Beveilig je WordPress site en houd hackers buiten de deur. Als je net als ik je WordPress site van je PC over wil brengen naar je hosting provider wil je niet dat ie gehackt wordt. Want in de boze buitenwereld van het internet lijkt het de laatste tijd of niets meer veilig is. Je website kan worden gedefaced. Of te wel een hacktivist plaatst een andere voorpagina op je site met een schreeuwend bericht over enig onrecht dat hem of zijn vriendjes is aangedaan.

Maar er kan ook malware op je WordPress site worden gezet. Vervolgens kom je bij ontdekking op een zwarte lijst en gaan zoekmachines en providers je blokkeren. Als je een webshop of een heel bedrijf achter je website hebt zitten kan het dan ook nog eens in de papieren gaan lopen.

In dit artikel zal ik de eerste stappen uitleggen waarmee je een nieuwe maar ook een bestaande WordPress site kan beveiligen. Zorg dat je hackers een stap voor bent en beveilig je WordPress site voor het te laat is.

Uiteraard installeer of draai je de meest recente versie van WordPress en heb je deze van de officiële nl.Wordpress.org site gehaald.

Ga op je PC naar de folder waar je de ZIP hebt uitgepakt  (of haal het vanaf je provider als je site daar al draait) en open met een tekst editor bijv. Wordpad het bestand wp-config.php. Als je WordPress dus al hebt draaien op je PC of bij je hosting provider staan je database gebruikersnaam, wachtwoord etc. hier al in. Een eindje verder staan de Authentication keys, die je moet aanpassen. Deze authentication keys zijn een soort wachtwoorden die WordPress gebruikt om zaken zoals je login te beveiligen. Verwijder de vier regels die beginnen met define en eindigen met een punt-comma.

Als je naar https://api.wordpress.org/secret-key/1.1/ gaat krijg je 4 unieke keys te zien. Druk op functietoets F5 om het scherm te verversen en je zal zien dat er 4 andere keys staan. Knip en plak deze keys in wp-config.php op de plek waar de oude keys stonden. Als alles netjes staat sluit je het bestand en sla je het op. Draait je site al bij je provider dan upload je het nieuwe wp-config.php bestand en overschrijf je de oude. Als je bent ingelogd moet je even opnieuw inloggen.

Bij Illegale inlogpogingen is de eerste keus altijd admin. Daarom is het niet verstandig om de beheerders zo te noemen. Je kan natuurlijk kiezen voor je eigen naam, maar je login naam hoeft niet gelijk te zijn aan de naam die je op het scherm toont. Je kan dus op het scherm net als ik gewoon Han heten terwijl je login naam bijv. 7hcoAS#=Tz~&e87N is. En voor je wachtwoord kies je dan natuurlijk ook zo’n flinke onleesbare string en niet de naam van je hond of je favoriete voetbalclub. Maar hoe onthoud je dat? Opschrijven? Zou kunnen, maar er is een veel betere manier zoals KeePass, een wachtwoordkluis programmaatje

 Brute-force methodes kan je voorkomen door het aantal foute logins te beperken

Nu heb je wel een heel sterke gebruikersnaam met een nog veel sterker wachtwoord, maar WordPress staat nog steeds toe dat een kwaadwillende gewoon 100.000 inlog pogingen op je website afvuurt om er na een uur achter te komen dat het niet gelukt is. Tenminste dat hoop je. Maar die 100.000 pogingen die wil je natuurlijk al helemaal niet hebben, want die kunnen je verkeer aardig dwars zitten. Dit soort brute-force methodes kan je voorkomen door het aantal foute logins te beperken met een plug-in zoals Limit Login Attempts. Deze plugin is al een tijd niet meer bijgewerkt maar werkt nog steeds prima met de nieuwste WordPress versie. Een andere oplossing is een zogenaamde captcha aan je login toevoegen. Een captcha is zo’n lastig te lezen cijfer/lettercombinatie die je moet intikken. De plugin Sweet Captcha doet dat iets anders, daarbij moet je na een vraag het correcte item verslepen.

Update: 24-07-’15

Sweet Captcha wordt gebruikt om Adware te verspreiden en is uit de WordPress repository verdwenen.

Maar pas op met captcha’s op je login!

Maak een goede backup of kopie van je test omgeving en probeer het eerst daar op uit, want als het niet naar behoren werkt sluit je je zelf buiten en moet je je reserve kopie terugzetten.

We zijn er bijna, of toch niet? Eigenlijk weten we niet precies waar we nu staan. Hebben we de basis beveiliging nu op orde? Op die vraag kan de plug-in Acunetix WP Security je antwoord geven. WP Security maakt in eerste instantie een scan van je systeem en geeft je aan wat goed, minder goed en fout is. Je WP Security dashboard moet je met behulp van deze tool helemaal groen zien te krijgen. Heb je de prefix van je database met de standaard wp_ gemaakt, dan kan je hem hiermee eenvoudig aanpassen. Dat wapent je namelijk beter tegen aanvallen op je database en laat daar nou net je belangrijkste informatie in zitten.

Blijken er ineens lekken in je huidige versie te zitten

Verder kun je allerlei informatie uitzetten waar gebruikers helemaal niets mee te maken hebben. De belangrijkste is je WordPress versie informatie. Je draait nu nog wel de nieuwste versie maar binnenkort komt er een nieuwere versie en blijken er ineens lekken in je huidige versie te zitten. Dan moet je updaten, maar dat is spannend en je wilt je site niet om zeep helpen want alles draait net zo lekker. Dus stel je dat liever nog even uit…

Als je in je internet browser op een willekeurige WordPress site de broncode bekijkt zie je direct het versienummer: <meta name=”generator” content=”WordPress 3.8.1″ />.

Je kan met Google veel meer dan gewoon een website zoeken. Je kan met de juiste zoekstring Google alle WordPress sites met bijv. versie 3.6.1 laten opleveren. Zoek maar eens op Google Hacking van auteur Johnny Long. Als je dan ook nog weet welk lek in die oude versie zit, kun je in één nacht al die sites van een andere hoofdpagina voorzien of nog veel meer ellende verspreiden…

Als laatste stap moeten er nog een aantal bestanden en directories worden beveiligd. Dat kan WP Security ook nog voor je regelen.

WP Security kan ook live verkeer voor je laten zien, maar kijk uit dat dit de performance van je site niet onderuit haalt. Als je WP Security helemaal doorlopen hebt kan je hem ook deactiveren en t.z.t gewoon nog eens draaien.

Ben je nu helemaal veilig? Ik zou er mijn hand niet voor in het vuur durven steken maar je bent in ieder geval een heel stuk veiliger dan de gemiddelde WordPress site.

Han Balk | Fotografie | Windows | Blog | Security | old skool Bragg-watcher | Webdesign | Canon | Getrouwd | WordPress | Lightroom | Fuji | Vader van Iris | Social media | Internet en Meer...