Eigenlijk zou iedere WordPress website minimaal twee gebruikers moeten hebben. Zeker als het gaat om de beveiliging van je website.
Een Administrator / Beheerder
Deze gebruiker, die je dus NIET Admin of Administrator noemt! gebruik je voor het beheer van je website.
Maak die gebruiker naam zo moeilijk mogelijk, bijvoorbeeld Vg6XeuvQ0 met een bijhorend sterk wachtwoord, zoiets als !2w5ismIUG?.
Bovenstaande login gebruik je alleen voor het beheren van je site, meestal is dit de gebruiker die de site geïnstalleerd heeft en die heeft dan ook automatisch de rol van Beheerder gekregen.
Je kunt zelf een nieuwe gebruiker aanmaken met dezelfde rechten via Gebruikers -> Nieuw en dan het formulier invullen. LET OP! Dit moet een ander mail adres zijn dan van de eerste beheerder.
Veel mensen zullen al langer als een gebruiker met beheerders rechten ook aan het bloggen zijn. Geen nood, met deze nieuwe beheerder kun je de rechten van je andere gebruiker inperken.
Een WordPress Redacteur
Heb je je WordPress website net geïnstalleerd, maak dan direct een tweede gebruiker aan met als rol Redacteur.
Deze gebruiker heeft een stuk minder rechten dan een beheerder.
Met deze gebruiker kun je wel alles doen om de inhoud van je site aan te maken en te beheren, maar niet het beheer van instellingen, plugins, thema's, etc.
Je kunt dat ook direct zien als je als die gebruiker inlogt.
Voor mijzelf stel ik de verschillende gebruikers ook in met een ander kleur schema omdat ik dan direct zie welke rechten ik mogelijk heb.
Je ziet ook direct in het zij menu dat een redacteur geen instellingen en andere beheerstaken als keuze mogelijkheden heeft.
Met de plugin MP6 http://wordpress.org/extend/plugins/mp6/ krijg je een nog mooier onderscheid en kun je gelijk wennen aan een mogelijke WordPress update:
Basis extra Beveiliging van WordPress
Doordat je voortaan een onderscheid maakt tussen Redacteur en Beheerder is je beveiliging ook direct beter regeld.
Als Beheerder moet je echter nooit een bericht schrijven of pagina aanmaken, dan komt je gebruikersnaam ook nooit naar voren in een URL zoals bij een Auteur en Redacteur wel gebeurd.
Mocht iemand dan toch via het vinden van je redacteurs naam en het hacken van je wachtwoord toegang krijgen tot je blog, dan blijft de schade beperkt.
Een redacteur kan namelijk geen instellingen wijzigen, codes toevoegen een theme bestanden of vreemde plugins installeren.
Heb je al veel geschreven met je basis gebruiker, hou die gebruikersnaam dan aan. Maak een nieuwe beheerder aan en gebruik die om de je rol van de originele Beheerder terug te zetten naar Redacteur.
Lastig? Zeker in het begin, omdat je zo lekker gewend was om alles te kunnen doen.
Veilig? Het is een eerste stap, voor een echt goed beveiligde WordPress site is er meer nodig. En zelfs dan is het nog mogelijk dat je site gehackt wordt.
Met twee verschillende gebruikers, dus een voor de inhoud en een voor beheer, ben je wel al een stuk beter beschermt.
Deen zegt
Duidelijk artikel!
Belangrijkste is regelmatig updaten, geen admin als loginnaam gebruiken en een sterk wachtwoord gebruiken.
Geef gast schrijvers een eigen afgeschermde account.
Je had het bestaan van de WordPress plugin Better WP Security in het artikel kunnen opnemen.
Better WP Security doet alles voor je, erg makkelijk om aan te passen.
Een nadeel van Better WP Security is dat gewone bezoekers soms als attackers worden gezien, waarop het IP adres van de onschuldige bezoeker wordt gebanned…
Herbert-Jan van Dinther zegt
@Deen: Ik heb wel aan Better WP Security gedacht, maar het is een plugin waarbij je toch de nodige technische kennis voor nodig hebt om alles goed in te zetten. Omdat op deze site veel nieuwe WordPress gebruikers komen heb ik die hier niet apart genoemd. Op https://wpsitebouw.nl/hoe-beveilig-je-een-wordpress-website-de-basis/ staat nog wat extra tips.
Deen zegt
Zelf vind ik het behoorlijk lastig om Better WP Security op de juiste manier te configureren, er komt behoorlijk wat kennis bij kijken. Het is dus geen plugin voor beginners.
De pagina waar je naar verwijst is een goede toevoeging.
Ik ken bepaalde plugins die je daar noemt niet eens, ik ga ze eens installeren!
Een fijne dag,Deen
Ruud overstegen zegt
Wat nu als ik niet meer kan inloggen op mijn site. bij /wp-login.php krijg ik.
een scherm met toegang verboden en Error 403
groet,
Ruud
Herbert-Jan van Dinther zegt
@Ruud: Heb je ook geprobeerd met siteurl/wp-admin ? Of staat de site in een submap?