanden. Er is niet veel ondersteuning voor deze plugin. Maar gezien het gebruiksgemak en de snelle back-up van de database, deze plugin is perfect voor nieuwelingen die niet kunnen gebruiken andere geavanceerde plugins.

Handmatige back-up

Als u zich geen andere methode van de back-upservice kunt veroorloven, kunt u handmatig een back-up van uw WordPress site maken op Google-schijf, Dropbox of lokale computer. Bij deze methode kunt u een van de database backup plugins gebruiken om het archief te downloaden dat door de plugin wordt gegenereerd. U kunt ook een back-up maken van de gegevens uit de map /uploads voor het maken van een back-up van afbeeldingen en andere mediabestanden. Berichten en commentaren samen met de kerninstellingen kunnen worden gedownload door deze instructies te volgen.

Klik op Extra en ga dan naar de export pagina. Op deze pagina moet u alle berichten en pagina’s selecteren en op de knop exporteren klikken. U krijgt WXRS bestand dat de gegevens bevat van de WordPress kern. Dit is in feite een XML-bestand met de gestructureerde gegevens die u kunt gebruiken om uw berichten te herstellen. Als je je geen premium plugins of service voor de backup kunt veroorloven. U kunt gratis plugins gebruiken die de back-up kunnen opslaan op Dropbox of Google Drive. Deze twee back-updiensten kunnen uw blogback-ups gratis hosten. Als uw back-up de datalimiet van deze diensten overschrijdt, kunt u het jaarabonnement voor opslag aanschaffen.

Ik vermeld dat ik een fan ben van manuele WordPress backup, en ik raad niet aan om een plugin te betrekken in het backup/herstel proces. Als u wilt leren hoe u handmatig een back-up van uw WordPress site kunt maken, kijk dan hier: Hoe maak je een back-up van je site vanuit cPanel

5. Installeer een SSL-certificaat (Secure Sockets Layer):

Tegenwoordig hebt u twee opties voor de SSL-certificaten: Gratis SSL-certificaat en Premium SSL-certificaat.

Een van de beste aanbieders van gratis SSL-certificaten is Let’s Encrypt. De relevante hostingprovider van 2021 zal deze functie gratis toevoegen op zijn hostingklanten.

Voor de premium SSL-certificaten hebt u heel wat opties. Premium SSL-certificaten zijn een verbeterde vorm van het standaard SSL-certificaat dat door e-commercesites wordt gebruikt om online transacties te beveiligen. Natuurlijk kunt u dit soort SSL-certificaat ook voor uw gewone WordPress site gebruiken, maar voor middelgrote en grote sites, waar mensen persoonlijke informatie, kredietkaartgegevens, enz. verstrekken, is het absoluut noodzakelijk om een Premium SSL-certificaat te gebruiken.

De prijs van een premium SSL-certificaat begint bij $5/jaar en loopt op tot $1.999/jaar voor een SSL-certificaat van DigiCert (voorheen van VeriSign).

Waarom een SSL-certificaat gebruiken?

Niet alleen zal het uw WordPress site beveiligen, maar het gebruik van een SSL certificaat in 2021 is een MUST. Zonder SSL lopen bezoekers en klanten van uw site een groter risico dat hun gegevens worden gestolen. De veiligheid van uw site loopt ook gevaar zonder encryptie. SSL beschermt websites tegen phishing, inbreuken op gegevens en vele andere bedreigingen. Uiteindelijk bouwt het een veilige omgeving op voor zowel bezoekers als eigenaars van de site.

6. Bestandstoestemmingen

Elk bestand op de Linux of Unix gebaseerde webserver heeft lees-, schrijf- en uitvoerniveaus. Gebruikers die toegang hebben tot deze bestanden zijn verdeeld in drie groepen – gebruiker (eigenaar), groep en de wereld. U kunt uw website veiliger maken door de bestandspermissies zo in te stellen dat anonieme gebruikers en groepen ze niet kunnen wijzigen. Zoals je kunt zien, stelt de webserver standaard enkele toestemmingsniveaus voor je in. Veel voorkomende permissies die je op een webserver vindt.

755 – User can read, write and execute a file, whereas group and the world can execute and read the file. 644 – User can read and write, whereas group and the world can read.
777 – User, group, and the world can read, write and execute.
400 – User read only. Group and the world have no permissions.
444 – All user levels can read.
600 – User can read and write, whereas world and group have no permissions.

Zoals je kan zien is het niveau van strengheid van deze permissies, je zou je moeten houden aan 644 en 755 wanneer je de permissieniveaus aanpast. Standaard zet WordPress de bestandstoestemming op 644 en de mapstoestemming op 755.

Je moet een bestand of map nooit op 777 zetten. Sommige cache plug-ins vereisen dat je de rechten van de plug-in map instelt op 755, als je webserver deze overschrijft op 644. Toestemmingsinstellingen verschillen van host tot host. Het hangt ook af van het besturingssysteem dat wordt gebruikt op de hostingaccount. Misschien vind je een heel andere manier om het toestemmingsniveau voor windows server in te stellen.

Wanneer u de bestanden uploadt naar de webserver via FTP of een webgebaseerde uploader, controleer dan de rechten.

7. Denk na over Cloud Managed WordPress Hosting Diensten

Het hosten van uw WordPress platform op goedkope, gedeelde servers kan uw site aan meer risico blootstellen – u hebt geen controle over wat andere gebruikers op diezelfde server zullen doen, en dat kan uw site mogelijk in gevaar brengen.

Bovendien kunnen de prestaties na verloop van tijd verslechteren als de hostingprovider meer gebruikers op die server zet, waardoor jullie onder elkaar moeten vechten om resources.

Waarom een goedkope gedeelde WordPress hosting vermijden en kiezen voor een dure?

Een goede gehoste WordPress service kan helpen uw site snel en veilig te houden door:

• Zorgen voor voortdurend bijgewerkte servers/up-to-date beveiligingspatches
• Het aanbieden van een firewall (software of hardware) – ook met bijgewerkte beveiligingspatches
• Monitoring van systeemprestaties op ongebruikelijke activiteit (databaseverzoeken, aanmeldingspogingen, enz.)
• Technici die de situatie begrijpen en onmiddellijk hulp kunnen bieden
• Back-up en herstel van diensten in geval van een gecompromitteerde site

WordPress beveiligingstips voor gevorderden – Beveiligde WordPress site

ATTENTIE! MAAK EEN BACK-UP VAN UW WEBSITE VOORDAT U EEN VAN DE VOLGENDE WIJZIGINGEN AANBRENGT. MAAK OOK EEN BACK-UP NA ELKE WIJZIGING DIE U AANBRENGT, OM BELANGRIJKE TIJD TE BESPAREN!

1. Voeg een authenticatielaag op serverniveau toe

Als iedereen toegang heeft tot uw /wp-admin loginscherm, wordt het voor hackers en bots gemakkelijker om hun schade aan te richten.

Het toevoegen van een extra niveau van beveiliging op server-niveau zorgt ervoor dat u de enige bent die controle heeft over wie wel en wie geen toegang heeft tot /wp-admin. Om uw WordPress site te beveiligen, moet u de volgende tips volgen:

Er zijn een paar manieren om dit te doen:

a. IP-beperking /wp-admin

White-list alleen uw IP (en degenen die u vertrouwt) in uw .htaccess bestand om ervoor te zorgen /wp-admin alleen toegankelijk is voor bevoegde mensen.

b. Voeg deze regels toe aan uw .htaccess bestand:

# ALLOW USER BY IP

order deny,allow
deny from all
allow from YOUR.IP.GOES.HERE
Find out your IP address here http://www.whatismyip.com/

c. HTTP-authenticatie toevoegen aan /Wp-admin

Voeg een extra gebruikersnaam/wachtwoord referentie toe via .htpasswd aan /wp-admin. Gebruikers kunnen zelfs de WP login pagina niet zien totdat ze de juiste gebruikersnaam en wachtwoord hebben opgegeven op het .htpasswd niveau.

2. Beperk WP-CONFIG.PHP toegang

Als je toegang hebt tot het bestand, verander dan de permissie in 0644. Als u geen toegang hebt, vraag uw hosting provider om dit te doen.

3. Stop de Login Hints:

Ik weet niet waarom WordPress deze instelling behoudt, maar je moet er zo snel mogelijk van af. Om login hints uit te schakelen, moet u de volgende code toevoegen aan het Function.PHP bestand:

function no_wordpress_errors(){
return 'What the heck are you doing?! Back off!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

4. Wijzig WordPress Admin URL

Om de WordPress Admin URL te wijzigen, volgt u deze stappen:

1. Voeg een constante toe aan wp-confing.php

define('WP_ADMIN_DIR', 'secret-folder');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);

2. Voeg onderstaande filter toe aan functions.php

add_filter('site_url', 'wpadmin_filter', 10, 3);
function wpadmin_filter( $url, $path, $orig_scheme ) {
$old = array( "/(wp-admin)/");
$admin_dir = WP_ADMIN_DIR;
$new = array($admin_dir);
return preg_replace( $old, $new, $url, 1);
}

3. Voeg dit toe aan het .htaccess bestand

RewriteRule ^secret-folder/(.*) wp-admin/$1?%{QUERY_STRING} [L]

Na deze stappen zal uw WordPress admin URL er uitzien als: http://www.yoursite.com/hidden-folder/

Beveiligde WordPress site: Conclusie

Hoewel WordPress een enorme toename van aanvallen door hackers heeft gekend, kunt u met een paar aanpassingen en wat bewustzijn uw site veilig houden voor hackers. Matthew Mullengweg, de stichtende ontwikkelaar van WordPress, merkt in zijn blog op dat als je je gebruikersnaam wijzigt, zorgt voor een sterk wachtwoord en je site up-to-date houdt, “je 99% van de sites voor zult zijn en waarschijnlijk nooit een probleem zult hebben”.