De beveiliging van WordPress is standaard al redelijk goed. Dit betekent dat er natuurlijk nog wel ruimte is voor verbeteringen en daarom zijn er verschillende beveiligingplugins gemaakt. Eén hiervan is Secure WordPress. Deze plugin pakt de meest belangrijke punten, die verbeterd kunnen worden op beveiliging, aan.

De plugin staat standaard nog niet helemaal super ingesteld, dus we lopen de opties stap voor stap even langs. De plugin is, na het installeren en activeren, te vinden onder ‘Instellingen > Secure WP’. We krijgen dan het volgende scherm te zien:

De plugin heeft 12 opties, waarvan er standaard al 9 staan aangevinkt. De eerste optie die we tegenkomen is ‘Foutmeldingen’. Deze optie is standaard niet aangevinkt, maar ik raad je aan om hem wel aan te vinken. Deze foutmeldingen die hier beschreven worden, kan je tegenkomen wanneer er tijdens het inloggen op je site iets fout gaat. WordPress geeft dan de precieze oorzaak van de fout aan, en hackers kunnen deze informatie gebruiken om achter locaties van bestanden en mappen te komen. Het is dus raadzaam om deze optie aan te vinken om het voor de hackers in ieder geval niet al te makkelijk te maken om bestandslocaties te achterhalen.

De volgende optie die we tegenkomen, is of we de WordPress Versie willen verwijderen van de pagina’s op de site. Standaard staat deze aangevinkt en het is een veilige keus om deze zo te laten staan. Het versienummer van WordPress wordt namelijk anders in de broncode van je pagina’s weergegeven, en dit kan handig zijn voor kwaadwillende. Zij weten dan namelijk je specifieke versienummer en kunnen zo eerder de zwakheden, die een bepaalde versie kan bezitten, uitbuiten.

‘WordPress versie in back-end gebruikersinterface’ houdt in dat de WordPress versie ook weggehaald wordt uit het admin dashboard bij personen die geen administrator/beheerder zijn. Dit is handig als mensen zich kunnen registreren op je site en je ze niet wilt laten zien welk versienummer van WordPress je gebruikt.

‘Index.php’ is een erg handige optie. Deze optie zorgt er namelijk voor dat er een index.php pagina aangemaakt wordt in zowel de map /plugins/ als de map /themes/. Dit houdt in dat buitenstaanders die toegang proberen te krijgen tot deze 2 mappen, de index.php pagina te zien krijgen in plaats van de rest van je bestanden. Een goede optie om aangevinkt te hebben dus!

Nu komen we aan bij de ‘Really Simple Discovery’ en ‘Windows Live Writer’ opties. In de meeste gevallen kan je beiden opties aanvinken. De enige keer dat je ‘Really Simple Discovery’ niet aan moet vinken, is als je diensten zoals Flickr integreert met je site. ‘Windows Live Writer’ kan je altijd aanvinken, tenzij je Windows Live Writer gebruikt; dan is het natuurlijk verstandiger om deze optie niet aan te vinken.

Verder hebben we nog de ‘Kern Update’, ‘Plugin Update’ en ‘Thema Update’. Deze 3 opties staan standaard aangevinkt en zorgen ervoor dat personen die geen administrator/beheerder zijn, maar wel een account hebben op de site, de herinnering dat er een nieuwe update beschikbaar is voor WordPress/plugins/thema’s niet te zien krijgen.

Dan komen we aan bij ‘WP Version on Scripts/Styles’. Dit is weer een optie om het versienummer van WordPress te verwijderen, maar deze keer het versienummer dat te vinden is in scripts en stylesheets. Het beste is om hem gewoon aan te vinken.

De volgende optie is erg belangrijk; ‘Blokkeer verkeerde raadplegingen’. Deze optie, wanneer aangevinkt, helpt met het voorkomen dat er URL verzoeken worden gedaan waarmee je site geïnfecteerd kan worden door  malware.

En als laatste optie hebben we de ‘Dashboard RSS Widget’. Wanneer deze optie is aangevinkt, krijg je in het admin dashboard een widget waarop de updates van WebsiteDefender (de makers van de plugin) te zien zijn. Het is niet noodzakelijk om deze optie aangevinkt te hebben, het ligt er maar net aan of je het nuttig vindt of niet.

Michel Kraaijeveld

Michel Kraaijeveld is oprichter van WPsitemaken. Hij is ervan overtuigd dat het voor iedereen mogelijk moet zijn om een eigen website te maken, zonder lastige handleidingen door te hoeven nemen. Zelf is hij al 6 jaar actief met WordPress en probeert zijn kennis op een simpele manier over te brengen aan anderen.