WordPress incognito voor meer veiligheid!

In het vorige deel heb ik je laten zien hoe je met behulp van de WP2static plugin WordPress omzet naar een statische website. Geen oplossing voor iedere website, want WP2static werkt niet goed samen met bijvoorbeeld WooCommerce. Gelukkig bestaan er vanuit WordPress zelf manieren om WordPress incognito te maken. In dit tweede deel bekijken we hoe je verbergt dat jij WordPress gebruikt voor meer veiligheid!

WordPress wordt inmiddels door maar liefst een derde van de websites op het internet gebruikt! Heel begrijpelijk, omdat het een gebruiksvriendelijk en veelzijdig CMS is. En niet geheel onbelangrijk, het is open source. Je hoeft dus geen grote investering te doen om je website makkelijk te kunnen beheren.

Dat het open source is, heeft alleen ook een nadeel. Bij iedere update van WordPress zelf, maar over het algemeen ook bij plugins en thema’s, wordt er duidelijk aangegeven wat er in die update wijzigt. Dat geldt ook voor zaken die betrekking hebben op de veiligheid van de versie(s) daarvoor.

Die waardevolle informatie kan door hackers worden misbruikt om installaties te infecteren met bijvoorbeeld malware, SQL-injecties (om vreemde redirects mee te realiseren) of phishing. Je installatie up-to-date houden, is daarom erg belangrijk. Door waar mogelijk te verbergen dat je WordPress gebruikt, kun jij je beveiliging net dat beetje extra geven.

De wp-content-map hernoemen

In de map /wp-content/ worden standaard alle plugins, thema’s en uploads geplaatst. Op bestandsniveau is dit het dynamische gedeelte van WordPress. Via de wp-config.php kun je die naam niet alleen hernoemen (van wp-content naar ‘content’ bijvoorbeeld), maar ook in het geheel verplaatsen.

Merk wel op dat een dergelijke wijziging flinke gevolgen kan hebben voor een bestaande website – Antagonist Backups FTW! En niet geheel onbelangrijk, de mapnamen moeten ook daadwerkelijk via de File Manager in DirectAdmin of FTP worden gewijzigd.

Met behulp van constanten kun je een andere map als wp-content aanwijzen. Zoals met alle wijzigingen in je wp-config.php is het belangrijk dat je het op een eigen regel plaatst boven:

/* That's all, stop editing! Happy blogging. */

Wil je een andere map als wp-content aanwijzen, gebruik dan:

define( 'WP_CONTENT_DIR', dirname(__FILE__) . '/content' );
define( 'WP_CONTENT_URL', 'https://voorbeeld.nl/content' );

De constante WP_CONTENT_DIR is voor het aanwijzen van de map op je hostingpakket. Het gedeelte dirname(__FILE__) vult het voorgaande deel van dat bestandspad aan op basis van de map waar de wp-config.php in staat. Je kunt het uiteraard ook invullen met het daadwerkelijke pad:

define( 'WP_CONTENT_DIR', '/home/deb12345/domains/voorbeeld.nl/public_html/content' );

De constante WP_CONTENT_URL is voor het aangeven waar die map extern te bereiken is. De inhoud van de map /public_html/ is via je domein te bereiken. Alles in het pad daarvoor is dus niet voor de URL-waarde van toepassing.

In principe zou je de map via WP_CONTENT_DIR ook buiten je /public_html/-map kunnen plaatsen en met WP_CONTENT_URL + wat magie in .htaccess die map wel extern bereikbaar kunnen maken. Dat gaat echter nóg weer een stap verder.

De plugins-map hernoemen

Het principe dat we voor de map /wp-content/ hebben doorlopen, kan ook voor de map /plugins/. Daar slaat WordPress plugins op die je installeert.

define( 'WP_PLUGIN_DIR', WP_CONTENT_DIR.'/funstuff' );
define( 'WP_PLUGIN_URL', WP_CONTENT_URL.'/funstuff' );

Wanneer je de map /wp-content/ ook heb hernoemd of verplaatst, dan kun je het bovenstaande gebruiken. Zorg er dan wel voor dat je deze regels onder die van de ‘wp-content’ zet. Je kunt ze uiteraard ook handmatig invullen, zonder de WP_CONTENT_DIR en WP_CONTENT_URL te gebruiken.

De uploads-map hernoemen

Voor de uploads-map werkt het net even wat anders, omdat deze altijd in de (al dan niet hernoemde) /wp-content/-map moet staan. Daarnaast moet het pad altijd absoluut zijn, bekeken vanaf de WP_SITE_URL:

# voorbeeld.nl/content/media > uploads-map
define( 'UPLOADS', 'content/media' );

Bij deze constante geef je dus eerst de mapnaam op van de (hernoemde) wp-content map en daarna die van de (hernoemde) uploads map.

De themes-map

Voor de themes-map is er geen hernoeming mogelijk, omdat die mapnaam als statisch in de WordPress core wordt gebruikt. Je kunt echter wel een eigen themes-map toevoegen (en die op een geheel andere plek zetten).

Deze functie kun je niet in de wp-config.php plaatsen, omdat de benodigde functie daar nog niet bestaat. Wat je wel kunt doen, is in je (hernoemde) /wp-content/-map de map ‘mu-plugins’ (staat voor ‘must use plugins’) aanmaken en daarin een .php-bestand (e.g. mu.php) met de volgende inhoud plaatsen:

<?php

register_theme_directory( 'mijn-themas' );

De functie register_theme_directory accepteert een geheel pad. Je kunt het gebruiken voor thema’s die onderdeel zijn van een plugin. Als je jouw nieuwe thema-map aan de (hernoemde) wp-content-map hebt toegevoegd, dan kun je ook alleen een mapnaam vermelden.

HTML comments verbergen

Er zijn veel plugins die zelf ook allerlei comments in de HTML toevoegen of heel duidelijk herkenbare CSS classes gebruiken. Commentaar in de HTML, maar ook in JavaScript of stylesheets, kan enerzijds bedoeld zijn als uitleg.  Dit commentaar van de plugin MonsterInsights is daar een voorbeeld van.

/* Compatibility with Cookie Notice */

Het kan echter ook worden ingezet als een manier om de naam van de plugin nog eens expliciet te benoemen. Dit gebeurt in het onderstaande voorbeeld bij de plugin WP Rocket.

<!-- This website is like a Rocket, isn't it? Performance optimized by WP Rocket. Learn more: https://wp-rocket.me - Debug: cached@1234567890 -->

Wat de reden van het commentaar ook is, het kan ervoor zorgen dat er alsnog makkelijk achterhaald wordt dat het een WordPress website betreft. Wat niet per se een probleem is, maar wel het ‘incognito gaan’ redelijk teniet doet 😉

Zaken als CSS classes zijn niet altijd te veranderen, maar HTML-commentaar kan vaak via de plugin zelf al worden uitgeschakeld. En zo niet, dan bestaan er over het algemeen wel plugins die dit voor je kunnen doen. Zo heb ik deze plugins gevonden.

• Remove Yoast SEO comments | Verwijdert HTML-commentaar dat door de Yoast SEO plugin wordt toegevoegd.
• VG Remove html comment | Verwijdert aanwezig HTML-commentaar in de broncode van je website (niet gebonden aan een specifieke plugin).

Voor veel caching plugins kun je instellen om dit commentaar niet te tonen. Bekijk dus vooral eerst of er niet al een mogelijkheid voor aanwezig is, voordat je er een nieuwe plugin voor gaat installeren. Een overdaad aan plugins, helpt je website namelijk vaak niet.

WordPress incognito met plugins

Als je liever de stappen van dit blog niet zelf doorloopt, dan is het wellicht fijn om te weten dat er ook plugins zijn die het helemaal uit handen nemen. Het lijstje hieronder is slechts een greep uit de plugins die je kunt gebruiken. Via Plugins op WordPress.org kun je er meer vinden.

• WP Hide & Security Enhancer
• Hide My WP Ghost – Security Plugin
• Hide login page, Hide wp admin

Persoonlijk vind ik de plugin WP Hide & Security Enhancer mooi uitgebreid en makkelijk in te stellen per type wijziging. De handmatige wijzigingen die in dit artikel staan beschreven, kun je allemaal via deze ene plugin regelen. En meer!

WordPress community
Wil jij graag WordPress incognito gebruiken, maar regel je dat liever niet zelf? Door de grootte van de WordPress community zit er vast ook een WordPress webbouwer bij jou in de buurt die je kan helpen!

Veel succes!

Zoals je leest, is wat extra veiligheid voor je WordPress website nooit verkeerd. Er is meer mogelijk dan alleen een WordPress security plugin als Wordfence installeren. Je kunt je website statisch maken of incognito gaan en verbergen dat je WordPress gebruikt. Wat je ook kiest, ik hoop dat je wat aan deze tips hebt gehad en wens je veel succes!

P.S. Blijf op de hoogte en volg ons via Facebook, X, Instagram, e-mail en RSS. Heb je vragen, tips of opmerkingen? Laat het achter als reactie. Vond je het artikel nuttig? Deel het dan met anderen!