Ip-restricties, tweestapsverificatie of ip-adressen blokkeren bij verdachte inlogpogingen: er zijn allerlei mogelijkheden om de achterkant van WordPress extra goed te beveiligen. Maar wist je dat je geen plugin nodig hebt om WordPress dicht te timmeren? En dat je ook geen extra handelingen hoeft te doen om in te loggen?
Ik heb de afgelopen jaren allerlei plugins geïnstalleerd om WordPress veiliger te maken. Aan iedere oplossing kleeft een nadeel. Tweestapsverificatie is verreweg de veiligste oplossing, maar inloggen met een app als Google Authenticator kost veel meer tijd. IP-restricties zijn ook niet handig, want wat als je een keer op een andere locatie werkt? Dan kun je jouw eigen WordPress-omgeving niet in.
In dit artikel deel ik graag mijn gouden tip met jou. De beste manier om WordPress te beveiligen is door een cookie te plaatsen op een geheime URL. Vervolgens kun je alleen inloggen als je de desbetreffende cookie op je computer of telefoon hebt staan. Klinkt ingewikkeld? Ik leg het stap voor stap uit.
Dit is het inlogscherm van WordPress.Stap 1: geheime map maken
Maak eerst een geheime map op de server. Deze map geef je bijvoorbeeld de naam ‘japie’. De URL wordt dan dus: www.jouwsite.nl/japie. In de map ‘japie’ plaats je een index.php-bestand met daarin de volgende regels:
<?php $admin_cookie_code="5937583957";
setcookie("WordpressAdminSession",$admin_cookie_code,0,"/");
header("Location: /wp-admin");
?>
Let op: pas de tiencijferige code bij ‘cookie_code’ aan. Kies tien willekeurige cijfers.
Stap 2: pas het .HTACCESS-bestand aan
Pas nu het HTACCESS-bestand in de root van de website aan. Dit bestand staat waarschijnlijk al in de hoofdmap. Voeg de volgende regels toe:
RewriteCond %{REQUEST_URI} ^/wp-admin/index.php
RewriteCond %{HTTP_COOKIE} !WordpressAdminSession=5937583957
RewriteRule .* - [L,F]
RewriteCond %{REQUEST_URI} ^/wp-login.php
RewriteCond %{HTTP_COOKIE} !WordpressAdminSession=5937583957
RewriteRule .* - [L,F]
Let op: pas ook hier de tiencijferige code achter ‘WordPressAdminSession=’ aan. Gebruik dezelfde code als bij stap 1.
Stap 3: Inloggen maar!
Als je nu naar www.jouwsite.nl/wp-admin gaat, dan kun je niet inloggen. Je moet eerst naar de geheime map – www.jouwsite.nl/japie – en pas daarna kun je inloggen. Als je dit één keer doet, dan hoef je daarna niet meer naar de map ‘japie’. Pas wanneer je jouw cookies verwijdert zul je opnieuw naar de desbetreffende map moeten.
Maar… wat gebeurt er?
Als je naar de map ‘japie’ gaat, dan wordt er een cookie op jouw computer geplaatst met daarin de code ‘5937583957’ (of jouw eigen code). Door de aanpassing in het HTACCESS-bestand kun je /wp-admin alleen bereiken als je de cookie met de tiencijferige code op jouw pc hebt staan. Een hacker heeft deze cookie niet en ziet vervolgens de onderstaande mededeling.
Dit ziet een hacker op /wp-admin. Missie geslaagd!Waarom is dit zo veilig?
Veel hackers proberen zoveel mogelijk WordPress-sites te hacken en gaan daardoor altijd het eerst naar de map /wp-admin. Zien ze een inlogvenster? Dan vullen ze allerlei standaard gebruikersnamen en wachtwoorden in om de kluis te kraken. Veel hackers haken waarschijnlijk af als de map ‘wp-admin’ niet bereikbaar is. De kans dat zij naar een andere map op jouw server gaan zoeken is erg klein. Zij weten immers niet dat je een geheime map hebt. Zoeken naar deze map is als het zoeken naar een speld in de hooiberg.
In het ergste geval wordt deze map ‘japie’ gevonden. Toch is de hacker dan nog niet binnen. Hij moet dan eerst nog cookies aan hebben staan. Daarnaast moet deze persoon jouw gebruikersnaam én wachtwoord weten. Wil je het hackers onmogelijk maken om binnen te dringen, kies dan als naam voor de map niet ‘japie’, maar gebruik een mix van allerlei cijfers en letters.
Meer weten over WordPress? Hier vind je negen tips om hoger in Google te komen met jouw WordPress-site.
