WordPress is 's werelds populairste CMS geworden. Omdat het zo populair is, is dit nog meer een reden om de WordPress-beveiliging te verbeteren als u deze voor uw website gebruikt. De meeste mensen begrijpen hoe ze hun pagina zelf veilig kunnen maken, maar als je je niet richt op de beveiliging van je WordPress-site door de toegang tot belangrijke bestanden en mappen te beperken, loop je nog steeds gevaar. Hiertoe pas je geen wijzigingen aan in WordPress zelf, maar verander je eerder hoe WordPress op een server draait en hoeveel toegang gebruikers hebben tot zijn bestanden.
WordPress-sites bestaan uit een reeks bestanden en mappen, elk met hun eigen unieke URL's. Dit betekent dat iemand de juiste URL zou moeten intypen waartoe hij of zij toegang zou kunnen hebben of die de gevoelige bestanden van uw site zou kunnen wijzigen. Een van de meest voorkomende doelen voor dit soort hacking is de map wp-includes, dus we gaan wat extra code toevoegen aan het serverconfiguratiebestand om de beveiliging te verhogen en dit soort bedreigingen te voorkomen. Als we hiermee klaar zijn, wordt iedereen die probeert toegang te krijgen tot deze bestanden teruggestuurd.
Om te beginnen, wilt u het .htaccess-bestand voor uw site openen. U kunt dit doen via elke teksteditor, maakt niet uit, omdat we alleen nog een klein stukje code aan het bestand toevoegen. U zult opmerken dat het bestand al code bevat, gegenereerd door WordPress. In een van de eerste coderegels vindt u een regel die zegt # BEGIN WordPress
. Rechtstreeks boven deze code gaan we de extra coderegels toevoegen, die de verdediging van de site versterken door de toegang tot de map wp-includes te beperken.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Naderhand hoeft u het bestand alleen opnieuw te uploaden naar de server en bent u klaar. Hoewel de wijzigingen hier klein lijken, kan dit een grote impact hebben op de verdedigingen van uw site. Omdat veel van de geavanceerde functies van WordPress zich bevinden in de map wp-includes, zijn ze een belangrijk doelwit voor hackers. Met deze wijzigingen geïmplementeerd, wanneer gebruikers proberen toegang te krijgen tot deze map, worden ze in plaats daarvan automatisch doorgestuurd naar de voorpagina van uw site.
Onze volgende stap om WordPress-beveiliging te versterken is om de toegang tot het bestand wp-config.php te beperken. Toen u voor het eerst uw WordPress-site maakte, moest u een databasenaam, gebruikersnaam, wachtwoord en tabelvoorvoegsel maken, die zich in het bestand wp-config.php bevindt. De reden waarom u dit bestand wilt beschermen, is omdat het de informatie bevat die WordPress nodig heeft om met de database te praten en op de lange termijn uw site te beheren.
Om uw wp-config.php-bestand te beschermen, hoeft u slechts een paar eenvoudige stappen uit te voeren. Eerst willen we het .htaccess-bestand opnieuw openen. Vervolgens willen we het onderstaande codefragment kopiëren en dit in ons .htaccess-bestand plakken, net zoals we dat bij stap 1 hebben gedaan.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Sla tot slot het bestand op en upload het opnieuw.
Zoals u kunt zien in stap 1 en 2, kan het. Htaccess-bestand intrinsiek zijn om uw WordPress-site te verdedigen tegen kwaadaardige externe bedreigingen. Daarom gaan we in deze stap het .htaccess-bestand zelf beschermen en voorkomen we dat hackers de beschermingen verwijderen die we al hebben ingesteld.
Om dit te doen zullen we opnieuw het .htaccess-bestand openen. Plaats vervolgens de onderstaande code in de bestaande code.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
En met deze eenvoudige toevoeging wordt uw .htaccess-bestand beschermd tegen externe dreigingen.
Voor de laatste stap gaan we hackers de toegang ontzeggen tot een van de meest destructieve tools die ze kunnen krijgen: de Editor in het WordPress-dashboard. Hiermee kunt u uw themabestanden bewerken, wat handig is maar gevaarlijk kan zijn. Als een persoon, anders dan uzelf, hier toegang toe zou krijgen, kunnen ze uw code wijzigen en uw site verbreken.
Met dit project zullen we de Editor verwijderen van het WordPress-dashboard. In plaats van het bestand te openen via WordPress, raad ik u aan om het te benaderen via een ftp-client zoals FileZilla, wat beter is voor de integriteit van de site.
Dus om dit project te doen, willen we eerst het bestand wp-config.php openen. Zodra we dat hebben geopend, gaan we naar het einde van de code, hier vind je de tekst "Dat is alles, stop met bewerken! Veel plezier met bloggen. " . Vlak voor deze tekst gaan we de onderstaande code toevoegen om het bewerken van bestanden volledig uit WordPress te verwijderen.
define('DISALLOW_FILE_EDIT', true);
Nadat u de code hebt toegevoegd, slaat u het bestand op en uploadt u het opnieuw naar de server. Uw WordPress-site is nu veilig voor iedereen die toegang tot uw site krijgt en probeert de code te manipuleren.
Als u al deze stappen uitvoert, zou uw site veel veiliger moeten zijn. Door de hoeveelheid toegang te verminderen die hackers hebben voor de bestanden die belangrijk zijn voor het uitvoeren van uw site, heeft u de algehele beveiliging van uw WordPress-site verhoogd.