WordPress is als CMS steeds populairder aan het worden. Dat heeft een keerzijde: hackers! Omdat WordPress Open Source is, is het voor hackers natuurlijk erg simpel om de hele code van WordPress door te spitten en te kijken waar gaten zijn. Aan de andere kant werkt WordPress zelf gelukkig minstens net zo hard om te zorgen dat er geen gaten zijn. Maar ook al is WordPress nog zo veilig te maken, de gebruiker van de website is een mens en ook daar kan onveiligheid ontstaan. Al eerder schreef ik over het gebruiker van een eigen gebruikersnaam in plaats van het (vroeger) standaard Admin en ook veilige wachtwoorden zijn belangrijk. Als beheerder van je website heb je binnen de site alle rechten en als je op dat account gehackt wordt, dan heeft de hacker hiermee dus ook alle rechten.
Maak WordPress niet té standaard
Als je WordPress installeert doe dat niet in de root en gebruik ook niet de map WordPress. Dit zijn twee dingen die een hacker ook wel kan bedenken. Installeer WordPress dus in een eigen map met een eigen naam. Op zich maakt het helemaal niet uit hoe die map heet. Niemand die dat aan de voorkant ziet (Lees in de WordPress Codex hoe je dat kunt doen).
Daarnaast kent WordPress twee manieren van inloggen: www.domeinnaam.nl/wp-admin of www.domeinnaam.nl/naamdirectory/wp-login.php. Waarbij natuurlijk de naam van de directory gelijk is aan de submap waarin WordPress is geinstalleerd of vervalt als WordPress in de root is geïnstalleerd.
WP rename wp-login.php
Deze twee manieren van inloggen zijn natuurlijk ook bekend bij de hackers. Alle aanvallen die op mijn WordPress websites zijn geweest waren allemaal op de wp-inlog.php. Tijd dus om daar een stokje voor te steken en de standaard inloglink van WordPress te gaan veranderen. Mijn serverprovider Sohosted had al snel een script gemaakt wat er voor zorgde dat WordPress niet meer gebruik maakte van de standaard wp-login.php. De automatisch gestuurd BruteForce attacks komen zo niet meer op de wp-login.php binnen, want dit bestand is vervangen door een ander bestand wat de hacker niet kent. Deze methode heeft veel aanvallen afgewend, maar heeft ook een keerzijde. Elke keer als WordPress geupdate moet je zorgen dat de wp-login.php weer wordt hernoemd naar de nieuwe bestandsnaam. Daarnaast staan er binnen het bestand veel verwijzingen naar wp-login.php die je weer even allemaal moet nalopen. Dit hoef je natuurlijk maar eenmalig te doen en kun je voor elke site daarna zo toepassen. Maar als je veel sites beheert dan is dat elke keer toch wel weer veel werk. Een ander nadeel was dat WordPress niet bekend is met die nieuwe naam en soms in zijn code hard verwijst naar de wp-login.php waardoor je op een “Pagina niet gevonden” terecht komt.
Nu heb ik een hele handige plugin gevonde: rename wp-login. Wat je hiermee doet is de standaard inloglink vervangen door een eigen link, bijvoorbeeld beheer of administratie of iets anders. Zodra de plugin is geïnstalleerd kun je deze link aanmaken bij de Permalinks. Groot voordeel is ook dat het altijd achter de domeinnaam komt, dus je hebt niets meer te maken met eventuele directories waar WordPress in geïnstalleerd is. Een tweede voordeel is dat WordPress deze wijziging wel herkent en dus doorstuurt naar je eigen pagina als je toevallig (als nieuwe gebruiker) een mailtje hebt gekregen wat verwijst naar de wp-login.php. Hackers die rechtstreeks naar de wp-login.php komen vangen echter wel bot.
Hulp nodig bij de installatie van een plugin, of wil je graag dat iemand eens kijkt of jouw site wel veilig is? Neem dan contact met me op.
Geef een antwoord