WordPress is het meest gebruikte Content Management Systeem (CMS) ter wereld. Door zijn grote populariteit is het ook ontzettend interessant voor hackers. Het .htaccess bestand is (in 99% van de gevallen) een belangrijk bestand van WordPress. Het .htaccess bestand regelt namelijk het herschrijven van de URL’s zodat iedere pagina goed bereikbaar is voor je bezoekers. Maar met het .htaccess bestand kan je je WordPress installatie ook wat veiliger maken. Wij geven je een paar tips om WordPress veiliger te maken met .htaccess.
Belangrijk: back-up je originele .htaccess bestand
Voordat je verder gaat moet je eerst het originele .htaccess bestand vinden op je server. Je maakt hiervoor gebruik van FTP om in te loggen bij je hostingprovider. Je FTP gegevens heb je ontvangen van je hostingprovider of kan je via het hosting-panel opvragen.
Het .htaccess bestand vind je in de root van je hosting. Vaak heet die map /public_html/, maar deze map kan ook een andere naam hebben.
Heb je het bestand gevonden? Maak er dan een back-up van. Dit doe je door het .htaccess bestand te kopiëren naar je computer. Nu kunnen we veilig verder gaan.
1. Bescherm je .htaccess bestand
Doormiddel van het .htaccess bestand kunnen hackers invloed uitoefenen op je website. Daarom is het belangrijk om dit bestand ook goed te beveiligen. Dat kan bijvoorbeeld door de bestandsrechten op CHMOD 444 te zetten. Zegt je dit niets? Raadpleeg dan even je hostingprovider.
Daarnaast kan je het .htaccess bestand zelf beschermen door er een klein stukje code in te plaatsen. Knip en plak de volgende code bovenaan in je .htaccess bestand:
<files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
2. Beveilig je WP-config.php
In de wp-config.php zitten alle belangrijke configuratie instellingen van WordPress. Het wp-config bestand bevat o.a. je database gegevens. Zonder deze gegevens kan WordPress niet werken. Het is daarom belangrijk om je wp-config.php voldoende te beveiligen. Dat doe je door de volgende code in je .htaccess bestand te plaatsen:
<files wp-config.php> order allow,deny deny from all </files>
3. Beveilig je /wp-content/ map
In de /wp-content/ map zitten bestanden van je thema en je plugins, maar ook uploads. Dit is voor hackers vaak de meest interessante plek. Je kan de /wp-content/ map beveiligen door nog maar een paar bestandstypen bereikbaar te maken van buitenaf.
Let op: pas dit voorzichtig toe, want SOMMIGE plugins kunnen hierdoor conflicten door gaan veroorzaken.
- Maak een nieuw bestand aan en noem het .htaccess (vergeet niet de PUNT (.) voor htaccess)
- Knip en plak onderstaande code in dit nieuwe bestand
- Upload het bestand naar de map www.jouwwebsite.nl/wp-content/.
Order deny,allow Deny from all # Voeg extensies toe, bijvoorbeeld doc voor Word documenten. # Vergeet niet de pipeline | tussen de extensies te zeten. <Files ~ ".(xml|css|jpe?g|png|gif|js|pdf)$"> Allow from all </Files>
Met bovenstaande code zorg je er voor dat alleen XML, CSS, JPG, JPEG, PNG, GIF, PDF en Javascript bestanden toegestaan zijn. Mis je een bestandstype (bijv. Word), voeg deze dan toe.
4. Beperk toegang tot de WP-admin
Het beveiligen van je WP-admin is erg belangrijk. Daarom besteden we er ook regelmatig aandacht aan in onze blogs. Ook de WP-admin kan je beveiligen met een eigen .htaccess bestand. Met onderstaand .htaccess bestand gaan we de toegang tot de WP-admin beperken tot een aantal IP-adressen. Is het IP adres niet bekend dan heb je geen toegang.
Wat moet je doen:
- Maak een nieuw bestand aan en noem het .htaccess.
- Knip en plak onderstaande code in het bestand
- Upload het bestand naar de map www.jouwwebsite.nl/wp-admin/
<Limit GET POST PUT> order deny,allow deny from all allow from 255.255.255.255 </Limit>
Vergeet niet om 255.255.255.255 te veranderen in je eigen IP adres. Ga naar What is my IP om je eigen IP adres te vinden. Heb je meerdere beheerders of werk je vanuit meerdere locaties?
allow from 255.255.255.253, 255.255.255.254, 255.255.255.255
Voeg dan meerdere IP adressen toe met komma’s zoals je hierboven ziet.
Tip van Anita: Op https://nl.vpnmentor.com/hulpmiddelen/ipinfo/ kan je ook je IP-adres vinden, maar dan zonder reclame.
5. Blokkeer hackers van je website
Wil je iemand specifiek blokkeren? Bijvoorbeeld omdat je regelmatig SPAM reacties krijgt vanuit dat IP adres of omdat je verdachte pogingen ziet in je LOG files? Gebruik dan onderstaande code in je .htaccess bestand om het IP adres van die bezoeker helemaal te blokkeren. Zorg er wel voor dat je niet je klanten blokkeert, maar alleen IP adressen waar je zeker van bent dat ze kwade bedoelingen hebben. Plaats deze code in je root .htaccess bestand:
<Limit GET POST> order allow,deny deny from 255.255.255.255 allow from all </Limit>
Vergeet niet om 255.255.255.255 te wijzigen in het IP adres van de bezoeker die je wilt blokkeren.
6. Blokkeer Directory Browsing
Directory Browsing wordt gebruikt door hackers om er achter te komen welke mappen en bestanden op je hostingserver staan. Het is daarom een groot veiligheidsrisico. Plaats onderstaande code in je .htaccess bestand om directory browsing uit te schakelen.
# disable directory browsing Options All -Indexes
7. Blokkeer PHP bestanden van directe toegang
Soms worden WordPress gehackt door het plaatsen van zogenaamde backdoor bestanden. Er wordt een “achterdeurtje” geplaatst op je server waardoor hackers makkelijk weer binnen komen. Deze bestanden worden vaak verstopt tussen normale WordPress bestanden in de /wp-content/uploads/ of /wp-includes/ mappen. Door een .htaccess bestand in die mappen te plaatsen dat voorkomt dat PHP bestanden van buiten uitgevoerd kunnen worden, maak je je website een stuk veiliger.
Wat moet je doen:
- Maak een nieuw .htaccess bestand aan
- Plaats onderstaande code in het .htaccess bestand
- Upload het .htaccess bestand naar /wp-content/uploads/ en /wp-includes/ mappen.
<Files *.php> deny from all </Files>
Op deze manier maak je het hackers een stuk moeilijker.
Zorg dat je WordPress website veilig is
Met bovenstaande tips kan je je WordPress website een stuk veiliger maken. Daarnaast is het natuurlijk erg belangrijk dat je zorgt dat zowel WordPress als je plugins up-to-date zijn. Vaak zijn slecht onderhouden installaties de reden dat hackers binnen komen. Wil je advies? We helpen je graag.
Heb je nog handige tips voor het .htaccess bestand? Laat het ons weten in een reactie.
Anthony
Wat een supergoede tips! Hartelijk dank.
Groetjes,
Anthony
Bart
Hoi Anthony,
Fijn te horen! Is het gelukt om ze allemaal toe te passen op je eigen site?
Groetjes,
Bart
Anthony
Hallo Bart,
Het is gelukt! Ik ben bijzonder blij met jouw tips. Je staat bij mijn WordPress favorieten.
Ik wens je heel veel succes toe met je mooie werk.
Groetjes,
Anthony
andre
Bedankt voor de tips.
Is het mogelijk om met één htaccess bestand de include mappen te beschermen?
Nu moet je voor iedere map in de include folder een htaccess bestand maken.
Ik hoor het graag.
Bart
In principe kan je een htaccess maken die over de hele installatie werkt, maar dat hangt ook weer van je hostingomgeving af. Helaas is dit zo’n specifieke vraag dat ik ‘m niet echt via een reactie kan beantwoorden.
Als je ons een mailtje stuurt kunnen we samen kijken naar de mogelijkheden voor jouw installatie.
Groetjes,
Bart
SVD
Hallo,
Waarom gebruik je bij punt 4 limit en niet files? Is files geen grondigere block?
Bart
Hi,
We geven in het artikel verschillende mogelijkheden die goed werken om je WP-admin te beveiligen. Er zijn natuurlijk meerdere mogelijkheden. Alles is natuurlijk ook een beetje afhankelijk van het type hosting, je WP omgeving etc.
Groetjes,
Bart