WordPress is de meest populaire blogsoftware en het meest gebruikte content management systeem. Geen wonder dat dan zoveel aanvallers proberen, willekeurig WordPress-installaties en servers aan te vallen en te hacken. Daartegen kan en moet men zich verdedigen, alleen al omdat op Google diverse instructies bestaan over hoe Veiligheidslekken kunnen worden uitgebuit.
De WordPress BeveiligingsScan
Ben je onzeker of jouw WordPress-website of blog gevoelig voor aanvallen door hackers is en of je hem extra moet beveiligen? Dan doe dan de Security Scan (externe site, gratis). De scan controleert onder andere de versie van WordPress, die op het laatste moment zou moeten zijn. Verder worden alle herkende plugins gecontroleerd en vergeleken met een database van gevaarlijke plugins. Als alles goed gaat, ziet het testresultaat er zo uit:
Bovendien controleert de scan de gebruikersnamen van de beheerders. Indien mogelijk zou deze niet admin moeten heten noch zo, als de website zelf.
Een andere scanner genaamd Nikto controleert je website en server in het algemeen op beveiligingslekken (je moet je hiervoor wel registreren of de offline-versie downloaden).
Algemene maatregelen
Het is absoluut noodzakelijk en essentieel om sterke wachtwoorden te gebruiken voor je WordPress-admin-gebruiker, zodat je met weinig moeite WordPress kunt beveiligen en beschermen tegen aanvallen. Bovendien mag je hetzelfde wachtwoord niet meer dan één keer gebruiken, noch binnen een WordPress-installatie voor meerdere gebruikers, noch gelijke wachtwoorden voor verschillende diensten en toepassingen!
Tot de eenvoudigste veiligheidsmaatregelen behoort het verwijderen van de standaardgebruiker met de identiteitsnummer 1 en de gebruikersnaam »admin«. Want de naam van de auteur met de index 1 kan heel gemakkelijk door middel van een oproep naar de volgende URL achterhaald worden.
www.yourblog.com/?author=1
De beheerdersomgeving op je server zou ook met een Bestandbescherming moeten worden beveiligd. Anders kun je simpelweg de login-pagina zo oproepen:
www.yourblog.com/wp-admin
Zo maak je een mapbeveiliging voor de admin-gebied:
Een wachtwoord-bestand buiten het te beschermen mapje en buiten het hoofdmapje leggen, dat genoemd wordt_.htpasswd en de volgende opbouw heeft:
username:passworthash
Voor username kies je een willekeurige gebruikersnaam, die het beste niet overeenkomt met je WordPress-gebruikersnaam. passworthash is de hashwaarde van het wachtwoord waarmee je wilt inloggen op de directory-protection. Je kunt de inhoud van deze file het makkelijkst genereren met een htpasswd-generator. Let op veilige wachtwoorden, dat zou eigenlijk vanzelfsprekend moeten zijn!
Daarna een bestand met de naam .htaccess in het mapje wp-admin van je WordPress-installatie aanmaken, dat de volgende inhoud heeft:
AuthType Basic AuthName "Passwortgeschuetzter Bereich" AuthUserFile /pfad/zur/Datei/.htpasswd AuthGroupFile /dev/null require valid-user
Met dit is een multifactor-authenticatie (MFA) gewaarborgd. Een media-break zou nog beter zijn, maar dat zou bij informatie-websites vaak te ver gaan. Bij online bankieren kan het anders zijn.
Nu ook nog de toegang van buitenaf tot het bestand wp-config.php in het pad van WordPress verbieden, want in dit bestand staan alle belangrijke toegangsgegevens zoals de database-gebruiker en het bijbehorende wachtwoord. In dezelfde map of folder als wp-config.php bevindt zich een htaccess-bestand. In dit file voeg je helemaal aan het einde de volgende regels toe:
\# Zugriff auf wp-config.php von außen verbieten <files wp-config.php> Order deny,allow deny from all </files>
Deze maatregelen zouden spoorbaar meer veiligheid brengen, daarmee kun je alweer behoorlijk effectief WordPress tegen hackers beschermen!
Plugins en WordPress zelf regelmatig bijwerken
Het dashboard meldt wanneer een update beschikbaar is. Vaak bevatten updates Sicherheitsmaatregelen of code om veiligheidslekken te sluiten. Wie het handmatige bijwerken als lastig vind, kan in de wp-config.php bestand de volgende regel toevoegen om het automatische bijwerken te activeren:
// Enable all automatic updates define( 'WP_AUTO_UPDATE_CORE', true );
Noch mehr Security-Tipps
Hier is de vertaling van de bron tekst naar het Nederlands: Om aanvallers of hackers niet direct de WordPress-versie kunnen lezen, en nog beter automatisch, voeg dan deze regel code toe in het bestand functions.php helemaal onderaan:
remove\_action('wp\_head','wp\_generator');
De bestand kun je bewerken via het beheerpaneel, Design → Editor.
Wil je WordPress nog verder beveiligen, dan voeg je de volgende regel toe aan het einde van de bestand wp-config.php:
define('DISALLOW\_FILE\_EDIT', true);
Het verhindert het bewerken van PHP- en CSS-bestanden via de WP-editor in het beheerpaneel door hackers. Maar wijzigingen aan deze bestanden moeten alleen verboden worden als je zelf niet regelmatig via de editor in het paneel bestanden wilt wijzigen (uit comfort). Maar je kunt alle deze bestanden ook rechtstreeks op de webserver wijzigen, bijvoorbeeld per FTP of Shell.
Als je WordPress-site geen HTTPS of SSL ondersteunt, moet je nooit per WLAN van openbare plekken uit als beheerder op je installatie inloggen, want dan kan het gebeuren dat aanvallers je wachtwoord in het klartext lezen! En deze weg wil je zeker niet bewandelen! Soms moeten ook juridische consequenties worden aanvaard als je over draadloze netwerken beveiligingsgaten openlaat. SSL kan echter alleen met een meestal kostenplichtig certificaat worden gebruikt, waardoor bedrijven hierin de mogelijkheid hebben.
Tweefactorauthenticatie
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
