Home / Helpdesk / WordPress beveiligen via de WordPress Toolkit

WordPress beveiligen via de WordPress Toolkit

Misschien wel de belangrijkste feature in de WordPress Toolkit is die rondom beveiliging. Deze feature biedt jou de mogelijkheid om zonder technische kennis toch de noodzakelijke veiligheidsmaatregelen te treffen. In dit artikel vertellen we je daar meer over.

1. Log in op het controle paneel

Om deze stappen uit te voeren moet je eerst aangemeld zijn op het controle paneel.
Klik hier als je niet weet hoe dat moet of als je jouw wachtwoord bent vergeten.

2. Klik in het menu op Hosting

Zodra je op Hosting klikt kom je in het overzicht met jouw websites. Klik op de gewenste website.

Mijn websites in controle paneel

Mijn websites in controle paneel

3. Klik op Aanmelden op de server

Vervolgens kom je in het overzicht van deze website. Klik onderaan op ‘Aanmelden op de server’.

Aanmelden op de server

Aanmelden op de server

Wanneer je hier op klikt, zie je een popup. Wanneer je daar vervolgens op ‘Nu inloggen klikt’, wordt je geredirect naar Plesk.

4. Open de WordPress Toolkit

Wanneer je bent ingelogd op Plesk open je de ‘WordPress Application’ binnen het hostingpakket.

WordPress Toolkit

5. Scherp de beveiliging aan

Klik op ‘Check Security’ om de bestaande WordPress installaties te scannen op kwetsbaarheden.

Check Security

Check Security

Vervolgens verschijnt er een schermpje waarbij je de voortgang van het scannen ziet. Afhankelijk van het aantal installaties kan dit enkele seconden duren.

Voortgang van de scan

Voortgang van de scan

Wanneer het scannen voltooid is, verschijnt er voor iedere WordPress installatie een icoontje;

  • Een groen vinkje betekent dat de meest gangbare veiligheidsmaatregelen in orde zijn.
  • Een oranje uitroepteken betekent dat er nog wat aanbevelingen zijn.
  • Een rood uitroepteken betekent dat er (kritische) kwetsbaarheden zijn gevonden.
Resultaat van de scan

Resultaat van de scan

Klik op het icoontje om de beveiliging in te zien en waar nodig aan te scherpen.

Bekijk de resultaten

Bekijk de resultaten

Wanneer je op ‘(?)’ klikt zie je tekst en uitleg over de betreffende veiligheidsmaatregel. Voor het gemak hebben wij ze even uitgeschreven;

Administrator’s username
Deze optie controleert of er geen gebruikers zijn met de naam “admin” welke administrator rechten hebben. Dit kan in potentie gevaarlijk zijn omdat bij een brute-force attack de username dan al bekend is, en alleen maar het wachtwoord achterhaald hoeft te worden.

Gebruik je deze optie, dan wordt de bestaande “admin” gebruiker verwijderd en vervangen door een nieuwe gebruiker met een willekeurige gebruikersnaam en wachtwoord.

Database prefix
De tabellen binnen een WordPress database hebben standaard de “wp_” prefix. Het is echter verstandig om deze volstrekt willekeurig te maken omdat op deze manier data uit de database kan worden verkregen.

Gebruik je deze optie en heeft jouw database de standaard “wp_” prefix, dan zal deze worden omgezet naar een willekeurige prefix.

Security of the configuration file
Het “wp-config.php” bestand is een cruciaal bestand voor de werking van WordPress en bevat belangrijke informatie waaronder de database gegevens. Omdat PHP bestanden standaard uitvoerbaar zijn, zal je niet direct een kwetsbaarheid vinden. Echter, wanneer (door wat voor reden dan ook) PHP bestanden niet uitvoerbaar zijn, kan de data uit het bestand worden ingelezen, met alle gevolgen van dien.

Gebruik je deze optie, dan wordt het uitvoeren van het “wp-config.php” bestand geblokkeerd op de webserver.

Directory browsing permissions
Het zoeken binnen een mappenstructuur is een eenvoudige manier om informatie te verkrijgen over een WordPress installatie. Zo kun je bijvoorbeeld achterhalen welke plugins, thema’s et cetera worden gebruikt. Standaard staat dit voor vrijwel iedere webserver dicht, maar dat hoeft niet perse.

Gebruik je deze optie, dan wordt het browsen in bestanden geblokkeerd op de webserver.

Security keys
Een WordPress installatie maakt gebruik van beveiligingssleutels voor versleuteling van informatie, welke is opgeslagen in de cookies van gebruikers.

Gebruik je deze optie, dan wordt er gecontroleerd of beveiligingssleutels aanwezig zijn én of deze sterk genoeg zijn (combinatie van cijfers en letters, 60 tekens of langer). Wanneer dit niet het geval is, dan wordt er een sterke beveiligingssleutel toegevoegd.

Version information
De “readme” bestanden en “meta data” van een WordPress installatie bevat informatie over de versie welke gebruikt wordt. Omdat iedere WordPress versie zijn (bekende) kwetsbaarheden heeft, is het verstandig om deze informatie niet te tonen. Anders kan een hacker namelijk een gerichte actie uitvoeren, specifiek op een bepaalde versie.

Gebruik je deze optie, dan worden de “readme” bestanden en “meta data” niet zichtbaar gemaakt.

Permissions for files and directories
Na een WordPress installatie hebben folders en bestanden verschillende bestandsrechten (lezen, schrijven, uitvoeren) om te kunnen functioneren. Wanneer deze rechten niet goed staan, dan kan de site niet of deels functioneren, maar kunnen er ook zonder meer veiligheidsrisico’s ontstaan.

Gebruik je deze optie, dan worden de rechten van folders en bestanden naar de standaard gezet conform het beveiligingsbeleid van WordPress. Dit betekent dat het “wp-config.php” bestand op 600 wordt gezet, andere bestanden op 644 en alle folders op 755.

Security of the wp-content folder
De “/wp-content” folder is een folder waar zich o.a. plugins, thema’s en media bevinden. PHP bestanden binnen de folder kunnen standaard uitgevoerd worden. Dus ook malafide PHP bestanden die door een besmetting in een plugin of thema zijn binnen geslopen.

Gebruik je deze optie, dan wordt het uitvoeren van PHP bestanden in de “/wp-content” folder geblokkeerd op de webserver.
Houdt er rekening mee dat dit ervoor kan zorgen dat de website, plugins of thema’s hierdoor niet meer (goed) kunnen functioneren.

Security of the wp-includes folder
Wat voor de “/wp-content” folder geldt, is ook van toepassing op de “/wp-includes” folder. Hier bevinden zich bestanden welke voor het framework van WordPress worden gebruikt. Door een besmetting kunnen ook hier malafide PHP bestanden zijn binnen geslopen.

Gebruik je deze optie, dan wordt het uitvoeren van PHP bestanden in de “/wp-includes” folder geblokkeerd op de webserver.
Houdt er rekening mee dat dit ervoor kan zorgen dat de website, plugins of thema’s hierdoor niet meer (goed) kunnen functioneren.

 Scan op kwetsbaarheden en scherp de beveiliging aan

Met de ‘Roll Back’ optie kan je een wijziging terugzetten wanneer dit wenselijk is. Dit kan niet voor alle wijzigingen, dus controleer goed wat je wijzigt voordat je op ‘Secure’ drukt.

Kom je er niet uit?
Staat jouw vraag hier niet tussen? Geen probleem, we helpen je graag!
088 - 750 89 18 wachttijd gemiddeld 21 seconden
Wij gebruiken je gegevens alleen om contact met je op te nemen, zie ook onze privacyverklaring
web-monitoring-ok