WordPress heeft als belangrijk voordeel dat het wereldwijd een enorm grote, betrokken open source community heeft. Dat maakt het echter ook gelijk een nadeel: open source betekent namelijk dat de broncode openbaar verkrijgbaar is. En dus ook voor mensen met minder leuke bedoelingen. In dit eerste deel over WordPress beveiligen leg ik daarom uit hoe je WordPress naar een statische website omzet.
Voor de veiligheid van je WordPress-website is het belangrijk dat je niet alleen WordPress, maar ook je plugins en thema’s bijwerkt wanneer er updates beschikbaar zijn. Een extra beveiligingslaag met behulp van een plugin als Wordfence is ook zeker geen verkeerd plan. Er bestaan echter meer manieren om je WordPress website van wat extra beveiliging te voorzien.
UPDATE – Deel 2 beschikbaar
In het tweede deel lees je alles over hoe je de mappen van WordPress hernoemd. Zo verberg je het verder. Ga incognito met WordPress!
Voordelen van statische website
Eén van die manieren is om je WordPress-installatie om te zetten naar een statische website, bijvoorbeeld met de plugin WP2Static. Je combineert dan de dynamiek van WordPress met de voordelen van een statische website. Hieronder staan de belangrijkste voordelen op een rij.
- Veiliger | Vanuit je broncode kan niet worden herleid waar nu precies je WordPress-installatie staat. Je verkleint de kans op infecties zo significant.
- Geen caching nodig | Het instellen van caching is niet per se nodig, omdat de website in zijn geheel naar statische content wordt omgezet.
- Ontwikkelomgeving overbodig | Je kunt je website bewerken, zonder dat bezoekers daar wat van zien. Je rolt de website uit als jij daar klaar voor bent. Een ontwikkelomgeving is dan niet meer nodig.
Ik bespreek daarom nu hoe je WordPress installeert en je website daarna via FTP op het gewenste webadres naar HTML omzet. Aan de slag!
1. Locatie voor WordPress kiezen
Als je de statische website via je gewone domeinnaam bereikbaar wilt hebben, dan is het wel zo praktisch om die rechtstreeks in de map /public_html/
te zetten. Voor de WordPress-installatie kun je dan een subdomein aanmaken, bijvoorbeeld: wp2static.jouwdomeinnaam.nl
Nadat je het subdomein hebt aangemaakt, installeer je WordPress via Installatron op die locatie. Ga daarvoor in DirectAdmin, het technische beheergedeelte van je hostingpakket, naar de Installatron-applicaties onderaan en klik daar op het WordPress-icoon.
Klik op ‘install this application’ en selecteer bij ‘Domain’ het net aangemaakte subdomein. Let op: met https:// ervoor. We gaan ervan uit dat je voor SSL een symlink hebt ingesteld. Hoewel Installatron dan de map /private_html/
in het pad toont, komt de installatie in de map /public_html/
en zal het over HTTPS zijn te benaderen. Dat is wenselijk.
Maak daarna, indien nodig, het veld ‘Directory’ leeg en loop de instellingen door. Denk aan de gewenste taal, de inloggegevens en of er automatisch updates uitgevoerd en backups gemaakt moeten worden. Klik ten slotte onderaan op ‘Install’ om WordPress te installeren.
Als de installatie is afgerond, raden we aan om dit subdomein af te schermen. Dat kan met bijvoorbeeld een wachtwoordbescherming. Je wilt voorkomen dat straks dezelfde website zowel via je hoofd- als subdomein is te bereiken. Dat zou ‘duplicate content’ betekenen en dat is niet goed voor SEO.
2. De plugin WP2Static installeren
Nadat de WordPress-installatie is afgerond, log je in op het dashboard van WordPress. Die bereik je door naar je subdomein te gaan, met /wp-admin/
erachter toegevoegd. Gebruik daar de inloggegevens die je zojuist bij de installatie hebt opgegeven. Eenmaal ingelogd ga je via ‘Plugins’ → ‘Nieuwe toevoegen’ op zoek naar ‘WP2Static’. Installeer en activeer deze plugin.
Je kunt nu alvast beginnen met het opzetten van de website en plugins en thema’s naar wens installeren en configureren. Houd er wel rekening mee dat niet alle plugins in combinatie met WP2Static werken, zoals WooCommerce.
3. Een FTP-account aanmaken
Met de gratis versie van deze plugin kun je FTP gebruiken om de website uit te rollen. Je kunt hiervoor het beste een nieuw FTP-account aanmaken. Kies bij voorkeur een gebruikersnaam die je makkelijk kunt herkennen. Dat is handig als er al meer FTP-accounts op je pakket bestaan.
Bij het aanmaken van het FTP-account kun je veiligheidshalve ook gelijk het precieze pad naar de statische website opgeven. Dit pad geef je in het veld achter ‘Custom’ op. Zo weet je zeker dat die gebruiker geen toegang heeft tot mappen op een hoger niveau.
4. De plugin WP2static instellen
Nadat het FTP-account is aangemaakt, kun je de gegevens gebruiken om het bij WP2Static in te stellen. Klik in het dashboard van WordPress links in het menu op ‘WP2Static’. Daar selecteer je meteen bovenaan bij ‘Where will you host the optimized version of your site?’ de optie ‘FTP’.
De velden die je daarna te zien krijgt, kun je invullen met behulp van de gegevens van je zojuist aangemaakte FTP-account. Vergeet niet om ook een vinkje bij ‘Use FTPS (TLS)’ te zetten. Door op ‘Test FTP Settings’ te klikken, kun je vervolgens testen of de verbinding slaagt.
5. Standaard URLs herschrijven
Om er zeker van te zijn dat er geen vermeldingen in de broncode van je website van de standaard WordPress-mappen staan (/wp-includes/
en /wp-content/
), kun je via het tab ‘Processing’ bij ‘Rewrite Links in source code’ die URLs wijzigen. Stel je het in zoals op het screenshot is te zien, dan worden de map-namen naar ‘inc’ en ‘content’ hernoemd.
Scroll je iets naar beneden, dan zie je nog een aantal aanvullende instellingen. Vul hier in het veld bij ‘Rename Exported Directories’ dezelfde waarden als bij ‘Rewrite Links in source code’ in. De andere opties kun je zo laten staan.
6. Je statische website uitrollen
Als je WordPress-website naar wens is ingericht, dan kun je het als statische website exporteren. De dynamische variant die je op je subdomein hebt geïnstalleerd, wordt dan dus als statische variant op je doellocatie geplaatst.
Klik in WordPress links in het menu op ‘WP2Static’ en dan op ‘Deploy static website’. Ervan uitgaande dat alle FTP-gegevens juist zijn ingevoerd, start je de uitrol door op ‘Start static site export’ te klikken.
WordPress verder verbergen
Mappen die WordPress standaard gebruikt, zoals /wp-content/en /wp-includes/, kun je hernoemen of verplaatsen. Dat is een andere strategie om te maskeren dat je WordPress gebruikt. Daarover meer in deel 2!
Website maken met WordPress?
Wil je zelf met WordPress aan de slag? Dat kan! De hostingpakketten van Antagonist zijn hier perfect voor. Zo wordt gratis SSL automatisch geregeld, heb je altijd de laatste PHP-versie tot je beschikking en worden backups vanzelf gemaakt. Een ideaal onderkomen voor je WordPress-website!
P.S. Blijf op de hoogte en volg ons via Facebook, X, Instagram, e-mail en RSS. Heb je vragen, tips of opmerkingen? Laat het achter als reactie. Vond je het artikel nuttig? Deel het dan met anderen!