Tijdens de installatie van WordPress wordt er gevraagd naar de database-gegevens en een tabelvoorvoegsel (table prefix). Standaard staat dit voorvoegsel ingesteld op wp_. Hoewel dit de installatie vereenvoudigt, is het vanuit het oogpunt van cybersecurity een slechte gewoonte om dit zo te laten. Een voorspelbare database-structuur maakt het voor geautomatiseerde hack-scripts aanzienlijk eenvoudiger om misbruik te maken van eventuele SQL-injectiekwetsbaarheden binnen uw WooCommerce-webshop.

Waarom het standaardvoorvoegsel een risico is

Wanneer een aanvaller een SQL-injectie (SQLi) lek ontdekt in een van uw WooCommerce-plug-ins, moet hij de exacte namen van de database-tabellen weten om gegevens te kunnen stelen. Als uw website gebruikmaakt van de standaardinstellingen, weet de hacker direct dat de tabel met gebruikersgegevens wp_users heet, de metadata van bestellingen in wp_woocommerce_order_items staat en de site-opties in wp_options te vinden zijn.

De hacker kan zijn SQL-injectie-payload direct specifiek afstemmen: UNION SELECT user_login, user_pass FROM wp_users

Als u echter tijdens de installatie het voorvoegsel heeft veranderd naar iets unieks, zoals shop73_, verandert de tabelnaam in shop73_users. De geautomatiseerde scripts van de hacker zullen falen, omdat ze een foutmelding krijgen dat de tabel wp_users niet bestaat. Dit werpt een extra barrière op die de geautomatiseerde aanval in de kiem kan smoren.

Hoe u het database-voorvoegsel wijzigt

Methode 1: Tijdens een schone installatie (Aanbevolen)

Wanneer u een nieuwe WordPress- en WooCommerce-site opzet, verander dan in het configuratiescherm direct de waarde wp_ in een willekeurige combinatie van letters en cijfers, bijvoorbeeld w3_shop_.

Methode 2: Een bestaande site aanpassen

Het aanpassen van het voorvoegsel van een reeds actieve webshop is een delicate operatie die nauwkeurigheid vereist. Volg altijd deze stappen:

  1. Maak een volledige database-back-up: Dit is cruciaal. Als er iets misgaat, kunt u de site direct herstellen.

  2. Pas wp-config.php aan: Open het bestand en zoek naar de variabele $table_prefix. Wijzig deze naar uw nieuwe voorvoegsel:

    PHP
     
    $table_prefix = 'secure2026_';

  3. Herneem de tabellen in de database: Log in op phpMyAdmin en hernoem alle tabellen van wp_ naar secure2026_. Dit kan via SQL-commando's:

    SQL
     
    RENAME table wp_users TO secure2026_users;
RENAME table wp_posts TO secure2026_posts;
/* Herhaal dit voor alle tabellen */

  4. Update de verwijzingen in de tabellen: WordPress slaat het voorvoegsel ook op als data binnen de tabellen options and usermeta (bijvoorbeeld gebruikersrechten). U moet deze handmatig updaten via SQL-query's om te voorkomen dat u de toegang tot het dashboard verliest.

Conclusie

Het aanpassen van het database-voorvoegsel is een vorm van security through obscurity, wat betekent dat het geen standalone beveiligingsoplossing is. Echter, in combinatie met een firewall en regelmatige updates vormt het een uitstekende extra verdedigingslinie die uw WooCommerce-winkel onaantrekkelijk maakt voor de massa-scanners van cybercriminelen.