De WordPress Toolkit is een applicatie welke gebruikt kan worden binnen Plesk. Met de WordPress Toolkit kan je meerdere WordPress installaties, plugins en thema’s eenvoudig en centraal beheren. Ook kan je kwetsbaarheden in je beveiliging opsporen en direct verhelpen.
In dit artikel maken we kennis met 5 gave features van de WordPress Toolkit;
Goed om te weten dat de WordPress Toolkit bij ieder hostingpakket gratis inbegrepen is!
Wanneer je bent ingelogd op Plesk open je de ‘WordPress Application’ binnen het gewenste hostingpakket.
Klik hier op ‘Install’ om een nieuwe WordPress installatie te starten.
Vervolgens zie je een overzicht van hetgeen je gaat installeren, en kan je hier nogmaals op ‘Install’ klikken om de daadwerkelijke installatie te starten.
Er wordt altijd de meest recente versie geinstalleerd, wel zo logisch. De installatie zelf duurt slechts enkele seconden.
Wanneer de installatie voltooid is, vindt je de login gegevens om in te kunnen loggen op de back-end van WordPress. Je kan dus direct aan de slag!
Klik op ‘Scan’ om het hostingpakket te scannen op bestaande WordPress installaties.
Vervolgens verschijnt er een schermpje waarbij je de voortgang van het scannen ziet. Afhankelijk van de grootte van het pakket kan dit enkele seconden duren.
Nadat het scannen voltooid is, klik je op ‘Refresh Page’. Hierna zie je (indien van toepassing) de gevonden WordPress installaties.
Nu kan je deze installaties ook beheren via de WordPress Toolkit.
Wanneer een WordPress installatie niet meer up-to-date is, dan verschijnt er een waarschuwing met daaronder de benodigde update. Je kan hierop klikken om de update te installeren.
Ook kan je meerdere WordPress installaties aanvinken, en vervolgens op ‘Update’ klikken.
Vervolgens verschijnt er een schermpje waarbij je de voortgang van de update ziet. Afhankelijk van de hoeveelheid updates binnen het pakket kan dit enkele seconden duren.
Ditzelfde kan je ook doen onder de tabbladen ‘Plugins’ en ‘Themes’. De werking is identiek.
Eventueel kan je met de optie ‘Auto-Update’ de automatisch updates in of uitschakelen.
Met de WordPress Toolkit kan je ook gemakkelijk plugins en thema’s installeren op bestaande WordPress installaties. We laten in dit voorbeeld zien hoe je een plugin installeert.
Klik op het tabblad ‘Plugins’ en vervolgens op ‘Install’.
Zoek de gewenste plugin op en druk hierna op de entertoets.
Vervolgens vink je de gewenste plugin aan en kan je onderaan aangeven of je de plugin wilt installeren voor alle installaties (indien er meerdere zijn) of voor bepaalde installaties in het specifiek. Hierna klik je op ‘Install’ om de daadwerkelijke installatie te starten.
Vervolgens verschijnt er een schermpje waarbij je de voortgang van de installatie ziet. Dit kan enkele seconden duren.
Hierna is de plugin direct actief.
Wil je een plugin deactiveren? Vink dan de plugin aan en klik op ‘Deactivate’.
Ditzelfde kan je ook doen voor thema’s onder het tabblad ‘Themes’. De werking is identiek.
Misschien wel de belangrijkste feature is die rondom beveiliging. Deze feature biedt jou de mogelijkheid om zonder technische kennis toch de noodzakelijke veiligheidsmaatregelen te treffen.
Klik op ‘Check Security’ om de bestaande WordPress installaties te scannen op kwetsbaarheden.
Vervolgens verschijnt er een schermpje waarbij je de voortgang van het scannen ziet. Afhankelijk van het aantal installaties kan dit enkele seconden duren.
Wanneer het scannen voltooid is, verschijnt er voor iedere WordPress installatie een icoontje;
Klik op het icoontje om de beveiliging in te zien en waar nodig aan te scherpen.
Wanneer je op ‘(?)’ klikt zie je tekst en uitleg over de betreffende veiligheidsmaatregel. Voor het gemak hebben wij ze even uitgeschreven;
Administrator’s username
Deze optie controleert of er geen gebruikers zijn met de naam “admin” welke administrator rechten hebben. Dit kan in potentie gevaarlijk zijn omdat bij een brute-force attack de username dan al bekend is, en alleen maar het wachtwoord achterhaald hoeft te worden.
Gebruik je deze optie, dan wordt de bestaande “admin” gebruiker verwijderd en vervangen door een nieuwe gebruiker met een willekeurige gebruikersnaam en wachtwoord.
Database prefix
De tabellen binnen een WordPress database hebben standaard de “wp_” prefix. Het is echter verstandig om deze volstrekt willekeurig te maken omdat op deze manier data uit de database kan worden verkregen.
Gebruik je deze optie en heeft jouw database de standaard “wp_” prefix, dan zal deze worden omgezet naar een willekeurige prefix.
Security of the configuration file
Het “wp-config.php” bestand is een cruciaal bestand voor de werking van WordPress en bevat belangrijke informatie waaronder de database gegevens. Omdat PHP bestanden standaard uitvoerbaar zijn, zal je niet direct een kwetsbaarheid vinden. Echter, wanneer (door wat voor reden dan ook) PHP bestanden niet uitvoerbaar zijn, kan de data uit het bestand worden ingelezen, met alle gevolgen van dien.
Gebruik je deze optie, dan wordt het uitvoeren van het “wp-config.php” bestand geblokkeerd op de webserver.
Directory browsing permissions
Het zoeken binnen een mappenstructuur is een eenvoudige manier om informatie te verkrijgen over een WordPress installatie. Zo kun je bijvoorbeeld achterhalen welke plugins, thema’s et cetera worden gebruikt. Standaard staat dit voor vrijwel iedere webserver dicht, maar dat hoeft niet perse.
Gebruik je deze optie, dan wordt het browsen in bestanden geblokkeerd op de webserver.
Security keys
Een WordPress installatie maakt gebruik van beveiligingssleutels voor versleuteling van informatie, welke is opgeslagen in de cookies van gebruikers.
Gebruik je deze optie, dan wordt er gecontroleerd of beveiligingssleutels aanwezig zijn én of deze sterk genoeg zijn (combinatie van cijfers en letters, 60 tekens of langer). Wanneer dit niet het geval is, dan wordt er een sterke beveiligingssleutel toegevoegd.
Version information
De “readme” bestanden en “meta data” van een WordPress installatie bevat informatie over de versie welke gebruikt wordt. Omdat iedere WordPress versie zijn (bekende) kwetsbaarheden heeft, is het verstandig om deze informatie niet te tonen. Anders kan een hacker namelijk een gerichte actie uitvoeren, specifiek op een bepaalde versie.
Gebruik je deze optie, dan worden de “readme” bestanden en “meta data” niet zichtbaar gemaakt.
Permissions for files and directories
Na een WordPress installatie hebben folders en bestanden verschillende bestandsrechten (lezen, schrijven, uitvoeren) om te kunnen functioneren. Wanneer deze rechten niet goed staan, dan kan de site niet of deels functioneren, maar kunnen er ook zonder meer veiligheidsrisico’s ontstaan.
Gebruik je deze optie, dan worden de rechten van folders en bestanden naar de standaard gezet conform het beveiligingsbeleid van WordPress. Dit betekent dat het “wp-config.php” bestand op 600 wordt gezet, andere bestanden op 644 en alle folders op 755.
Security of the wp-content folder
De “/wp-content” folder is een folder waar zich o.a. plugins, thema’s en media bevinden. PHP bestanden binnen de folder kunnen standaard uitgevoerd worden. Dus ook malafide PHP bestanden die door een besmetting in een plugin of thema zijn binnen geslopen.
Gebruik je deze optie, dan wordt het uitvoeren van PHP bestanden in de “/wp-content” folder geblokkeerd op de webserver.
Houdt er rekening mee dat dit ervoor kan zorgen dat de website, plugins of thema’s hierdoor niet meer (goed) kunnen functioneren.
Security of the wp-includes folder
Wat voor de “/wp-content” folder geldt, is ook van toepassing op de “/wp-includes” folder. Hier bevinden zich bestanden welke voor het framework van WordPress worden gebruikt. Door een besmetting kunnen ook hier malafide PHP bestanden zijn binnen geslopen.
Gebruik je deze optie, dan wordt het uitvoeren van PHP bestanden in de “/wp-includes” folder geblokkeerd op de webserver.
Houdt er rekening mee dat dit ervoor kan zorgen dat de website, plugins of thema’s hierdoor niet meer (goed) kunnen functioneren.
Met de ‘Roll Back’ optie kan je een wijziging terugzetten wanneer dit wenselijk is. Dit kan niet voor alle wijzigingen, dus controleer goed wat je wijzigt voordat je op ‘Secure’ drukt.
Wil je meer weten over de WordPress Toolkit of wat RealHosting voor jou kan betekenen? Neem contact op met de afdeling Verkoop voor verder advies en een offerte.