Geplaatst op

Cloudflare instellen op je domein

Cloudflare blog boek

In deze blog gaan we het hebben over Cloudflare, wat is Cloudflare en wat kun je er precies mee, hoe populair is het, en wat zijn de voordelen ten opzichte van de nadelen? Daarnaast gaan we je ook laten zien hoe je Cloudflare kunt instellen op je domein en hoe je Cloudflare kunt gebruiken. Tot slot laten we je ook nog zien hoe je bepaalde features kunt instellen. We hopen dat je na het lezen van deze blog zelf in staat bent om je domein te verbinden met Cloudflare en bepaalde features toe te passen. Laten we beginnen met het begin, en erachter komen wat Cloudflare precies is en wat het doet en waar het voor gebruikt wordt.

Cloudflare: Wat is het precies?

Cloudflare is een Content Delivery Network (CDN) en kun je het beste zien als een soort laag dat tussen je server en het browser zit. Cloudflare is opgericht in 2009 door Lee Holloway, Michelle Zatlyn & Matthew Prince. Het netwerk van Cloudflare is enorm. Zo beschikt het over verschillende servers verspreid over 93 landen. Cloudflare is het bekendst om zijn firewall en gegevenscachingservers. Een firewall is een apparaat dat internet adressen (IP-adressen) observeert. Bij verdacht-afwijkend gedrag kan de firewall ervoor zorgen het IP-adres te blokkeren, waarna de toegang tot de website ontnomen zal worden.

Gegevenscaching in Cloudflare

Naast de firewall beschik je met Cloudflare ook over gegevenscaching. Met het gebruik van de gegevenscaching feature wordt er een realtime kopie opgeslagen op de server die aangeroepen wordt op het moment dat iemand je website wil bezoeken. Ook hebben we verteld dat Cloudflare verschillende servers heeft verspreid over 93 landen. Dit heeft als voordeel dat Cloudflare je een caching copy verstuurd vanaf de dichtstbijzijnde server, waardoor je website nog sneller zal laden.

Cloudflare: Wat kun je er nog meer mee?

Nu we weten waar Cloudflare hoofdzakelijk voor gebruikt wordt, kunnen we iets inhoudelijker op de verschillende features ingaan van Cloudflare, want er is nog veel meer dat je moet weten! Naast dat Cloudflare gegevenscaching toepast en je website- domeinnaam beveiligd door middel van een firewall, is Cloudflare ook een DNS-service, Caching server, de uitgever van je SSL-certificaat en nog veel meer! Laten we starten met het instellen van Cloudflare op je domein.

Cloudflare instellen op je domein

Om je domein in te kunnen stellen op Cloudflare maken we eerst een account aan. Je kunt kiezen voor een gratis of betaald account. Om met Cloudflare te kunnen starten is een gratis account voldoende. Omdat Cloudflare werkt op basis van DNS, is het noodzakelijk de nameservers te wijzigen naar Cloudflare. Dit betekend dan ook dat de DNS-instellingen die normaliter doet via jouw registrar, vanaf het moment dat de nameservers gewijzigd zijn alleen nog maar bij Cloudflare doorgevoerd worden. Gebruik jij je domeinnaam al bij je huidige registrar, en heb je al DNS-records hier ingesteld? Dan neem Cloudflare deze records in bijna alle gevallen over, het is wel noodzakelijk om beide DNS-zones te vergelijken en eventueel aan te passen waar nodig.

Belangrijk! Nadat je straks de domeinnaam aan Cloudflare hebt gekoppeld en je jouw DNS op laat halen let dan even goed op de huidige proxy status. Omdat Cloudflare de mogelijkheid bied je originele server IP-adres te maskeren, kun je het beste al je records via de proxy laten verlopen.

Laten we Cloudflare instellen op je domein

We zullen nu eerst een Cloudflare account aanmaken, en onze domeinnaam toevoegen aan Cloudflare:

  1. Ga naar cloudflare.com en klik op ‘Aanmelden’.
  2. Vul je gegevens in als het e-mailadres en bedenk een goed wachtwoord en klik op ‘Create account’.
  3. Als het goed is, wordt je hierna direct doorgestuurd naar het Cloudflare dashboard en kun je jouw eerste domeinnaam toevoegen.
  4. Vul je domeinnaam in en klik op ‘Add site’.
  5. Nu kom je op het scherm waar je het abonnement kunt kiezen. Het gratis plan vind je onderaan de pagina. Maak een keuze en klik op ‘Continue’.
  6. Nadat je verder hebt geklikt zullen al je huidige DNS-records ingeladen worden (waar mogelijk). Controleer deze DNS-records goed met je huidige DNS-zonefile.
  7. Nadat je alle DNS-records hebt gecontroleerd kun je klikken op ‘Continue’.
  8. Nu zul je op het scherm uitkomen waar er van je wordt gevraagd de nameservers te wijzigen bij je registrar. Doe dit en wijzig de nameservers die worden weergegeven bij punt vier in het desbetreffende venster. Nadat je beide nameservers hebt doorgevoerd klik je op ‘Done, check nameservers’.
  9. Nadat we op de knop ‘Done, check nameservers’ hebben geklikt opent er een Quick Start Guide. Om deze wizard te starten klikken we op ‘Get started’. Volg de drie stappen. Alle drie de stappen staan hieronder gespecificeerd. Na het afronden van deze wizard is je domein goed ingesteld op Cloudflare. Het is nu enkel afwachten tot je nameservers gaan resolven naar Cloudflare. Het kan tot 24 uur duren voordat de wijzigingen met betrekking tot de nameservers ook daadwerkelijk zichtbaar zijn.

Uitleg Quick Start Guide

Bij stap 9 hierboven zijn we aangekomen bij het doorlopen van een Quick Start Guide. Met deze wizard doorloop je in vogelvlucht belangrijke configuratie. Je kunt er ook voor kiezen deze wizard later uit te voeren. We zullen nu per punt dat je tegenkomt in deze wizard uitleg geven:

Improve security

Bij stap 1 kun je de keuze maken of je al het verkeer wilt afdwingen om via HTTPS te laten verlopen. We adviseren deze functie inderdaad te gebruiken. Ook kun je het schuifje zetten op ‘Always use HTTPS’.

Optimize performance

Bij stap wordt er gevraagd of je ook bestanden- en scripts automatisch wilt laten verkleinen en samenvoegen. Zoals eerder besproken hangt dit af van het feit of er al bestanden zijn verkleind en samengevoegd door middel van een optimalisatie plugin. Zo ja, dan laat je deze optie bij Cloudflare verder met rust. Ook staat de functie ‘Brotli’ automatisch aan. Deze mag je aan laten staan en zorgt voor extra bestandscompressie.

Summary

De laatste stap in deze wizard. Eigenlijks is het geen stap maar meer een controle van opgegeven configuratie. Na het afronden van deze stap is je domein volledig verbonden met Cloudflare!

SSL-certificaat aanvragen

Nu je domeinnaam ingesteld staat op Cloudflare, hoef je geen SSL-certificaat meer aan te vragen. Dit wordt al automatisch door Cloudflare verzorgt. Mocht je problemen ervaren met je beveiligde verbinding, zoals het te vaak omleiden, dan zou je nog even bij de instellingen van SSL/TLS. Je kunt hier de verbinding het best op ‘Full’ zetten.

De Cloudflare cache functie

Zoals we eerder hebben besproken cached Cloudflare ook je website, wat wil zeggen dat Cloudflare een kopie van je webpagina’s opslaat op hun servers. Hierdoor zullen de webpagina’s sneller laden, dan wanneer er geen gebruik gemaakt wordt van caching. Echter, wanneer je wijzigingen aanbrengt aan je webpagina, door bijvoorbeeld een tekst aan te passen, dienen we na het opslaan van de pagina, ook nog even de pagina cache te verwijderen van de website. Normaal doe je dit al via het dashboard met een caching plugin. Ditzelfde geldt nu ook voor Cloudflare, aangezien Cloudflare ook je website cached. Je kunt de cache in Cloudflare legen door hier in te loggen en te gaan naar ‘Caching’ > ‘Configuration’ en hier te klikken op ‘Purge Everything’.

TIP! Ben je bezig met het ontwikkelen van je website, en komt de cache functie van Cloudflare even niet goed uit? Dan kun je er ook voor kiezen om op de ‘Configuration’ pagina de ‘Development mode’ te activeren.

Cloudflare cache automatisch legen met API

Wist je dat je ook automatisch je Cloudflare cache kan laten legen bij het legen van je eigen website cache? Hiervoor kun je de plugin WP Fastest Cache gebruiken. Met deze plugin kun je een API-koppeling leggen tussen je WordPress website en Cloudflare. Hierdoor hoef je niet elke keer op Cloudflare in te loggen om de cache te legen. Hoe je deze koppeling precies legt lees je in het blog ‘WordPress website optimaliseren’.

Domeinnaam doorsturen met HTTPS

Nog een handige feature van Cloudflare is dat je ook je domeinnaam kunt doorsturen via HTTPS. Het grote voordeel hiervan is dat je niet een speciaal hostingpakket hoeft aan te schaffen, hierop een SSL-certificaat installeert en de domeinnaam vervolgens doorstuurt middels een 301 redirect. Het toevoegen van je domeinnaam in Cloudflare is voldoende! Het doorsturen kun je instellen bij de optie ‘Filters’. We gaan nu laten zien hoe je een domeinnaam kunt doorsturen in Cloudflare:

  1. Login op je Cloudflare account
  2. Voeg de domeinnaam toe aan je Cloudflare account.
  3. Nadat je het domeinnaam toegevoegd hebt op je Cloudflare account klikken we links op de zijbalk op ‘Rules’.
  4. Er zal een nieuwe pagina openen, druk hier op de knop ‘Create Page Rule’.
  5. Je kunt nu de redirects instellen. Hieronder zullen we een kleine toelichting geven op wat je precies moet instellen.

Toelichting: Rules aanmaken

Nadat wij op ‘Create Page Rule’ hebben gedrukt opent zich er een venster waar we de regels kunnen instellen voor het doorsturen. Voor het doorsturen van 1 domein binnen Cloudflare maken wij 2 verschillende rules aan. Zo maken we eerst één rule aan voor met WWW. En de tweede rule die we gaan instellen is zonder WWW. Tevens zetten we achter beide domeinnamen die we willen doorsturen een forward slash gevolgd door een sterretje [/*]. Dit zorgt ervoor dat wanneer men de door te sturen domeinnaam intypt en achter de domeinnaam bijvoorbeeld /contact neerzet, deze automatisch doorgestuurd wordt naar het hoofddomein. Dit noemen ze ook wel Wildcard.Bij de destination URL vul je altijd de gehele domeinnaam in, dus ook https:// en www indien gewenst.

Je kunt de volgende gegevens invullen voor het doorsturen met WWW:

If the URL matches: www.voorbeelddoorgestuurddomein.nl/*
Then the settings are: Forwarding URL
Select status code: 301 Redirect
Enter destination URL: https://www.urlwaarnaardoorgestuurdwordt.nl

Je kunt de volgende gegevens invullen voor het doorsturen zonder WWW:

If the URL matches: voorbeelddoorgestuurddomein.nl/*
Then the settings are: Forwarding URL
Select status code: 301 Redirect
Enter destination URL: https://www.urlwaarnaardoorgestuurdwordt.nl

Domeinnaam forceren naar HTTPS/WWW

Ook is het mogelijk om verschillende 301 redirects in te stellen naar HTTPS/WWW. Dit heeft als voordeel dat je website nog sneller opkomt. Dit komt omdat er achter de schermen geen koppeling meer gemaakt hoeft te worden, omdat dit al is gebeurt met het instellen van de 301 redirects. Om dit in te stellen voer je de onderstaande stappen uit:

  1. Login op je Cloudflare account
  2. Voeg de domeinnaam toe aan je Cloudflare account.
  3. Nadat je het domeinnaam toegevoegd hebt op je Cloudflare account klikken we links op de zijbalk op ‘Rules’.
  4. Er zal een nieuwe pagina openen, druk hier op de knop ‘Create Page Rule’.
  5. Je kunt nu de redirects instellen. Hieronder zullen we een kleine toelichting geven op wat je precies moet instellen.

Toelichting: 301 redirects instellen

Nadat wij op ‘Create Page Rule’ hebben gedrukt opent zich er een venster waar we de regels kunnen instellen voor de redirects.In dit voorbeeld willen we ervoor zorgen dat als wanneer men http://www of http:// intypen, deze automatisch geredirect worden naar het voorvoegsel waar je ook je website op hebt ingesteld. Door dit in te stellen, zul je meer laadtijd besparen. In dit geval gaan wij drie regels instellen. Dit is ook gelijk het maximaal aantal regels dat je met een gratis Cloudflare account mag instellen.

Je kunt de volgende gegevens invullen voor het doorsturen vanaf http://www > https://www.

If the URL matches: http://www.voorbeelddoorgestuurddomein.nl/*
Then the settings are: Forwarding URL
Select status code: 301 Redirect
Enter destination URL: https://www.voorbeelddoorgestuurddomein.nl/$1

Je kunt de volgende gegevens invullen voor het doorsturen vanaf https:// > https://www.

If the URL matches: https://voorbeelddoorgestuurddomein.nl/*
Then the settings are: Forwarding URL
Select status code: 301 Redirect
Enter destination URL: https://www.voorbeelddoorgestuurddomein.nl/$1

Je kunt de volgende gegevens invullen voor het doorsturen vanaf http:// > https://www

If the URL matches: http://voorbeelddoorgestuurddomein.nl/*
Then the settings are: Forwarding URL
Select status code: 301 Redirect
Enter destination URL: https://www.voorbeelddoorgestuurddomein.nl/$1

Uitgelicht: Tevens zie je achter de eerste URL een ‘/*’ staan en bij de destination URL ‘$1’. Dit zorgt ervoor dat wanneer men de door te sturen domeinnaam intypt en achter de domeinnaam bijvoorbeeld /contact neerzet, deze automatisch doorgestuurd wordt naar het hoofddomein. Dit noemen ze ook wel Wildcard.

Geplaatst op

WordPress website beter beveiligen

WordPress beter beveiligen

Wat kun je doen om jouw WordPress website beter te beveiligen? We leggen het je graag in deze blog uit. Zoals al wellicht bekend is, willen we zo min mogelijk gebruik maken van plugins, dit omdat des te meer plugins je gebruikt op je website, des te langzamer je website zal functioneren. We proberen in deze blog zo veel mogelijke handmatige methodes te bespreken voor het veiliger maken van jouw website. Ook besteden we aandacht aan enkele goede beveiligings- plugins die eigenlijks onmisbaar zijn voor betere beveiliging.

Waarom zouden ze mij hacken?

Veel mensen denken vaak onterecht dat enkel grote bekende websites met veel verkeer worden gehackt. Helaas is dit niet waar. Echter is de kans bij een kleine website met weinig verkeer even veel kans om gehackt te worden. Het doel van een hack kan zijn om veel spam te versturen via jouw server. Het nadeel hiervan is dat Google, Bing of andere serviceproviders je op een blacklist kunnen plaatsen. Hierdoor komen jouw e-mails veel sneller in de spamfolder terecht. Om zoiets weer te herstellen, kan een hele lange tijd overheen gaan.

Hoe kunnen ze mij hacken?

We hebben een overzicht gemaakt van de meest voorkomende methodes van verschillende hacks. In WordPress is het als volgt verdeeld:

  • 41% van de hacks heeft iets te maken van de hosting van jouw WordPress website.
  • 29% van de hacks komt voort uit onveilige of verouderde thema’s.
  • 22% van de hacks hebben te maken met onveilige of verouderde plugins.
  • 8% van de hacks zijn te wijten aan het gebruik van onveilige wachtwoorden.

Zorg allereerst voor een veilige omgeving

Voor we überhaupt inloggen op WordPress is het van groot belang dat we dit doen vanuit een veilige omgeving. Zorg allereerst dat de computer waarvan je inlogt virusvrij is. Scan de gehele computer op virussen en mal en spyware. Ook is het af te raden om in te loggen op je WordPress website als je computer verbonden is met een onbeveiligd WiFi netwerk.

Tip! Mocht je wachtwoorden moeten verzenden naar bijvoorbeeld je webbouwer, dan kun je deze het beste verzenden via de ouderwetse SMS. Wachtwoorden verzenden per e-mail wordt afgeraden.

1. Wachtwoorden optimaliseren

Wellicht is de eerste logische stap om je huidige wachtwoorden na te kijken. Zo wordt geadviseerd om jouw wachtwoord minimaal een keer te gebruiken. Want als bijvoorbeeld jouw WordPress wachtwoord achterhaald zou worden, zouden kwaadwillenden ook dit wachtwoord kunnen proberen op andere platformen / websites waar je dit wachtwoord ook gebruikt. Gebruik bij voorkeur een wachtwoord generator. Een wachtwoord generator genereert een uniek en moeilijk te kraken wachtwoord. Check naast je WordPress wachtwoord ook het wachtwoord van je FTP-toegang, en je MySQL database.

WordPress wachtwoord wijzigen via het dashboard

Om je WordPress wachtwoord te wijzigen volg je de onderstaande stappen:

  1. Login op het WordPress dashboard. Dit doe je door je domeinnaam in te vullen gevolgd door /wp-admin.
  2. Klik op de linkerkant op ‘Gebruikers’ en klik onder de gebruiker op ‘Bewerken’.
  3. Onderaan op de pagina, tref je ‘Nieuw wachtwoord instellen’ aan, hier klikken we op.
  4. Er wordt nu als het goed is, automatisch een sterk wachtwoord gegenereerd. Deze kun je behouden of aanpassen.
  5. Na het behouden of invoeren van het nieuwe wachtwoord scrol je helemaal naar onder op de pagina en klik je op ‘Update profiel’.

WordPress wachtwoord wijzigen indien vergeten

Het kan ook voorkomen dat je überhaupt WordPress niet meer in komt. Om toch in te kunnen loggen dienen we eerst het wachtwoord te wijzigen. Dit gaat ook via de inlogpagina. Hoe dit precies werkt leggen we hieronder uit.

  1. Ga naar de inlogpagina van jouw WordPress website. Dit doe je door je domeinnaam in te vullen gevolgd door /wp-admin.
  2. Onder het inlogveld zien we ‘Wachtwoord vergeten?’ staan. Hier klikken we op.
  3. Je kunt nu het administratie e-mailadres of gebruikersnaam invoeren, waarna je per e-mail een wachtwoord reset link toegestuurd krijgt en het wachtwoord kunt aanpassen.

Geen WordPress wachtwoord reset ontvangen per e-mail?

Ook kan het zijn dat je geen automatische e-mail terug hebt gekregen van WordPress bij het aanvragen van een nieuw wachtwoord. In dit geval is er ook nog een mogelijkheid het wachtwoord aan te passen via de database. Echter is dit wel een stuk lastiger. Mocht je hier hulp bij willen ontvangen, dan staan we altijd voor je klaar hierbij te helpen. Om het WordPress wachtwoord te resetten via de database volg je de onderstaande stappen.

  1. Allereerst moeten we inloggen op de database. Dit gaat bij vele hostingproviders via het control panel zoals Plesk, cPanel of DirectAdmin.
  2. Eenmaal ingelogd op de database klikken we links in het menu op de database naam (de link boven of onder ‘information_schema’).
  3. Vervolgens klikken we links in het net uitgeklapte menu op de tabel ‘wp_users’.
  4. Aan de rechterkant zien we nu alle gebruikers staan. Hier klikken we bij de desbetreffende gebruiker op ‘Edit’.
  5. Bij ‘user_pass’ in het veld rechts, kunnen we nu het wachtwoord invoeren.
  6. Selecteer in het dropdown menu achter ‘varchar (255)’ nu ‘MD5’.
  7. Om het nieuwe wachtwoord door te voeren, klikken we op ‘Go’ helemaal onderaan de pagina.

Database wachtwoord wijzigen via het control panel (Stap 1)

Eerder gaven we ook al aan om ook het WordPress database te wijzigen. Dit wachtwoord kun je zo uitgebreid mogelijk maken, aangezien we dit wachtwoord nooit ergens hoeven in te voeren. Het wijzigen van het WordPress database wachtwoord bestaat uit twee stappen. Zo dient het database wachtwoord aangepast te worden in bijvoorbeeld het control panel, maar ook dient deze aangepast te worden in het wp-config.php bestand. Als we dit wachtwoord enkel wijzigen in het control panel en niet goed doorvoeren dan zal jouw WordPress website de volgende melding geven ‘Error establishing a database connection’. Door de onderstaande stappen te volgen wijzigen we eerst het database wachtwoord via het control panel.

Klik hier om te zien hoe je het database wachtwoord wijzigt in Plesk

Klik hier om te zien hoe je het database wachtwoord wijzigt in cPanel

Klik hier om te zien hoe je het database wachtwoord wijzigt in DirectAdmin

Dit zijn de meest bekende control panels die bekend zijn. Het kan echter ook voorkomen dat jouw hostingprovider een eigen control panel aanbied. Hiervoor zou je op de website van de desbetreffende hosting provider kunnen kijken voor verdere instructies. Teven is het ook mogelijk het database wachtwoord te wijzigen via phpMyAdmin.

Database wachtwoord doorvoeren in het wp-config.php bestand (Stap 2)

Nadat we het wachtwoord aangepast hebben via het controlpanel of phpMyAdmin, dienen we dit wachtwoord nog door te voeren in het wp-config.php bestand. Dit bestand zorgt ervoor dat jouw WordPress website verbonden kan worden met de desbetreffende database. We vervangen in dit bestand het oude wachtwoord met het net aangemaakte wachtwoord (stap 1). Het wijzigen van dit bestand gaat als volgt:

  1. Log via de filemanager of via FTP in op jouw webserver en ga naar de rootfolder van jouw WordPress installatie.
  2. In de rootfolder tref je het wp-config.php bestand aan. Open dit bestand met een daarvoor bestemde editor als bijvoorbeeld Notepad++ of het standaard kladblok dat je kan vinden in Windows. (Gebruik hiervoor geen Wordpad, of Word bijvoorbeeld).
  3. Ga hier op zoek naar de volgende regel: /** MySQL database password */, op de regel hieronder kun je dan het nieuwe wachtwoord opgeven. Tussen de aanhalingstekens na: define( ‘DB_PASSWORD’ , ‘Hier kun je het nieuwe wachtwoord plaatsen’ );.
  4. Sla vervolgens het bestand op en test of de wijziging goed is doorgevoerd.

Als het goed is dan moet de verbinding tussen de database en je WordPress website hersteld zijn. Door het wachtwoord gewijzigd te hebben in een sterk wachtwoord, maken we het eventueel kwaadwillenden ook een stuk lastiger om bijvoorbeeld in te breken op de database.

Wachtwoord van de FTP-omgeving wijzigen

Ook hebben we eerder besproken dat het ook aan te raden is het wachtwoord van je FTP-omgeving te wijzigen. Als men toegang heeft tot jouw FTP-omgeving, kan men ook kwaadaardige randsomeware plaatsen op jouw website of webserver. Bovendien kan men ook via FTP het wachtwoord opvragen van de database en tot slot ook de domeinnaam doorsturen naar bijvoorbeeld een malafide website. Dit willen we uiteraard voorkomen. Ook voor het FTP-wachtwoord geldt natuurlijk dat we een zo sterk mogelijk wachtwoord genereren. Het wachtwoord wijzigen van jou FTP-gegevens gaat als volgt:

Klik hier voor de instructies met betrekking tot het wijzigen van het FTP-wachtwoord in Plesk

Klik hier voor de instructies met betrekking tot het wijzigen van het FTP-wachtwoord in cPanel

Klik hier voor de instructies met betrekking tot het wijzigen van het FTP-wachtwoord in DirectAdmin.

2. Het wp-config.php bestand beveiligen en encrypten

Het wp-config.php bestand is het bestand dat zorgt voor de koppeling tussen jouw WordPress website en de database. In dit bestand staat gevoelige informatie zoals het database wachtwoord. Het is daarom van belang dit bestand goed te beveiligen. Hiervoor kun je de onderstaande stappen uitvoeren.

Het wp-config.php bestand enkel toegankelijk maken vanaf een specifiek IP-adres

Het is aan te raden om enkel via jouw eigen IP-adres toegang te verlenen tot het openen en bewerken van jouw wp-config.php bestand. Hiervoor kun je een speciaal .htaccess bestand aanmaken en hierin enkel jouw huidige uitgaande IP-adres in op te nemen. Zo voorkom je dat buitenstaander het bestand kunnen openen of bewerken. Tevens geef je het wp-config.php bestand de bestandsrechten 600 mee. Dit wordt ook vanuit WordPress geadviseerd. Allereerst zullen we het .htaccess bestand moeten beveiligen. Dit doe je door in je huidige .htaccess de volgende code te zetten:

<Files .htaccess>
order allow,deny
deny from all
</Files>

Nu het .htaccess bestand beveiligd is, kunnen we het wp-config.php bestand beveiligen. Dit doe je door een nieuw .htaccess bestand aan te maken in de map ‘/wp-admin’ . In dit .htaccess bestand zet je de onderstaande code. Vervang uiteraard het IP-adres met jouw eigen IP-adres. Jouw IP-adres kun je hier opvragen.

order deny,allow
allow from 123.456.7.8
deny from all

Keys & Salts encryptie verbeteren van het wp-config.php bestand

Tot slot kunnen we in het wp-config.php bestand nog de keys & salts aantreffen. Voor deze key’s kunnen we een uniek code aanmaken om de encryptie te verbeteren. Hieronder zie je de standaard Key’s & Salts weergegeven. Om hiervoor een unieke code voor te maken, kun je de keys & salts generator van WordPress gebruiken.

 
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');

3. Two Step Authentication inschakelen voor WordPress

Wellicht heb je wel eens gehoord van Two Step Authentication, ook wel 2FA genoemd. Hiermee kun je een beveiligde verificatie instellen. Hierbij wordt er bij het inloggen een SMS verstuurd naar je smartphone. Na het invoeren van het wachtwoord zul je ook de verificatie moeten invoeren bij het inloggen. Erg veilig!

We maken zelf gebruik van Rublon. Dit is een betaalde dienst, echter bieden ze ook een gratis account aan voor maximaal 1 website. We zullen hier binnenkort een heel blog aan toewijden. Houd daarom onze website goed in de gaten.

4. De juiste bestandsrechten instellen

Wellicht heb je wel eens gehoord van bestandsrechten. Met deze bestandsrechten kun je de permissies toewijzen aan elke soort gebruiker. We kennen drie soorten gebruikers ‘Eigenaar, Groep & Openbaar’. Deze kunnen met de opgelegde permissies ‘Lezen, Schrijven of Uitvoeren’. Het is daarom van groot belang dat deze bestandsrechten goed staan. Zet nooit zomaar je bestandsrechten op 777. We hebben een overzicht voor je gemaakt welke bestandsrechten er ingesteld moeten worden.

  • Mappen en directories: 755 of 750
  • Bestanden: 644 of 640
  • Het wp-config.php bestand kun je het beste op 600 zetten

5. WordPress updates uitvoeren

Net als bij computers en telefoons zijn het uitvoeren van updates van essentieel belang. Updates kunnen beveiliging fixes bevatten. Het updaten geldt niet alleen voor het WordPress systeem zelf, maar ook voor je plugins en thema’s. Als je deze updates niet geregeld bijhoud wordt jouw WordPress website steeds kwetsbaarder. Zo kan er bijvoorbeeld een lek zitten in een oud thema die al tijden niet geüpdatet is, terwijl de ontwikkelaar deze lek gevonden heeft, en het bij een update al hersteld heeft. Zolang het thema niet over de laatste updates beschikt, blijft dit lek actief en is er dus een ingang voor kwaadwilligen om bijvoorbeeld een aanval in te zetten op jouw WordPress website.

Automatische WordPress updates

Je kunt ervoor kiezen alle updates binnen WordPress automatisch te laten verlopen. Dit kan erg handig zijn als je meerdere websites hebt die onderhouden moeten worden. Ook kleeft hier een nadeel aan. Zo kan het zijn dat er bij een grote WordPress core update jouw gehele website kan crashen. Dit kan erg frustrerend zijn als je geen back-up hebt of dat het met meerdere websites tegelijk gebeurt. Dit omdat WordPress op hetzelfde moment updatet als er een nieuwe update beschikbaar is. Wil je weten hoe je kunt checken hoe je de automatische updates in en uit kunt schakelen, lees dan even dit artikel.

WordPress updates uitvoeren.

De benodigde WordPress updates uitvoeren gaat vrij eenvoudig. Hiervoor kun je de volgende stappen in acht nemen:

    1. Login op het WordPress dashboard. Dit doe je door je domeinnaam in te vullen gevolgd door /wp-admin.
    2. Klikt vervolgens aan de linkerkant op ‘Dashboard’ > ‘Updates’.
    3. Hier zie je alle updates die klaar staan.
    4. Selecteer per groep ‘Plugins’, ‘Thema’s, ‘Vertalingen’ de updates en klik op ‘Update plugins’ & ‘Thema’s bijwerken’.

Let op! Maak altijd een back-up van je WordPress website als je een core update van WordPress uitvoert. Een core update is niets meer dan een upgrade naar een nieuwere versie van WordPress. Het systeem zal hier zelf ook een waarschuwing over geven.

Gebruik je eigen CSS? Zorg er dan voor dat je gebruik maakt van een child theme. Na een update van het huidig thema zul je CSS verdwijnen. Hoe je child theme maakt lees je in dit artikel.

6. Verwijder ongebruikte plugins en thema’s

Wist je dat ongebruikte plugins en thema’s extra risico’s met zich meebrengen? En waarom zou je thema’s en plugins willen bewaren die je toch niet gebruikt. Ook al heb je de niet gebruikte plugins en thema’s uitgeschakeld, ze zijn wel degelijk aanwezig op je website en vormen zo alsnog een gevaar. Dus gebruik je een bepaalde plugin of thema niet meer? Deactiveer de plugin of thema en verwijder hem ook daadwerkelijk. Zo houd je je WordPress website weer een stukje veiliger. Bekijk trouwens ook bij de plugins en thema’s die je wel gebruikt of deze regelmatig geüpdatet zijn.

7. De standaard WordPress gebruikersnaam wijzigen

Het kan zijn dat jouw (oudere) WordPress website nog de standaard ‘admin’ gebruikersnaam heeft. Dit weten hackers ook en kunnen door middel van de gebruikersnaam en standaard inlogpad ‘/wp-admin’ gerichter aanvallen. Het is daarom ook aan te raden deze gebruikersnaam te wijzigen. Gelukkig is dit probleem bij nieuwe WordPress installaties inmiddels opgelost en zijn de gebruikersnamen identiek. Maak je nog gebruik van de standaard gebruikersnaam ‘admin’, dan kun je dat wijzigen door het uitvoeren van de onderstaande stappen:

  1. Controleer eerst of de gebruiker ‘admin’ wel daadwerkelijk bestaat. Dit doe je door in te loggen op jouw WordPress dashboard en vervolgens te gaan naar ‘Gebruikers’.
  2. Filter hier op ‘Beheerders’. Staan hier meerdere beheerders? Dan kun je de beheerder ‘admin’ veilig verwijderen. Zorg wel dat je niet als ‘admin’ bent ingelogd, anders kun je deze beheerder niet verwijderen.
  3. Of is er maar 1 beheerder en heet deze toevallig ‘admin’, dan kun je een nieuwe beheerder aanmaken, een sterk wachtwoord aanmaken en vervolgens uitloggen met de huidige beheerder. Hierna weer inloggen met de nieuwe beheerder en tot slot de beheerder ‘admin’ te verwijderen.

8. Locatie van de standaard inlogpagina wijzigen

Na de standaard gebruikersnaam ‘admin’ te wijzigen, is het ook erg veilig om de inlogpagina naar het dashboard van locatie te wijzigen. Standaard is dat bijvoorbeeld example.com/wp-admin. Dit kunnen we wijzigen naar example.com/beheerder of iets wat je eigen voorkeur betreft. Je kunt dit op twee manieren wijzigen. Dit kan via de handmatige methode, dus door wat scripts aan te passen, of via een plugin. We behandelen beide methoden, maar onze voorkeur gaat uiteraard voor het wijzigen zonder plugin. Onderstaande methode werkt via het plaatsen van een cookie en een aanpassing in het .htaccess bestand. Om het pad naar jouw inlogpagina aan te passen volg je de onderstaande stappen:

    1. Login op jouw FTP-server en navigeer naar de rootfolder.
    2. Download het bestand wp-login.php en maak hier ook gelijk voor de zekerheid een kopie van. Mocht er iets mis gaan, dan kunnen we altijd nog dit bestand herstellen.
    3. Zoek nu in het wp-login.php bestand naar: ‘wp-admin’, in ons geval komen er 13 gerelateerde resultaten naar boven.
    4. Vervang ‘wp-admin’ naar ‘wp-redirect’. Doe dit uiteraard voor alle gevonden overeenkomsten. En sla het bestand op en schrijf het weg naar jouw server.

De bovenstaande stappen zorgen ervoor dat het inlogscherm dat normaal via /wp-admin te benaderen was, niet meer te bereiken is. Uiteraard moeten we nog wel kunnen inloggen op de website en zullen we dus een redirect in moeten stellen. Dit doen we met behulp van een cookie en een aanpassen verwijzend naar deze cookie in het .htaccess bestand.

Het .htaccess bestand aanpassen met een cookie referentie

Nu we de standaard locatie van de pagina /wp-admin verborgen hebben. Kunnen we de wijzigingen doorvoeren aan het .htaccess bestand. In dit geval wijzigen we de locatie van ‘/wp-admin’ naar ‘wp-beheercms.php’, maar je mag het ook anders noemen, zolang het maar begint met ‘wp-’. Het is van belang dat wij er .php achter zetten, dit verwijst naar de nog aan te maken pagina in de volgende stap. Voer nu de volgende code door die je hier beneden in de snippet aantreft in jouw .htaccess bestand, en schrijf het weg naar jouw server:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_COOKIE} !^.*wp\-beheercms=2917998723.*$ [NC]
RewriteRule wp-login.php - [F]
</IfModule>

De pagina wp-beheercms.php aanmaken.

We hebben het .htaccess bestand zojuist aangepast. Nu is het van belang dat wij een cookie aanmaken die redirect naar ‘/wp-login.php’. Zorg er allereerst voor dat de bestandsrechten voor ‘wp-login.php’ gewijzigd worden van 644 naar 640. Dit zorgt er voor dat zonder het gebruiken van de cookie het bestand niet meer publiekelijk beschikbaar is. Je kunt deze bestandsrechten instellen via jouw FTP cliënt. Als dit is gedaan maak je de pagina ‘wp-beheercms.php’ (afhankelijk van hoe je de redirect van je inlogpagina hebt genoemd) in de rootfolder. Hier plak je de volgende syntax in:

<?php
setcookie("wp-beheercms", 2917998723);
header("Location: wp-login.php");
?>

Nadat je de bovenstaande code in het cookiebestand hebt geplaatst kun je deze vervolgens opslaan en wegschrijven naar jouw server. Als het goed is zou je nu kunnen inloggen via jouwdomein.nl/wp-beheercms.php, deze cookie zul je je omleiden naar ‘/wp-login.php’ die enkel via deze omleiding dan wel te bereiken is. Test in dit geval de volgende punten:

  1. Kun je nog inloggen via ‘wp-admin’? Als dit niet het geval is, dan heb je deze stap correct uitgevoerd.
  2. Kun je de pagina ‘wp-login.php’ nog bereiken? Als dit niet geval is, dan heb je deze stap correct uitgevoerd.
  3. Wordt je juist doorgestuurd naar ‘wp-login.php’ als je ‘/wp-beheercms.php’ in hebt gevoerd? En zie je hierna de inlogpagina? Dan is alles nu correct ingesteld.

Probeert tot slot te testen of je kunt inloggen, en of het uitloggen ook wilt loggen. Als dit het geval is, dan heb je alle stappen succesvol afgerond, en is jouw dashboard vanaf nu goed te bereiken via de nieuwe inloglink.

Locatie van de standaard inlogpagina wijzigen met plugin

Mocht het handmatig wijzigen van jouw inlogpagina te ingewikkeld zijn, dan is er ook altijd nog de mogelijkheid om dit in te stellen met behulp van een plugin. Het overmatig gebruik van plugin’s raden wij altijd af. Er zijn verschillende plugins om het standaard pad van de inlogpagina te wijzigen. Een lichtgewicht plugin die wij hiervoor kunnen gebruiken is de plugin ‘Change wp-admin login’ van de uitgever Nuno Morais Sarmento.

  1. Login op het WordPress dashboard. Dit doe je door je domeinnaam in te vullen gevolgd door /wp-admin.
  2. Ga vervolgens naar ‘Plugins’ > ‘Nieuwe plugin’.
  3. Zoek hier naar ‘Change wp-admin login’ en installeer de plugin en activeer deze.
  4. Ga nu naar ‘Instellingen’ > ‘Permalinks’.
  5. Scrol door tot ‘Login URL’ > Hier vul je de gewenste URL in, wat standaard ingesteld staat op ‘login’. Nadat je dit opslaat, log in je in op bijvoorbeeld jouwdomein.nl/login in plaats van jouwdomein.nl/wp-admin.
  6. Tot slot kun je ook nog een returnpad invullen. Dit is de pagina waar bezoekers op terecht moeten komen die nog het oude pad invoeren, bijvoorbeeld jouwdomein.nl/wp-admin. Deze kun je bijvoorbeeld redirecten naar je homepage (standaard) of door 404 in te vullen. Dan komen bezoekers op de algemene not found page van je WordPress website.

9. Beperk WordPress inlogpogingen

Geef hackers geen kans meer die door middel van een zo geheten brute force attack jouw inloggegevens proberen te achterhalen. Met een brute force attack proberen hackers door middel van systematisch wachtwoorden en encryptiesleutels uit te proberen een weg naar binnen te wanen. Standaard zit er geen beperking op het totaal aantal inlogpogingen binnen WordPress. Dit is vrij eenvoudig in te stellen door middel van een plugin. De plugin die wij hiervoor gebruiken heet ‘Limit Login Attempts’. Met deze plugin kun je het aantal inlogpogingen beperken tot maximaal vier inlogpogingen. Na de vierde keer het geprobeerd te hebben zul je WordPress website automatisch blokkeren. Hierdoor is een aanval op jouw website veel minder interessant. Een echte must have voor jouw WordPress website.

10. Beveilig je headers

Zorg ervoor dat je de X-Frame-Options, X-Content-Type-Options & Strict-Transport-Security layers beveiligd. Dit kun je doen door onderstaande code in je .htaccess bestand te zetten. Vervolgens kun je een test doen via securityheaders.com om te zien wat je score is. In combinatie met SSL en dit stukje code zou je minimaal een C moeten scoren.

# Set browser headers
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Xss-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
</IfModule>

11. Beveiligde verbinding via HTTPS

Wat vandaag de dag niet mag ontbreken aan jouw website is een beveiligde verbinding via https door middel van een SSL-certificaat. Met een beveiligde verbinding encrypt je de gegevensstroom die vanaf jouw website plaats vindt. Denk hierbij ingevulde contactformulieren, bestelformulieren, persoonlijke klantgegevens. Bovendien geven zoekmachines ook een hogere prioriteit aan websites met een beveiligde SSL-verbinding. Een SSL-certificaat is in vele gevallen gratis aan te vragen. Een erg bekende certificaat, is het Let’s Encrypt certificaat. Hiermee beveilig je jouw hoofddomein en subdomeinen. Soms Is het ook noodzakelijk om alle verwijzingen van HTTP naar HTTPS te wijzigen. Hiervoor zijn ook erg handige plugins beschikbaar zoals Realy Simple SSL.

12. Je WordPress website beveiligen met Wordfence

Er zijn diverse plugins beschikbaar die enorm bijdragen aan het veiliger maken van jouw website. Een van die plugins is Wordfence. Deze plugin is verkrijgbaar in zowel een gratis als betaalde versie. Wordfence beschikt over een ingebouwde firewall, malware scanner & integriteitschecks. Maak voordat je Wordfence installeert en configureert wel eerst een back-up van jouw website. Mocht er iets mis gaan, dan kun je altijd nog terug vallen op een back-up. Let ook op dat je niet te veel beveiligings- plugins installeert. Dit zal ten eerste ten kosten gaan van de website prestaties, maar ook kunnen meerdere beveiliging plugins elkaar erg tegen gaan werken.

13. WordPress website back-up

Het laatste punt wat wij bespreken is het maken van back-ups! Mocht je na het uitvoeren van alle bovenstaande punten toch nog gehackt worden, dan is het wel handig om een back-up achterhanden te hebben. Maak daarom altijd van je WordPress website een back-up. Het maken van een WordPress back-up kan op drie manieren. Je kunt er voor kiezen om de back-up handmatig uit te voeren, wat vooral handig is als je de bestanden lokaal wil opslaan. Ook kun je een plugin gebruiken die de back-ups voor je maakt. Deze plugin installeer je op je WordPress website. Een bekende back-up plugin is bijvoorbeeld ‘UpdraftPlus’. Met deze plugin kun je een back-up schema instellen. Zo kun je er voor kiezen om eens per week een back-up te maken. Tot slot kun je ook op server niveau een back-up maken, dit kan bijvoorbeeld via Plesk, cPanel & DirectAdmin etc. Een WordPress back-up bestaat altijd uit twee delen: Website bestanden die je kunt downloaden via FTP en het database bestand dat je via phpMyAdmin kunt exporteren.

Kom je er uit?

Heb je na het lezen van dit artikel nog vragen? Dan helpen we je graag verder op weg! Je mag ook altijd een berichtje achterlaten onder in de reacties. Wil je dat wij de bovenstaande beveiligings- opties toevoegen aan jouw website? Dan helpen we je graag verder! Vergeet niet dit artikel een beoordeling te geven!