Het bestand .htaccess bevat een aantal opdrachten die je het beste kunt zien als een soort regelement voor de website, of beter gezegd, alles onder jouw domeinnaam.
Om de veiligheid van WordPress te verhogen is het raadzaam om een aantal bestanden en/of folders af te schermen. In dit artikeltje een paar, naar mijn mening, onmisbare extra’s.

Als je een WordPress aanmaakt, plaatst de installatie hier zelf een standaard.htaccess bestand bij. Deze ziet er als volgt uit:

wp-config.php In de root (hoofd) directory van uw website bevat allerlei informatie die interessant kan zijn voor hackers. Alle instellingen van uw site zouden zichtbaar kunnen zijn voor diegene die je nu juist wilt dat ze het niet moeten zien. Dit bestand moet dus beschermd worden. Buitenstaanders mogen daar geen toegang toe hebben. Dit doe je met de opdracht “deny from all” (vrij vertaald “ontzeggen voor allen)
Dat kan met de volgende toevoeging:

Datzelfde moeten we dan ook doen voor het htaccess file zelf:

Dan iets waar ik het nut wel van in zie maar zelf niet gebruik. Het compleet afschermen van de folder wp-content. Daar staat inderdaad veel in: themes, plugins, afbeeldingen …
Dit zijn inderdaad ook de onderdelen van WordPress waar ik het laatste jaar diverse keren van heb gezien dat ze op de korrel waren genomen (soms succesvol) door kwaadwillenden.
Waarom ik het dan niet gebruik ? Omdat ik de gevolgen voor de vindbaarheid niet kan voorspellen. Ik zie in mijn Google Analytics dat een aanzienlijk deel van mijn bezoekers, op mijn diverse websites, komen via een afbeelding. Men heeft in Google gezocht op een afbeelding en klikken zo dan naar mijn site(s).
Als ik nu de inhoud van de folders afscherm, zijn die plaatjes ook niet zichtbaar voor Google neem ik aan. Zolang ik daar geen uitsluitsel over vind op internet gebruik ik hem niet maar het staat u vrij. U gebruikt daarvoor de volgende opdracht. Deze kan helemaal onder in, na de # END WordPress regel.

Een kant-en-klaar htaccess file met alles erin wat hierboven beschreven staat:

htaccess In andere folders dan de root

Ik kies liever voor een andere veiligheidsmaatregel. Het NIET toelaten van PHP scripts in directories, folders waar geen scripts zouden moeten zijn. In de afgelopen jaren heb ik gezien dat dit de meest gebruikte methode is om een site te hacken of scripts te plaatsen die allerlei kwalijke dingen doen, bijvoorbeeld spam versturen. Daar wordt de hoster niet blij van en de standaard reactie is dat uw domein op non-actief gezet wordt. Ook hier is geen waterdichte oplossing voor maar er valt wel weer een deel te voorkomen.
Sites kunnen backdoor files hebben. Files die meestal namen krijgen waardoor het lijkt of ze bij WordPress horen. Niet te vinden voor de ongeoefende website bezitter. Meestal staan ze in /wp-includes/ of /wp-content/uploads/ folders. Dus als we nu daar het uitvoeren van scripts onmogelijk maken dan zijn we al weer veiliger.

Maak een htaccess bestand aan met de volgende code:

Plaats deze in zowel /wp-content/uploads/ als in /wp-includes/

pas op. Uitsluitend voor gevorderden
Let op ! Zelfs de geringste fout in .htaccess kan grote gevolgen hebben. Probeer alleen als u weet wat u doet.