Website maken met Wordpress

Als we praten over veiligheid en websites doet u zichzelf een groot plezier met de meest recente én Nederlandstalige versie van WordPress (nl.wordpress.org). Al op de voorpagina vindt u een download in de vorm van een zip-bestand dat u meteen kunt ophalen en uitpakken. De uitgepakte Zip bevat de nodige php-bestanden, wat duidelijk maakt dat Wordpress een webserver nodig heeft waarop php is geïnstalleerd. Op die webserver moet óók de database MySQL draaien. Geen probleem, want voor php en MySQL kunt u bij iedere hostingprovider terecht.

De eerste stap bij het afnemen van een dienst van een hostingprovider is het registreren van een domeinnaam. Die wordt geleverd met het door u gewenste hostingpakket – met in dit geval dus een webserver met php en MySQL. De hostingprovider verstrekt u vervolgens inloggegevens voor de webruimte, waarmee u via ftp uw bestanden kunt uitwisselen (zie afbeelding). Zorg ervoor dat alleen ú toegang hebt tot uw webruimte. Rest het slechts om de inhoud van het eerder opgehaalde en uitgepakte zip-bestand in één keer naar de webruimte over te hevelen. Voor wat betreft de veiligheid is het wachtwoord dat u hier kiest alles bepalend. Dus graag iets dat niet kan worden bedacht, iets met hoofdletters, kleine letters en cijfers…

Met alleen die webserver bent u er nog niet. Ook de toegang tot een MySQL-database moet worden verzorgd. Als die database uw bestaande webruimte-account toegewezen krijgt, wordt de autorisatie – net als bij gebruik van ftp – geregeld via de gebruikersnaam en het wachtwoord waarover u reeds beschikt. Toegegeven, een andere gebruikersnaam en/of een ander wachtwoord is uit oogpunt van extra veiligheid te verkiezen! Het kan ook dat u van uw hostingprovider een apart ip-adres krijgt toegewezen voor de database, dat wordt u in dat geval gemeld.

Wilt u wél een website met Wordpress maar hebt u geen zin om daar – qua techniek – uw tanden in te zetten? Dan kunt u ook op de servers van Wordpress zelf terecht om uw site te plaatsen en te onderhouden. Ga daarvoor naar wordpress.com waar u voor welgeteld 0 euro een basis blog kunt starten. Het voordeel van het werken op de servers van Wordpress is dat u altijd beschikt over de nieuwste versie van dit CMS, inclusief alle veiligheidsupdates!

We zijn een aardig eind op weg! Omdat de WordPress-bestanden al op de webserver staan, kunnen we het installatieproces op gang brengen door via de browser onze url te benaderen (in ons voorbeeld dus www.vanderaart.nl). In dit proces wordt de website daadwerkelijk gebouwd! Allereerst wordt er een systeembestand bestand gecreëerd – wp-config.php – met daarin een aantal uitgangspunten die WordPress nodig heeft om te kunnen functioneren. Denkt u in het bijzonder aan de toegang tot de MySQL-database. Ook de taalinstelling – in ons geval ‘nl_NL’ – wordt in wp-config.php verzorgd. U voert hier de toegangsgegevens in die u eerder hebt genoteerd (zie de alinea onder het kopje Database) (zie afbeelding). Als u alles correct hebt ingevuld, kan WordPress nu contact maken met uw MySQL-database en is het eerste deel van de installatie afgerond.

Mocht wp-config.php niet automatisch gemaakt kunnen worden, dan staat er altijd nog een voorbeeldbestand genaamd wp-config-sample.php in de hoofdmap van de website. De inhoud daarvan wijst zich vanzelf…

De installatie van de WordPress-website is afgerond en dus is het tijd voor de configuratie. Daarmee bedoelen we het invoeren van uw persoonlijke gegevens, zoals de naam van de website en de inloggegevens van de ‘admin’ oftewel de gebruiker met de hoogste rechten. Hierbij twee belangrijke tips als het aankomt op de veiligheid van de website: gebruik een andere inlognaam dan ‘admin’ en kies een sterk wachtwoord (zie afbeelding). Het eerste omdat 99 van de 100 WordPress-supergebruikers admin heten, dat tweede om gemakkelijk hacken tegen te gaan. Gedaan? Dan kunt u voor het eerst inloggen als supergebruiker, met daarbij de veiligheidstip om uw inloggegevens niet te laten opslaan in de vorm van cookies. Nee, gewoon die inloggegevens iedere keer weer schoon en opnieuw invoeren…

Ingelogd als supergebruiker komt u terecht op het zogeheten dashboard van WordPress. Daarmee kunt u uw website naar wens inrichten. Ook attendeert het dashboard u op mogelijke updates van thema’s, plugins en natuurlijk WordPress zelf (afbeelding 5). Denk alstublieft niet te licht over dat laatste: het up-to-date houden van WordPress is uiterst belangrijk als u uw website veilig wilt houden. Verder de tip om bij de algemene instellingen aan te geven dat gebruikers zich niet zomaar kunnen registreren bij uw website (afbeelding 6). Een geregistreerde gebruiker heeft namelijk meer rechten op uw site en uit veiligheidsoogpunt is dat niet verstandig. Zeker niet als het onbekende bezoekers betreft, want de hacker slaapt nooit!

Hier laten we het even bij. In een komende editie gaan we dieper in op diverse handige plugins waarmee u de WordPress-website helemaal dichttimmert. Denk daarbij aan extra veiligheidscodes voor het inloggen, aan captcha’s en spamfilters op de opmerkingen, aan backup en restore, aan antivirus, aan injectie-preventie. Kortom, een écht veilige website is bepaald geen sinecure!

Tekst: John Vanderaart