Een WordPress website heeft helaas te maken met de keerzijde van de populariteit, namelijk hackers. In het eerste deel van je WordPress website beveiligen kon je lezen hoe je zelf met een paar simpele aanpassingen je website een stuk veiliger kunt maken. In dit artikel krijg je meer geavanceerde tips. Beveiliging die je op de server uit moet voeren.
Pas beveiliging met behulp van .htaccess file toe
Omdat de code van open source software vrij toegankelijk is, weten hackers precies welke files ze moeten aanpassen om schade aan je website toe te brengen. Je kunt dit gevaar beperken door beperkingen via een .htaccess bestand in te stellen. Bestanden en mappen die je wilt beschermen zijn:
- Bestand wp-config.php
- Map wp-content
Bestand wp-config.php beveiligen
In je wp-config.php bestand staan al je configuratie gegevens. O.a. de inloggevens van je database staan in dit bestand. Indien hackers toegang tot dit bestand krijgen, kunnen ze alle data van je website bekijken. Zorg er dus voor dat je de inhoud van wp-config.php niet per ongeluk toont. Het bestand kun je via een .htaccess bestand afschermen. Hierdoor is het niet meer mogelijk om de inhoud via de web url te bekijken.
Map wp-content beveiligen
In deze map komen de themes, plugins en uploads van gebruikers te staan. Gebruikers zonder adminrechten mogen geen toegang hebben tot zaken waar ze niet bij hoeven. En dat geldt natuurlijk ook voor hackers, zij mogen geen scripts in deze map kunnen plaatsen.
De map beveiligen we door alleen toegang te verschaffen tot afbeeldingen en JavaScripts die je themes nodig hebben.
We voegen een uitzondering voor PHP bestanden die gebruikt worden voor AJAX
Tevens willen we voorkomen dat bezoeker via de webbrowser toegang krijgen tot een lijst met alle bestanden.
Options All Indexes
Stel je WordPress bestandsrechten in
Met behulp van een FTP cliënt zoals Filezilla of WinSCP kun je de rechten van je bestanden en mappen op je webserver aanpassen. De rechten op de server kunnen variëren van heel open (iedereen mag alles aanpassen) tot heel strikt (niemand mag iets aanpassen) en alles er tussen in. Met een FTP cliënt stel je de rechten in.
Aanbevolen rechten
- Zet de rechten voor bestandsmappen op 755. Bestanden kunnen gelezen en uitgevoerd worden maar alleen de eigenaar van de mappen kan er naar schrijven.
- Algemene bestanden kun je de rechten 644 geven. Met deze instelling kunnen scripts geen schade toebrengen.
- Bestanden die bewerkbaar moeten zijn door de theme editor van WordPress kun je op 666 zetten. Houd dit wel beperkt want plugins kunnen deze bestanden ook aanpassen.
- Zet de bestandsrechten van wp-config.php op 444. Voor extra beveiliging.
Versleutel je code
Met behulp van PHP encoders zoals IonCube kun je de code van je PHP en HTML bestanden versleutelen. De versleutelde bestanden werken op precies dezelfde manier maar zijn in een andere taal geschreven. Zorg altijd voor een backup van de bestanden voor eventuele aanpassingen in de oorspronkelijke bestanden.
Het grootte voordeel is dat hackers de bestanden niet meer aan kunnen passen. Houd er wel rekening mee dat hackers nog wel andere plugins op de je server kunnen plaatsen en zo nog steeds schade aan kunnen richten. Het versleutelen van je code is een onderdeel van een reeks maatregelen die je moet nemen. Alleen het versleutelen van je code is niet voldoende.
