Heb je hulp nodig bij het veiliger maken van jouw WordPress website?
Met ruim 20 jaar WordPress ervaring help ik je graag jouw WordPress website nog veiliger te maken. Hoe? Dat lees je hier onder. En als al deze technische zaken je verder niets zeggen en je niet weet wat je hiermee moet, neem dan gerust contact op.
Gebruik de laatste PHP versie
Het is belangrijk dat je de laatste ondersteunde versie van PHP gebruikt op jouw webserver. Let goed op bij budget hosters aangezien deze nog wel eens de oudere, niet ondersteunde , versies laten door draaien. Je kan hier de ondersteunde versies van PHP controleren.
Verberg de PHP versie
Vraag jouw hosting provider om dit te doen mocht je dit zelf niet kunnen. Dit kun je eventueel zelf doen via de expose_php instelling. Pas dit aan in jouw php.ini instellingen door het volgende toe te voegen:
|
1 |
expose_php = Off |
Soms kun je dit ook via de headers in WordPress toevoegen.
Verwijder alle phpinfo() bestanden
In principe zal dit op een standaard hosting niet vookomen, maar soms vergeten, minder ervaren web develeopers, om dit bestand, mits ze het gebruikt hebben, te verwijderen. Vaak hebben ze het ook gewoon phpinfo.php genoemd. Hierdoor kunnen kwaadwillenden een enorme bron van informatie vergaren over de server omgeving van een website.
Onderdruk PHP fouten en waarschuwingen
Zorg er voor dat je in de hosting beheer omgeving, zoals bijvoorbeeld Plesk of DirectAdmin, de error reporting op off hebt staan.
Beperk php includes
Zit je bij een (budget) prhosting provider controleer dan altijd of de ‘open_basedir’ instelling in het controle paneel goed is ingesteld. Je kan bijvoorbeeld instellen dat de includes alleen vanuit jouw publieke map mogen komen.
Schakel ‘remote file includes’ uit
Vaak kun je dit instellen via jouw hosting beheer zoals bijvoorbeeld Plesk of DirectAdmin. Het gaat om deze instellingen: allow_url_fopen en allow_url_include. Deze moet op ‘off’ zetten.
Beperk of schakel gevaarlijke functies uit
Kijk altijd of jouw hosting provider de optie heeft ingesteld om gevaarlijke functies uit te schakelen. Weet je het niet zeker, neem dan contact op met jouw hosting provider.
Een voorbeeld van een aantal gevaarlijke functies zie je hier onder:
|
1 2 3 4 5 6 7 8 |
disable_functions = php_uname, getmyuid, getmypid, passthru, leak, listen, diskfreespace, tmpfile, link, ignore_user_abord, shell_exec, dl, exec, system, highlight_file, source, show_source, fpaththru, virtual, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_ttyname, posix_uname, proc_open, proc_close, proc_get_status, proc_nice, proc_terminate, phpinfo |
Blokkeer PHP uitvoeren in bepaalde mappen
Zorg er voor dat het uitvoeren van .php bestanden in bijvoorbeeld e wp-content/uploads map niet mogelijk is. Dit kun je doen door daar een .htaccess bestand te plaatsen met de volgende inhoud:
|
1 2 3 |
<files *.php> deny from all <files> |
Dit zou omzeilt kunnen worden dus de beste manier is om deze optie te gebruiken in de .htacces binnen /wp-content/uploads/
|
1 |
php_flag engine off |
PHP beveiliging voor WordPress – laatste aandachts punten
WordPress is op zich een robuust en veilig platform, maar de infrastructuur waarbinnen het draait (webserver), is en blijft een belangrijk aandachtspunt. Zorg er dus voor dat je de juiste hosting provider kiest.
En als al deze technische zaken je verder niets zeggen en je niet weet wat je hiermee moet, neem dan gerust contact op. Wij testen gratis jouw WordPress website en geven je advies over de eventuele verbeteringen.
