Waarom WordPress beveiligen?

Vul altijd de beveiligingssleutels in wp-config.php in! Vaak worden deze vergeten. Je kunt deze hier online eenvoudig genereren en in wp-config.php plakken.

WordPress debug logging staat standaard uit. Het is verstandig altijd even te controleren of in de wp-config.php er geen vermelding staat van WP_DEBUG. Gebruik je debug logging naar een bestand zorg dan dat dit pad staat ingesteld met een pad buiten de website publieke map. Hiervoor kun je de optie WP_DEBUG_LOG gebruiken.

define('WP_DEBUG_LOG', '/pad/buiten/de/webserver/publieke-map/debug.log');

Als je XMLRPC niet gebruikt dan is het afsluiten hiervan aan te raden. Gebruik hiervoor bijvoorbeeld de plugin Disable XML-RPC pingback. Of de code zoals beschreven in dit blog bericht bij punt 5.

Voor het beheren van de WordPress REST API toegang kun je de plugin Disable Rest Api gebruiken. Je kan dan beter de toegang beheren voor plugins die toegang nodig hebben. Via de REST API is het standaard namelijk mogelijk allerlei informatie op te vragen over gebruikers en plugins. Met de eerder genoemde plugin kun je precies bepalen wat er wel en niet beschikbaar is via de rest-api.

Het uitlezen van de WordPress versie helpt een hacker om snel te zien of je een verouderde versie van WordPress gebruikt. Je kan deze eenvoudig uitschakelen door de volgende code toe te voegen via bijvoorbeeld een plugin als code snippets.

function hhdev_wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'hhdev_wp_version_remove_version');

WordPress voegt ook het versie nummer toe in de url van js en css bestanden, om dit uit te zetten plaats je de volgende code in jouw thema functions.php of via een code snippet plugin.

// remove wp version number from scripts and styles
function hhdev_remove_css_js_version( $src ) {
    if( strpos( $src, '?ver=' ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'hhdev_remove_css_js_version', 9999 );
add_filter( 'script_loader_src', 'hhdev_remove_css_js_version', 9999 );

Gebruik je een plugin als Autoptimize? En dat is zeker aan te raden. Dan heb je geen probleem met versie nummers in de css en js urls.

Als je geen blog website hebt en dus geen auteurs informatie wilt delen kun je deze ook beter verbergen. De auteurs info pagina verbergen kun je op 2 manieren doen:

1. Voeg de volgende snippet toe aan jouw .htaccess bestand.

# Stop author listings
RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]

2. Of je kan ook een author.php bestand toevoegen aan jouw child thema met de volgende code:

Je kan de security headers toevoegen via een plugin of via het .htaccess bestand. De belangrijkste headers om toe te voegen zijn: strict-transport-security, x-content-type en x-frame-options.

Test jouw huidige headers en score hier (https://securityheaders.com/). Tip: Vink wel even ‘hide results’ aan anders wordt de website zichtbaar in de lijstjes onder het zoek venster.

In WordPress staat standaard de optie aan om de code van sommige bestanden te bewerken. Mocht een hacker admin toegang krijgen tot de website dan is dit een veiligheids risico. Dit is eenvoudig uit te schakelen via een aanpassing in wp-config.php.

Direct boven de regel /* That’s all, stop editing! Happy blogging. */, kun je de volgende code toevoegen:

define( 'DISALLOW_FILE_EDIT', true );.

Op een productie website is het verstandig om het beheer van thema en plugins uit te schakelen. Door het beperken van plugin en thema wijzigingen is het risico op een hack aanzienlijk kleiner. Een eventuele inbreker kan dan geen ‘stoute’ code in de website aanbrengen mocht deze als beheerder kunnen inloggen. De onderstaande code in wp-config.php regelt dit.

define('DISALLOW_FILE_MODS', true );