Extra beveiligingsmaatregelen voor WordPress websites
Voor WordPress websites zijn er maatregelen beschikbaar waarmee het veiligheidsniveau van jouw website verhoogd wordt. De verschillende beschikbare maatregelen zijn op te delen in twee niveau’s: aangeraden en kritiek(e) maatregelen.
De maatregelen zijn beschikbaar voor WordPress versie 4.9 en nieuwer (november 2017).
Kritieke maatregelen
Kritieke maatregelen zijn maatregelen waar je niet zonder kunt. Deze maatregelen worden altijd standaard door ons toegepast op nieuwe WordPress websites maar zijn nog niet altijd op bestaande websites actief.
Standaard voorvoegsel voor databasetabellen wijzigen
Veranderd het standaardvoorvoegsel van WordPress-database tabellen om hackers moeilijker toegang te geven tot je gegevens.
Toegang tot bestanden en mappen beperken
Als de toegangsrechten niet veilig genoeg zijn, kunnen hackers toegang krijgen en je website in gevaar brengen. Deze beveiligingsmaatregel stelt de rechten voor het wp-config-bestand in op 600, voor andere bestanden op 644, en voor mappen op 755.
Toegang tot mogelijk gevoelige bestanden blokkeren
Deze beveiligingsmaatregel voorkomt openbare toegang tot bepaalde bestanden die gevoelige informatie kunnen bevatten, zoals inloggegevens of informatie die kan worden gebruikt om te bepalen welke bekende exploits van toepassing zijn op je WordPress-website.
Onbevoegde toegang tot wp-config.php blokkeren
Het wp-config.php bestand bevat gevoelige informatie, zoals databasegegevens. Normaal gesproken is dit bestand niet toegankelijk, maar in uitzonderlijke situaties kan het toch worden uitgelezen, bijvoorbeeld als het uitvoeren van PHP-code is uitgeschakeld. Deze maatregel is bedoeld om de toegang tot dit bestand te voorkomen.
Het uitvoeren van PHP-bestanden in cachemappen uitschakelen
Als een kwaadaardig PHP-bestand in een van de cachedirectories van WordPress terechtkomt, kan de uitvoering ervan leiden tot toegang tot de hele website. Deze beveiligingsmaatregel schakelt de uitvoering van PHP-bestanden in cachedirectories uit.
Bladeren door mappen blokkeren
Als ‘bladeren door mappen’ is ingeschakeld, kunnen hackers bepaalde standaard informatie over een website verzamelen die de beveiliging in gevaar kan brengen.
Aangeraden maatregelen
Toegang tot xmlrpc blokkeren
Deze beveiligingsmaatregel zorgt ervoor dat hackers geen toegang kunnen krijgen tot een specifiek bestand, het xmlrpc.php bestand. Dit is vooral belangrijk als je dit bestand niet gebruikt, omdat het anders kwetsbaar kan zijn voor aanvallen. Door deze maatregel toe te passen, verklein je de kans dat hackers jouw website aanvallen.
Het uitvoeren van PHP-scripts in de map wp-includes verbieden
De /wp-includes/ map kan onveilige PHP-bestanden bevatten die uitgevoerd kunnen worden door hackers om een website over te nemen en te misbruiken. Deze beveiligingsmaatregel voorkomt dat PHP-bestanden in de /wp-includes/ map worden uitgevoerd.
Het uitvoeren van PHP-scripts in de map wp-content/uploads verbieden
De /wp-content/uploads map kan onveilige PHP-bestanden bevatten die uitgevoerd kunnen worden door hackers om een website over te nemen en te misbruiken. Deze beveiligingsmaatregel voorkomt dat PHP-bestanden in de /wp-content/uploads map worden uitgevoerd.
Het aaneenschakelen van scripts voor het WordPress-beheerscherm uitschakelen
Deze maatregel schakelt het samenvoegen van scripts uit die worden uitgevoerd in het beheerderspaneel van WordPress. Hierdoor wordt voorkomen dat een website vatbaar is voor bepaalde DoS-aanvallen (Denial of Service-aanvallen).
Pingbacks uitschakelen
Pingbacks maken het mogelijk voor andere WordPress-websites om automatisch reacties achter te laten onder berichten zodra ze naar die berichten linken. Helaas kunnen pingbacks misbruikt worden om een website te gebruiken voor DDoS-aanvallen op andere websites, waarbij ook jouw website overbelast wordt.
Deze maatregel schakelt XML-RPC pingbacks uit voor de hele website.
Ongebruikte scripttalen uitschakelen
Deze beveiligingsmaatregel schakelt de ondersteuning uit voor scripttalen die niet door WordPress worden gebruikt, zoals Python en Perl. Door deze talen uit te schakelen, wordt voorkomen dat een website kwetsbaar is voor aanvallen die gebruikmaken van beveiligingsproblemen in deze scripttalen.
Bewerken van bestanden vanuit het WordPress Dashboard uitschakelen
Het uitschakelen van bestandsbewerking in WordPress zorgt ervoor dat je de bestanden van plugins en thema’s niet meer rechtstreeks kunt bewerken via de WordPress admin-interface. Deze maatregel voegt een extra beveiligingslaag toe, voor het geval een van de beheerdersaccounts wordt gehackt. Hiermee wordt voorkomen dat een gehackte account eenvoudig kwaadaardige code kan toevoegen aan plugins of thema’s.
Bescherming tegen bots inschakelen
Deze maatregel beschermt een website tegen nutteloze, kwaadaardige of anderszins schadelijke bots. Het blokkeert bots die een website scannen op kwetsbaarheden of een website overbelasten met ongewenste verzoeken.
Toegang tot gevoelige bestanden blokkeren
Deze beveiligingsmaatregel voorkomt dat bepaalde bestanden (zoals logbestanden, shell-scripts en andere uitvoerbare bestanden) toegankelijk zijn.
Toegang tot .htaccess en .htpasswd blokkeren
Deze bestanden kunnen aanvallers de kans geven om je website aan verschillende aanvallen en beveiligingsinbreuken bloot te stellen. Deze beveiligingsmaatregel zorgt ervoor dat deze bestanden niet toegankelijk zijn voor misbruik.
Auteursscans blokkeren
“Auteursscans” zijn gericht op het achterhalen van de gebruikersnamen van geregistreerde gebruikers (zoals WordPress-beheerders) en proberen vervolgens met brute-force aanvallen toegang te krijgen tot de inlogpagina van een website. Deze beveiligingsmaatregel voorkomt dat dergelijke scans deze gebruikersnamen kunnen achterhalen.
Beveiligingssleutels instellen
WordPress gebruikt beveiligingssleutels om de informatie in de cookies van gebruikers beter te versleutelen. Een goede beveiligingssleutel moet lang zijn (60 tekens of meer), willekeurig en ingewikkeld. Deze beveiligingscontrole is aanwezig om te controleren of deze sleutels goed zijn ingesteld en zowel letters als cijfers bevatten.
De standaard beheerders gebruikersnaam wijzigen
Voor door ons geïnstalleerde WordPress websites is deze maatregel automatisch toegepast.
Als je deze beveiligingsmaatregel toepast zorg je ervoor dat een eventuele beheerdersaccount met de gebruikersnaam ‘admin’ hernoemd wordt naar een willekeurige gebruikersnaam. Alle inhoud en gegevens van deze gebruiker worden toegewezen aan de nieuwe beheerdersaccount, en het ‘admin’ account wordt verwijderd.
Heb je hulp nodig met het inloggen op je WordPress website? Bekijk dan deze handleiding.
