Sharon - 25 oktober 2013

Voorkom hacks en aanvallen op je WordPress-installatie

Een aanval of hack op je WordPress-installatie wil je het liefst voorkomen. Met een paar kleine wijzigingen maak je de installatie al een stuk veiliger. Wil je de kans dat jouw WordPress-installatie wordt aangevallen of gehackt verkleinen? Doorloop dan onderstaande stappen.

 

 

  1. Controleer je installatie maandelijks op updates. Log in op de backend van WordPress en installeer de beschikbare updates.
  2. Installeer een plug-in die vreemde aanvragen en aanvallen op je website tegenhoudt, bijvoorbeeld OSE Firewall (http://wordpress.org/extend/plugins/ose-firewall/).
  3. Wijzig de inlognaam van de admin-gebruiker. Dat doe je als volgt:
    1. Maak een nieuwe gebruiker aan en geef deze de rol ‘administrator’.
    2. Log in met de nieuwe gebruiker en verwijder de oude admin-gebruiker.
  4. Maak het inloggen alleen mogelijk voor bekende ip-adressen. Dit doe je als volgt:
    1. Plaats in de map wp-admin een .htaccess-bestand met daarin het ip-adres of ip-adressen die toegang mogen hebben tot de beheerpagina. Gebruik hiervoor onderstaande regels, wijzig 127.0.0.1 in je eigen ip-adres (http://www.uwipadres.nl).
       order deny,allow
       deny from all
       allow from 127.0.0.1
    2. Beveilig het bestand wp-login.php zodat dit alleen toegankelijk is voor de beheerder van de website. Voeg onderstaande regels toe aan het .htaccess-bestand van je WordPress-installatie. Wijzig 127.0.0.1 in je eigen ip-adres (http://www.uwipadres.nl).<Files wp-login.php>
       Order deny,allow
       deny from all
       allow from 127.0.0.1
       </Files>

Op jouw verzoek voeren wij bovenstaande punten graag voor je uit. Neem hiervoor vrijblijvend contact op met Yourhosting Webdesign.

Dit artikel delen op social media

7 reacties

Ronny Roethof on 28 oktober 2013

Plaats het volgende daarnaast in je .htaccess in de wordpress hoofddirectory Options +FollowSymlinks RewriteEngine On ## Disable the Server Signature ServerSignature Off ## Remove Spamming query's RewriteCond %{QUERY_STRING} admin|install|other|words|here [NC] RewriteRule .* http://www.%{HTTP_HOST}/$1? [R=301,L] ## Protecting againts spam bots RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post\.php* RewriteCond %{HTTP_REFERER} !.yourwebsite.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L] ## Prevent SQL Injections RewriteBase / RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] RewriteRule ^(.*)$ - [F,L] RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR] RewriteCond %{QUERY_STRING} boot\.ini [NC,OR] RewriteCond %{QUERY_STRING} tag\= [NC,OR] RewriteCond %{QUERY_STRING} ftp\: [NC,OR] RewriteCond %{QUERY_STRING} http\: [NC,OR] RewriteCond %{QUERY_STRING} https\: [NC,OR] RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR] RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR] RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)||ê|"|;|\?|\*|=$).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*("|'||\|{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ - [F,L] ## Block specific wordpress installed files Options All -Indexes Order allow,deny Deny from all Order allow,deny Deny from all Order allow,deny Deny from all Order allow,deny Deny from all Order allow,deny Deny from all Order allow,deny Deny from all Order allow,deny Deny from all

Ronny Roethof on 28 oktober 2013

Helaas liet het formulier niet de juiste formatting toe. Daarom heb ik het vorige bericht in pastebin gecopieerd.. http://pastebin.com/QD7cxbe6 Greetz, Ronny

Jeroen Peters on 28 oktober 2013

Voor de site waar ik eerder over schreef heb ik WordFence geïnstalleerd. Die houdt je ook op de hoogte als er updates zijn. Zo hoef je niet eens zelf in te loggen!

Marcel van der Horst on 28 februari 2014

Een erg zinvolle aanvulling is zorgen dat er een max aantal inlogpogingen wordt vastgelegd. Dit voorkomt Brute-Force- of Dictionary-Attacks. Na 3 mislukte inlogpogingen een ip-block. Ja, ik weet het.. óók dit valt te omzeilen maar het maakt het nét ff wat lastiger voor de 'inbreker'

Jaap on 6 juli 2014

Dit is inderdaad een procedure die je moet doorlopen als je echt goed beveiligt wilt hebben.

Anneke Kaai on 20 juni 2016

Kunt u mij helpen en ervoor zorgen dat onze website: annekekaai.nl voldoende beveiligd is tegen hackers zoals hierboven wordt geadviseerd? Ik wacht uw reactie af

Floris Jan on 21 juni 2016

Beste Anneke, De bovenstaande stappen zijn gericht op WordPress-websites. De website annekekaai.nl lijkt gemaakt te zijn met Microsoft FrontPage. Het voordeel van een FrontPage-website is dat alle bestanden statisch zijn. Dit betekent dat hackers niet kunnen inloggen op de website. De bestanden hebben vaste informatie en kunnen niet worden gemanipuleerd door hackers. Dit zorgt automatisch voor een behoorlijk veilige website. De stappen in deze blogtekst zijn niet toe te passen op annekekaai.nl. Voor websites gemaakt met Microsoft FrontPage is het belangrijk om de computer zelf veilig te houden. Op de computer waarop je Microsoft FrontPage gebruikt is een antivirusprogramma erg belangrijk. Daarnaast is het belangrijk om je FTP-gebruikersnaam en wachtwoord veilig te houden. Zo hou je onbevoegden op een afstand. Heb je zo genoeg informatie om je website veilig te houden?

Reageer op deze post

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *