• Albrunablog door Albruna webdesignburo
  

(update) Beveiliging van je WordPress blog

(update) Beveiliging van je WordPress blog

Beveilig je wp-admin folder met een aanvullende gebruikersnaam en wachtwoord.

Uiteraard is niets 100% te beveiligen. Maar je kan het de criminelen zeker moeilijker maken om je blog te hacken. Wat kan je nu zelf doen om je WordPress blog beter te beveiligen?

De belangrijkste regel is zonder enige twijfel dat je je WordPress versie up-to-date moet houden. Er komen niet voor niets nieuwe versies van WordPress uit. Er zijn altijd nieuw ontdekte gaten te dichten en die “security holes” zijn snel bekend bij de dames en heren criminelen. Dus het is zaak om die lekken te dichten en derhalve je WordPress versie te updaten wanneer een nieuwe versie met “security fixes” uitkomt.

Een andere goede tip is om het versienummer van WordPress uit je blog te verwijderen. Als je in de bron van je blog kijkt, zie je het versienummer van WordPress staan. Dit is natuurlijk niet goed, omdat hackers dan kunnen zien met welke versie je werkt en of deze verouderd is. Het verwijderen van je blog versie is een koud kunstje. Je voegt gewoon de volgende regel code toe aan funtions.php in het door jou gekozen thema:

 remove_action(‘wp_head’, ‘wp_generator’);

Plaats deze regel helemaal bovenaan en het versienummer van WordPress zal niet langer getoont worden in de bron van je blog.

Een ander goed idee is om het aantal keren dat iemand foutief inlogd in het adminstratie gedeelte te beperken. Dit kan zeer eenvoudig met de plugin Limit Login Attempts gemaakt door Johan Eenfeldt. Met deze plugin kan je iemand, na een door jezelf ingesteld aantal keer foutief inloggen, voor een bepaalde periode buitensluiten. Bovendien kan je op de hoogte gehouden worden via welk IP adres er is geprobeerd in je blog te komen, als je die informatie wenst te ontvangen.

Daaraan toegevoegd is het handig om de informatie die WordPress geeft boven de velden van het inlogscherm, als je óf een verkeerde gebruikersnaam óf een verkeerd wachtwoord hebt ingevuld,  te verwijderen. Daardoor weet iemand, die niets te zoeken heeft in het administratie gedeelte, niet of deze nu een verkeerde naam of een verkeerd wachtwoord heeft ingevuld.

geeninfo

Dit kan gedaan worden door eenvoudig de volgende code aan functions.php van het door jou gekozen thema toe te voegen:

 add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

Deze regel kan helemaal bovenaan geplaatst worden onder of boven de eerder genoemde regel code.

Ook handig is om een nieuwe gebruiker aan te maken, uit te loggen uit het adminstratie gedeelte, opnieuw met de gegevens van de nieuwe gebruiker in te loggen en de standaard gebruiker met de gebruikersnaam admin te verwijderen. Iedere hacker weet dat de standaard gebruikersnaam in WordPress admin is. Het makkelijkst is dus om deze gebruikernaam te verwijderen.

Goed gebruik is dan ook, als je toch een nieuwe gebruiker aanmaakt, om zowel de gebruikersnaam als het wachtwoord te laten bestaan uit een willekeurige groep kleine letters, hoofdletters, cijfers en speciale tekens.

Zo kan je bijvoorbeeld als gebruikersnaam b4AYNA8a7kqsZyqMhY2Fs hebben in plaats van een standaard gebruikersnaam en als wachtwoord bTP+uL>k5{{d[}ivRg:u!.

Als laatste kan het bekende htaccess/htpasswd genoemd worden. Beveilig onder andere je wp-admin folder met een aanvullende gebruikersnaam en wachtwoord. Dit kan eenvoudig gedaan worden door in de folder wp-admin een .htaccess file te plaatsen met daarin zoiets als:

 AuthType Basic
 AuthName “hier komt de naam van het pop-up schermpje”
 AuthUserFile /hier komt het relatieve pad naar je .htpasswd file
 Require valid-user

In je .htpasswd plaats je dan eerst je gebruikersnaam en daarna je wachtwoord. Als we bovenstaande gebruikersnaam- en wachtwoordcombinatie zouden gebruiken zou in de .htpasswd te komen staan:

 b4AYNA8a7kqsZyqMhY2Fs:9hAZaDB4vA19o

Zoals je ziet is het eerst gedeelte voor de dubbele punt hetzelfde als de gebruikersnaam (b4AYNA8a7kqsZyqMhY2Fs) maar het tweede gedeelte de dubbele punt lijkt in zijn geheel niet op het wachtwoord (bTP+uL>k5{{d[}ivRg:u!). Dat komt omdat het wachtwoord versleuteld moet worden voordat het in de .htpasswd file geplaatst wordt.

Voor het maken van beide files kan je onder andere ook terecht op DynamicDrive.

UPDATE: Een zeer belangrijke tip is om je wp-config.php file te beschermen. Dit kan je doen door heel eenvoudig deze regels code toe te voegen aan een .htaccess bestand die zich MOET bevinden daar waar het wp-config.php bestand zich ook bevindt!

<files wp-config.php>
Order deny,allow
deny from all
</files>

Een handige tip is om de xmlrpc.php file, waarmee via een applicatie van buiten je WordPress berichten geplaatst en beheerd kunnen worden, te verwijderen. Het scheelt één toegangs methode tot je blog voor hackers om misbruik van te maken. Als je gebruik maakt van bijvoorbeeld een desktop applicatie zoals genoemd in dit blogje om bijdragen te schrijven en te beheren moet je dat bestand uiteraard laten staan (tip afkomstig van Marcelo).

Wie heeft er nog meer handige tips?

Tagged als , , , , ,
Categorized als CODE, TUTORIALS
  • Geplaatst op vrijdag, 28 augustus 2009
  • 5 reacties

Over de auteur

In 2003 ben ik gestart met webdesignbureau Albruna. Reeds jaren daarvoor had ik mijn eerste website geconstrueerd voor een vereniging waar ik nog altijd lid van ben. Dit lag mij zo goed dat ik er mijn werk van heb gemaakt:-). Naast mijn bedrijfswerkzaamheden schrijf ik artikelen over de Germaanse religie/mythologie voor een Duits tijdschrift en ben momenteel mijn boek over de Germaanse religie/mythologie aan het redigeren. Neem contact op met Albruna | Bezoek de website van Albruna webdesignburo

Reacties van lezers

5 Reacties op “(update) Beveiliging van je WordPress blog”

Laat een reactie achter






  • - Albruna - "die, welke met de geheime kennis der mythologische wezens is voorzien"
Get Adobe Flash playerPlugin by wpburn.com wordpress themes
Rss Feed Tweeter button Facebook button Linkedin button