Een paar weken geleden hebben we kennis gemaakt met iThemes Security. We hebben ons toen beperkt tot het Dashboard en de Settings van deze beveiligingsplugin. Dit keer bekijken we de geavanceerde instellingen van iThemes Security.
De geavanceerde instellingen omvatten een aantal meta boxen:
- Welcome
- Admin User
- WordPress Salts
- Change Content Directory
- Change Database Prefix
- Settings Import and Export
Het laatste onderdeel, de Import en Export instellingen, is alleen beschikbaar voor iThemes Security Pro, de premium versie. De andere vijf onderdelen vind je in beide versies, ook in de gratis versie iThemes Security.
We nemen ze een voor een onder de loep. Voor de eerste vijf gebruik ik een testsite.
Welcome
De eerste meta box attendeert je erop dat de instellingen van de Advanced tab niet automatisch worden teruggedraaid als je de plugin deactiveert. Het advies is dan ook, maak een backup van bestanden en database voor je verder gaat.
Admin User
Hier constateert iThemes Security dat er een gebruiker met de naam Admin bestaat. In het geval van bruteforce attacks is Admin een van de eerste namen die men uitprobeert.
Met iThemes Security kun je dit eenvoudig corrigeren. Hoe gaat dat? Klik op het vakje achter Enable Change Admin User. Er verschijnen twee nieuwe velden.
In het veld achter New Admin Username vul je de nieuwe gebruikersnaam in.
Neem als WordPress beheerder geen naam die eenvoudig kan worden afgeleid van de schermnaam zoals getoond op de website.
Mijn schermnaam is Wil Ransz. Wil, Ransz en wilransz zijn dus niet de beste alternatieven. Het zal volstaan in het geval van ordinaire bruteforce attacks, want die zijn bruut en weinig intelligent.
Maar wil iemand heel bewust jouw persoonlijk treffen of jouw website ontregelen, dan wordt er vaak gebruik gemaakt van social engineering. Schrijf je op Facebook over je kat Tijgertje, dan zijn Tijgertje en tijgertje dus ook geen goede keuzen.
Het tweede nieuwe veld betreft het User ID. De gebruiker die WordPress installeert krijgt automatisch gebruikersnummer 1. Het is immers de eerste gebruiker.
Behalve een nieuwe gebruikersnaam kan iThemes Security je ook een nieuw gebruikersnummer toewijzen. Dat wordt dan het eerst volgende vrije nummer.
Zodra iThemes Security klaar is, moet je opnieuw inloggen. Je gebruikersnaam is veranderd en dus zijn de cookies niet meer geldig. Vandaar.
WordPress Salts
Tijdens de installatie genereert WordPress beveiligingssleutels en SALT’s. Deze worden opgeslagen in de wp-config.php. Hiermee worden onder andere cookies vergrendeld.
Het wordt aanbevolen om regelmatig de SALTs te vervangen. Dat kan handmatig: genereer nieuwe en plak deze over de oude in de wp-config.php.
Je kunt dit ook iThemes Security laten verzorgen. Klik op het vakje achter Change WordPress Salts en druk op de knop met dezelfde naam.
Ook nu wordt je weer uitgelogd. Alle ingelogde gebruikers trouwens, want alle cookies van de website zijn in een klap ongeldig. Het veranderen van de SALT’s heeft geen invloed op de gebruikersnamen of de wachtwoorden.
Even voor de goede orde, hoewel deze functie Change WordPress Salts heet, worden niet alleen de SALT’s, maar ook de beveiligingssleutels vervangen.
Change Content Directory
In de WordPress hoofddirectory bevinden zich maar een paar bestanden die uniek zijn voor jouw website. Dat zijn de wp-config.php, de .htaccess, en mogelijk enkele identificatiebestanden voor zoekmachines, webmastertools en sociale media.
De meeste bestanden die jouw website onderscheiden van andere WordPress websites bevinden zich in de wp-content folder. Hiertoe behoren thema’s, plugins, vertalingen van thema’s en plugins en uiteraard de mediabestanden in de uploads directory.
Omdat in principe alle WordPress websites een content folder met dezelfde naam hebben, maak je het kwaadwillenden moeilijker als je die directory een andere naam geeft. iThemes Security regelt dat moeiteloos voor je.
Je mag zelf een nieuwe naam bedenken. Voer deze in en druk op de bijbehorende knop. Denk eraan dat het deactiveren van de plugin deze wijziging niet terug draait.
Nadat de naam is gewijzigd vind je op de pagina geavanceerde instellingen een knop Undo Content Directory Change – een herstelknop.
Change Database Prefix
De tabellen van een WordPress database krijgen een prefix. Tenzij je bij de installatie een andere waarde hebt ingevoerd is dat wp_.
Heb je dat aanvankelijk niet gedaan, maar wil je dat nu wijzigen, dan kan dat met iThemes Security heel eenvoudig.
Vink het vakje achter Change Table Prefix aan en klik op de knop eronder. iThemes Security bepaalt zelf de nieuwe prefix en wijzigt de database en wp-config.php overeenkomstig.
Settings Import and Export
Als je dit en het ook het voorgaande bericht over iThemes Security hebt gelezen, dan zal het je duidelijk zijn dat de plugin ontzettend veel instellingen kent.
Heb je meerdere website en heb je op alle websites iThemes Security geïnstalleerd, dan kun je met de Pro versie die instellingen eenvoudig overbrengen van de ene installatie naar de andere.
Vul het gewenste e-mailadres in, een druk op de knop [Export Settings]. De instellingen worden dan als itsec_options.zip naar het e-mailadres gestuurd.
Aan de andere kant is het een kwestie van het bestand opslaan, selecteren met de bestandsmanager en importeren. Handig.
Uiteraard kun je na een import alsnog zaken voor verschillende websites anders inrichten.
Geavanceerd, maar eenvoudig
Ook de geavanceerde instellingen van iThemes Security kunnen vrij eenvoudig worden geimplementeerd en vergroten de beveiliging van je WordPress website.
Tot zover de geavanceerde instellingen van iThemes Security. De opties van iThemes Security zijn nu in twee berichten besproken. Heb je vragen of opmerkingen, laat het weten.
Op korte termijn bekijken we de verschillen met iThemes Security Pro.