WordPress is een van de meest gebruikte open source CMS’en. Het is erg gemakkelijk te installeren, en er zijn veel (gratis) thema’s en plug-ins. Dat deze software populaire is bij veel gebruikers heeft ook een keerzijde. WordPress is hierdoor een populair doelwit voor hackers. Met een firewall bescherm je jouw website tegen aanvallen van buitenaf en verminder je het risico dat jouw site wordt gehackt of hinder ondervind van kwaadwillenden.
Je kunt WordPress op vele manieren optimaliseren. Eerder beschreven we al hoe je WordPress sneller kunt maken en hoe je caching kunt instellen. In dit artikel gaan we uitleggen hoe je een firewall kunt gebruiken voor extra bescherming. Hiervoor gebruiken we de WP Simple Firewall. Deze plug-in is gratis en kun je installeren via de back-end van je WordPress-website.
Installatie van de plug-in
Je installeert deze plug-in net zoals iedere andere plug-in voor WordPress. Dit doe je in de wp-admin-omgeving, meestal te bereiken via: ‘www.jouwdomeinnaam.nl/wp-admin/’.
Eenmaal ingelogd, installeer je de plug-in als volgt:
- ga naar ‘Plugins’ » ‘Add new (plugin)’;
- zoek op: ‘Wordpress Simple Firewall’;
- klik op ‘Install’;
- klik op de link met ‘Activate’.
Er verschijnt nu een nieuw item in het menu aan de linkerkant, deze heet: ‘Simple Firewall’.
Configuratie van WP Simple Firewall
Wanneer je op het menu-item ‘Simple Firewall’ klikt, dan krijg je het dashboard met mogelijkheden van de plug-in te zien.
Standaard staat alleen de functie voor automatische updates aan. Er zijn echter nog veel meer functionaliteiten die je kunt gebruiken. Hieronder doorlopen we de overige instellingen voor een optimale configuratie van de plug-in.
Global plug-in Security Options
Hieronder bespreken we per stuk de opties die je kunt inschakelen om je website te optimaliseren.
IP Whitelist: als je een vast IP-adres hebt, dan kun je deze toevoegen aan de ‘IP Address White List’. De firewall wordt dan niet geactiveerd als je vanaf dat IP-adres inlogt. Dit kun je het beste gebruiken voor de computer waar vanaf je het blog beheert.
Admin Access: met deze functie kun je de toegang tot de plug-in (en andere WordPress-functies) beperken, door ze te beveiligen met een extra wachtwoord. In dit voorbeeld gebruiken we deze functie niet.
Firewall: deze functie analyseert alle gegevens die naar jouw website worden verzonden, en blokkeert aanvragen die kwaadaardig lijken te zijn.
Schakel de firewall in door ‘Enable’ aan te vinken en vervolgens op ‘Save All Settings’ te klikken. De opties die standaard ingeschakeld zijn, voldoen. Kijk gerust in de andere tabbladen of er opties tussen staan die specifiek voor jouw situatie relevant zijn.
Login Protection: deze optie biedt een extra bescherming tegen geautomatiseerde en brute-force-pogingen om het wachtwoord van je website te kraken.
Schakel Login Protection in door deze aan te vinken en op ‘Save’ te klikken.
Als je de app van WordPress voor iPhone of Android niet gebruikt, dan is het aan te raden om in het tabblad ‘By-Pass’ de optie ‘XML-RPC Compatibility’ uit te schakelen. Aan de overige instelleningen hoef je niets te veranderen.
User Management: deze instellingen hebben invloed op hoe gebruikers inloggen, of dit op een veilige manier gebeurt en hoe lang het duurt voor er voor de veiligheid opnieuw moet worden ingelogd.
Schakel User Management in door deze aan te vinken en op ‘Save’ te klikken.
Ook hier geldt, dat als je de app van WordPress voor iPhone of Android App niet gebruikt, het aan te raden is om in het tabblad ‘By-Pass’ de optie ‘XML-RPC Compatibility’ uit te schakelen. De overige instellingen staan verder goed.
Comments Filter: hiermee voorkom je misbruik via de reacties op jouw blog, bijvoorbeeld door spambots. Deze bots proberen geautomatiseerd spamberichten te plaatsen op pagina’s of artikelen waarop gereageerd kan worden.
Schakel de Comments Filter in door deze aan te vinken en op ‘Save’ te klikken.
Als je vooral Nederlandstalige bezoekers hebt, dan is het aan te raden om de melding aan te passen naar een eigen Nederlandse versie. Deze staan namelijk standaard in het Engels. Je kunt de melding vinden onder het tabblad ‘Visitor Messages’.
Automatic Updates: deze optie zorgt er voor dat de firewall plug-in altijd wordt geüpdatet naar de laatste versie. Met de standaardinstellingen worden ook kleine WordPress-updates automatisch geïnstalleerd.
Schakel Automatic Updates in door deze aan te vinken en op ‘Save’ te klikken.
Lockdown: deze optie wordt gebruikt om diverse instellingen die standaard ingesteld zijn in WordPress te beveiligen tegen misbruikt.
Schakel de Lockdown-functie in door deze aan te vinken en op ‘Save’ te klikken. Bij het tabblad ‘Permissions’ zie je een optie ‘Disable File Editing’. Als je de ingebouwde file editor in de wp-admin-omgeving niet gebruikt, dan is het aan te raden om deze optie aan te zetten.
Audit Trail: met deze functie wordt een log bijgehouden van de gebeurtenissen en activiteiten op jouw site. In dit voorbeeld gebruiken we deze functie niet.
Oeps! Ik heb mezelf buitengesloten
Als je de Firewall te strikt of foutief instelt, dan kan het zijn dat je jezelf per ongeluk buitensluit. Je kunt in dat geval de firewall volledig uitschakelen door een speciaal bestand in de plug-in folder te plaatsen.
Dit doe je met de volgende stappen:
- open een FTP-verbinding naar je site of gebruik de files-optie van DirectAdmin, en ga naar de volgende map: ‘/domains/jouwdomeinnaam.nl/wp-content/plug-ins/wp-simple-firewall/’;
- maak een nieuw bestand aan met de naam ‘forceOff’;
- browse naar een willekeurige pagina van je WordPress-website;
- als je dit hebt gedaan, dan is de firewall volledig uitgeschakeld.
Vervolgens kun je in de wp-admin omgeving de instellingen van de firewall aanpassen om het buitensluiten te voorkomen. Als dat gelukt is, dan kun je het ‘forceOff’-bestand weer verwijderen om de firewall te heractiveren.
Verder lezen over veiligheid
Er is nog een heleboel meer te vinden over hoe je WordPress veiliger kunt maken en misbruik kunt voorkomen. Op de deze pagina vindt je meer informatie over de beveiliging van WordPress. Voor het beheren van meerdere gebruikers en het toekennen van verschillende rollen en rechten, vind je op deze pagina meer informatie. Heb je nog geen (WordPress-)website en ben je nieuwsgierig naar alle mogelijkheden die dit populaire CMS biedt?
P.S. Wil je op de hoogte blijven van alle artikelen, updates, tips en trucs die verschijnen op ons blog? Dat kan! Via RSS, per e-mail, het liken op Facebook, het +1’en op Google+ of het volgen op Twitter.