De donkere kant van WordPress… de populariteit van WordPress trekt naast fans helaas ook mindere liefhebbers, namelijk Hackers / Crackers. Ja, er is een verschil en die personen waar ik het over heb zijn die aan de donkere kant van Hacking, de Crackers.

Crackers maken gebruik van gaten in de beveiliging van WordPress, maar meer nog van beveiligingsgaten in WordPress Theme’s en Plugins om toegang te krijgen tot jouw website en bestanden.

Als ze die toegang hebben kunnen ze een aantal zaken doen, het index.php bestand vervangen zodat je voorkant van je website er anders uit ziet. Dat is makkelijk te repareren door de orginele index.php terug te zetten. Ze kunnen echter ook veel vervelendere zaken doen waar je pas later achter komt. Zaken zoals via jouw website malware verspreiden of pagina’s maken die er uit zien als bank inlog pagina’s…

Begin met de Basis WordPress Beveiliging

De eerste stap voor een veiliger WordPress website is al bij de installatie van je website:

• gebruik geen standaard woorden voor de databasenaam
• gebruik geen standaard woorden voor de database gebruikers naam
• gebruik moeilijke wachtwoorden van de database toegang, zeker 9 tekens, gebruik kleine letters, Hoofdletters, nummers en Leestekens door elkaar.
• Wijzig de prefix van je WordPress tabellen, dus niet de standaard wp_ gebruiken.
• gebruik NIET de gebruikersnaam admin maar maak er iets leuks van dat niet te raden is!

Na de installatie van WordPress kun je een aantal bestanden verwijderen:

• readme.html in de basis van je website omdat die versie gegevens bevat van je installatie.
• wp-config-sample.php deze is na de installatie niet meer nodig
• install-helper.php en install.php in de wp-admin map aangezien de installatie klaar is

De volgende actie is niet altijd makkelijk, maar zeker als je de complete site installatie in de public_html map hebt staan dan kun je het wp-config,php bestand een map hoger plaatsen, dus net buiten je public_html map. WordPress staat het tegenwoordig namelijk toe om dat bestand een map hoger te plaatsen.

Zorg er daarnaast voor dat de map rechten niet hoger staan dan 755 en voor bestanden 644, je wp-config.php heeft zelfs voldoende aan 600 (dat kan heel makkelijk als je Filezilla gebruikt.

Speciale WordPress Plugins voor Extra Beveiliging

Er zijn een aantal plugins die ik tegenwoordig standaard meeneem in iedere WordPress installatie:

WP Security Scan een speciale plugin die je direct helpt om een aantal zaken te controleren en zelf te repareren, maar zorg voordat je een aantal van die zaken gaat doen wel voor een goede back-up! Zeker van je database, de correctie kunnen nogal ingrijpend zijn.

WordPress File Monitor Plus is een plugin die jouw installatie bewaakt en je een mail stuur als er iets veranderd, toegevoegd of verwijderd wordt van je WordPress website bestanden. Daarbij kun je wel bepaalde mappen uitzonderen, zoals de cache map omdat daar natuurlijk regelmatig bestanden verwisseld en gemaakt worden.

WordPress Firewall 2 bewaakt allerlei inkomende links en vreemde urls die bijvoorbeeld proberen gebruik te maken van de eerder genoemde beveiliginslekken. Ik zie vooral veel pogingen om de oude versie van http://code.google.com/p/timthumb/ te benaderen. Een lek in de oude versie, die veel gebruikt werd voor het automatisch verkleinen van afbeeldingen, zorgde afgelopen jaar voor veel gehackte websites. Deze plugin zorgt ervoor dat dergelijke vreemde aanvragen door gestuurd worden naar je Homepage.

De laatste plugin kan zeker de nodige zaken voorkomen, maar het is vooral eng als je een paar honderd meldingen krijgt van de pogingen die ondernomen zijn om je site te benaderen met allerlei thema’s die niet geupdate waren.

Opruimen van Niet gebruikte Plugins en Theme’s

Met de WordPress Firewall 2 worden een hoop van de acties om je site te hacken voorkomen, maar het is nog beter om oude zaken op te ruimen om dergelijke lekken te voorkomen. Verwijder dus die thema’s die je niet gebruikt! Ook de WordPress Standard Thema’s zoals TwentyTen en TwentyEleven.

Plugins die je niet meer gebruikt verwijderen, dat zorgt er ook voor dat je site wat sneller wordt omdat WordPres niet meer hoeft te kijken of de plugin actief is of geupdate moet worden.

Plugins die je maar een  keer nodig hebt gehad kunnen verwijderd worden, denk daarbij aan import en export plugins, en plugins zoals AJAX Thumbnail Rebuild.

Bedenk daarnaast dat je vooral moet zorgen dat je regelmatig inlogt op je WordPress website en zorgt dat je WordPress, Plugins en Theme’s Updates als dat nodig is. Neem de Feed van http://wordpress.org/news/ op in je Feedreader zodat je altijd direct op de hoogte bent van nieuwe WordPress versies.

Zorg ook altijd voor een goede backup van je database en bestanden zodat je snel weer je website op kunt zetten mocht je site toch gehackt worden. Hoe je dat makkelijk kunt doen, dat vertel ik je de volgende keer…

Heb je zelf nog tips over het beveiligen van je site, meld ze hieronder!

Meer lezen over dit onderwerp? Bezoek Een Website Bouwen met WordPress.

Ik heb al veel Zoekmachine Optimalisatie Plugins gebruikt voor WordPress, en tot op heden was de combinatie van SEO Title Tag en All-in-One-SEO voor mij de beste… tot op heden dan…

Inmiddels heb ik op deze WordPress als CMS Website beide Plugins gedeactiveerd en heb ik Headspace2 in gebruik genomen.

Hieronder zal ik je kort de beweegredenen geven voor deze overstap en daarna nog wat informatie over hoe je de Plugin kunt gebruiken en “makkelijk” over kunt gaan.

Headspace2 voor je Zoekmachine Optimalisatie

Headspace2 regelt een hoop zaken die andere plugings gezamelijk moeten doen en doet dat zonder problemen.

Headspace2 heeft ook geen extra comment regels in de broncode van je WordPress website.

Headspace2 is een set-and-forget plugin die een heleboel automatisch kan doen maar waar jij als webmaster ook nog eens alle vrijheid hebt om dit makkelijk te wijzigen.

Waar haal je Headspace2? Je kunt hem installeren zoals elke plugin vanaf http://wordpress.org/extend/plugins/headspace2/ en natuurlijk via -> Plugins -> Nieuw -> zoek op Headpsace2 en installeren.

Waar moet je op letten om Headspace2 goed te laten werken?

Eigenlijk moet je maar een ding controleren en /of wijzigen en dat is de <title> code in de header.php (hoofding) van je WordPress Theme.

Wijzig die zodat er alleen maar staat  <title><?php wp_title(”); ?></title> op die manier kan Headspace2 de titels van je pagina’s makkelijk aanpassen.

Headspace2 Configuratie

In tegenstelling tot All-in-One-SEO (die niet dezelfde hoeveelheid opties heeft als Headspace2) is het verstandig om even de diverse configuratie opties te bekijken en in te stellen.

Vooral met de eerste optie kun je al veel winnen door deze goed in te stellen:

Zoals je hierboven ziet staan er wat vreemde codes in de Global Settings.

Wat hierboven staat is: gebruik de titel van de post en plaats daar de tekst – WpSiteBouw.nl achter. Als je naar de titels in je browser kijkt (helemaal boven in de browser titel balk) dan zul je bij die pagina’s die geen eigen Headspace Titel hebben precies datgene zien wat hier boven ingevuld is. Voor pagina’s en berichten die wel een aparte titel hebben zul je de extensie – WpSiteBouw.nl niet zien.

All-in-One-SEO maakt automatisch een metatagdescription aan op basis van de inhoud of als je de excerpt (samenvatting) invult, dan wordt die gebruikt. Headspace2 doet hetzelfde. Daarvoor voer je bij Description %%excerpt%% in en je bent klaar. Persoonlijk schrijf ik liever zelf de excerpts omdat die als kleine miniadvertenties in Google en andere zoekmachines er voor zorgen dat je meer kliks kunt krijgen van degene boven je.

Als het om Keywords gaat, dan werkt de %%tag%% prima om dat te automatiseren.

Al die codes en de bijbehorende uitleg vind je onderaan de hoofd pagina van de plugin.

Tot zover de basis, je kunt nu zelf bepalen hoe je deze codes gebruikt voor al de andere pagina’s zoals rubrieken, archief etc…

Maar er is meer te doen met Headspace2!

Zoals je bij de eerste schermafbeelding hierboven gezien hebt zijn er ook nog opties voor:

• Page Modules – Hiermee bepaal je welke velden zichtbaar zijn in het gedeelte waar je je teksten schrijft.
• Site Modules – Wat gebruik je nog meer op je website zoals Google Analytics, Statcounter… een framebreaker of adsense section targeting, bij site modules kun je het instellenen activeren.
• Options – Een paar heel simple opties en de mogelijkheid om de plugin te deinstalleren.
• Import – Waarmee je velden uit je “oude seo plugins” kunt importeren in de Headspace2 velden (Maak eerst een backup voordat je deze optie gebruikt! Mocht het vullen van de nieuwe velden niet goed gaan dan kun je terug)

Zoals je hierboven gelezen hebt is Headspace2 een bijzonder veelzijdige plugin waar je een heleboel zaken die voor je zoekmachine optimalistie belangrijk zijn kunt automatiseren. Voor het meest optimale resultaat kun je handmatig de velden Page Title en Description vullen met de beste teksten die je daarvoor kunt verzinnen.

Ene omdat je nu weet hoe Headspace2 in de basis werkt installeer hem zelf op in je WordPress site en experimenteer met de settings zodat je site nog beter in de zoekmachines kan komen. Hier is nogmaals de link naar de download site http://wordpress.org/extend/plugins/headspace2/ en wil je nog meer weten over de plugin zelf, ga dan naar http://urbangiraffe.com/plugins/headspace2/

In de volgende video zie je in het kort wat je nog maar kunt met deze enorm veelzijdige plugin.

Meer lezen over dit onderwerp? Bezoek Een Website Bouwen met WordPress.