Optimaliseren veiligheid - WordPress veiliger maken (uitgebreid)
Deze handleiding is ervoor bedoeld om je bestaande WordPress installatie volledig te vergrendelen om hem zo veilig mogelijk te maken. Hierbij raden we aan om onderstaande regels toe te voegen aan het .htaccess bestand, om zo bepaalde delen ontoegankelijk te maken voor derden.
Let op: Test na het toevoegen van deze regels goed of de website nog volledig correct werkt. Het is namelijk mogelijk dat er functionaliteiten leunen op zaken die hier uitgesloten worden.
Listing van files in mappen uitschakelen
Options All -Indexes
Directe toegang tot de error_log, wp-config.php en .htaccess blokkeren
<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$"> Order deny,allow Deny from all </FilesMatch>
Directe toegang tot andere bestandstypes blokkeren
<FilesMatch "(\.(zip|tar|gz|bak|config|dist|fla|inc|ini|log|psd|sh|sql|swp)|~)$"> Order deny,allow Deny from all </FilesMatch>
Directe toegang tot wp-includes bestanden blokkeren
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>
Blokkeer directe toegang tot /wp-content/plugins en wp-content/themes/ bestanden
RewriteRule wp-content/plugins/(.*\.ph(?:p[345]?|t|tml))$ - [R=404,L] RewriteRule wp-content/themes/(.*\.ph(?:p[345]?|t|tml))$ - [R=404,L]
IP Blokkade wp-login.php
<Files wp-login.php> Order Deny,Allow Deny from all Allow from xx.xx.xx.xx #IP1 Allow from xx.xx.xx.xx #IP2 </Files>
Blokkeer bestandswijzigingen in WordPress
define('DISALLOW_FILE_EDIT', true); define('DISALLOW_FILE_MODS',true);