Is jouw WordPress website veilig en hoe verbeter je dit?


Laatste bewerkt op: vrijdag 22 maart 2019

De digitale wereld wordt steeds groter, maar ook gevaarlijker. Het wordt voor steeds meer hackers interessant om websites aan te vallen. Het is daarom van groot belang dat je website optimaal beveiligd is. Een WordPress wesbsite en veiligheid, wij weten hier alles van en helpen jou hier graag bij.

wordpress icon

1 Waarom wordt een WordPress website gehackt?

Veel personen en bedrijven besluiten om in het CMS WordPress hun website te laten maken. De reden hiervoor ligt in het feit dat het ontwerpen en updaten van een WordPress website niet erg ingewikkeld is.

WordPress is populair

WordPress is het meest gebruikte CMS systeem ter wereld en daardoor ook zeer populair bij hackers, spammers en andere kwaadwillenden.  Een lek zorgt niet alleen voor toegang tot één website, maar tot duizenden. Kortom, goed beveiligen is een must.

hacked website

Waarom wordt een website gehackt?

Inmiddels is ook duidelijk dat een WordPress website gevoelig is voor hacken. Het fenomeen hacking is niet nieuw, maar bestaat al sinds de computer zijn intrede deed. Het voornamelijkste doel van een hacker is het verspreiden van malware of spam. Daarnaast kan het ook bedoeld zijn om bezoekers kwaadaardige software te laten downloaden en installeren. Hiermee krijgt de hacker toegang tot belangrijke gegevens zoals adressen en creditcardgegevens. Soms worden websites gehackt om bezoekers om te leiden naar een affiliatie website.

Elke website loopt het risico gehackt te worden

Het is echt niet zo dat deze groep alleen maar op zoek gaat naar grote sites, ook de allerkleinste sites kunnen slachtoffer worden van de internet criminelen. Dit kan bijvoorbeeld al door je server te gebruiken om te spammen en dat hoef je zelf niet eens door te hebben, maar wel met het risico dat je zelf geen mail meer je mailbox uitkrijgt omdat je op een zogenaamde blacklist terechtkomt. Naast alle technische problemen die opspelen bij een gehackte website, komt ook een deel vertrouwen van de website bezoeker kijken. Hoe je het vertrouwen terug kan winnen lees je in onze blog hiernaast.

WordPress website professioneel laten beveiligen

WordPress is een gebruiksvriendelijk CMS waar vrijwel iedereen mee kan werken. Met betrekking tot de beveiliging van de website laten veel mensen steken vallen. Niet alleen uit onwil, maar vooral uit onwetendheid. Van grote bedrijfswebsites tot kleine hobbywebsites, iedereen loopt evenveel kans om gehackt te worden.

Een goede beveiliging van de WordPress website houdt hackers tegen, waardoor de site altijd online blijft. Met het inhuren van een professional worden thema’s en plug-ins tijdig voorzien van de nieuwste updates. Daarnaast draagt de WordPress expert zorg voor een regelmatige back-up, dat extra zekerheid biedt wanneer het toch mis gaat. Het regelmatig laten scannen op aanvallen verhoogt de beveiliging van de WordPress website. Ook wordt eventueel aanwezige malware direct verwijderd, waardoor de website snel weer online is. Met een kleine investering kan groot leed met bijbehorende kosten voorkomen worden, of zeer snel worden opgelost.

2 Hoe check je de veiligheid van jouw website?

Wij helpen iedereen met een WP-site graag een eindje op weg als het gaat om security, want kende je deze website al? Deze website kan jou ontzettende veel informatie geven over hoe veilig jouw website is.

hoe veilig is jouw website check op Hackertarget

Wat doet Hackertarget?

Kwetsbaarheden testen

Deze Online WordPress Security Scanner kan de kwetsbaarheden van een WordPress-website testen. Wat wordt er dan allemaal gecontroleerd? Om te beginnen kun je zien welke WordPress versie er is geïnstalleerd, of Google de website betrouwbaar vindt, de server, de provider en plugins.

Thema’s achterhalen

Ook kun je zien of er voor je website een bestaand thema is gebruikt. De naam van het thema wordt namelijk weergegeven en als je op deze naam zoekt vind je bij gratis of betaalde thema’s wellicht die van jou terug.

wordpress-security-check website

Achterhalen van gebruikersnamen

Het is mogelijk om te zien in hoeverre het mogelijk is om gebruikersnamen te achterhalen van de WordPress website. Wij zorgen er standaard voor dat dit niet makkelijk te achterhalen is, maar je moet hier wel wat aanpassingen voor doen. Waarom is dit belangrijk? Omdat het moeilijk is om zonder gebruikersnaam bruteforce wachtwoord aanvallen te doen. Hier gaan we in hoofdstuk 5 verder op in.

directory indexing

Deze website laat zien of het mogelijk is om directory indexing toe te passen. Hier moet de melding ENABLE komen. Dit kan je WordPress website kwetsbaar maken voor aanvallen doordat belangrijke gegevens anders zichtbaar zijn.

wordpress-plugins

Iframes links

Ook bekijkt de website of er iframes links zijn die embedded iframes bevatten. Deze frames kunnen besmette code bevatten en computers van bezoekers infecteren.

 

Doe de check en je weet binnen een minuut de staat van je WordPress website.

Meest voorkomende beveiligingsissues van WordPress

3 Meest voorkomende beveiligingsissues van WordPress

Je kunt een hack niet altijd voorkomen, maar je wilt het ze ook niet te makkelijk maken. Je zet je fiets ook niet zonder slot op straat toch?

Om onderstaande risico’s zo veel mogelijk te ontlopen, is het belangrijk om altijd de nieuwste versie van WordPress te hebben en de website altijd te laten onderhouden. Daarnaast kan het raadzaam zijn om een expert naar jouw website te laten kijken. Het mom hierbij is ‘beter voorkomen dan genezen!’.

WordPress thema’s en plug-ins

Het is duidelijk dat een goed hosting platform zeer belangrijk is. Bij elkaar opgeteld ontstaat ruim 50% van de hackaanvallen door een lek in het thema of plug-in. Het is daarom belangrijk om de WordPress website regelmatig te voorzien van een update. Oudere versies zijn gemakkelijker te hacken. Is een WordPress website niet up-to-date, laat het versienummer dan zeker verbergen.

wp-admin inlog

Inlogpagina

Elke WordPress website heeft één bepaalde URL waarmee ingelogd kan worden. In de meeste gevallen is dit bijvoorbeeld xx.nl/wp-admin. Hackers kunnen op die dergelijke pagina de gebruikersnamen en wachtwoordcombinaties achterhalen, waarmee ingelogd kan worden. Als hackers die combinaties niet kunnen achterhalen, zal een zogeheten bot de pagina blijven bestoken met aanvallen. Op den duur zorgt dat voor een opschorting van je account/website bij de hoster. In feite komt daarmee je website offline te staan. Dat is uiteraard iets wat je ábsoluut niet wilt.

PHP bestand

Een website kan niet bestaan zonder PHP code.  Deze PHP code wordt opgeslagen in een zogeheten PHP bestand. Uitgerekend dat bestand is voor veel hackers waardevol. Met behulp van dit bestand kunnen hackers namelijk aanpassingen aan jouw website doen. Het is derhalve van belang dat dit bestand goed beveiligd op je website is. Weet je niet hoe dat moet? Vraag het dan aan ons!

SQL-injectie

Een SQL-injectie is een gerichte aanval van hackers waarmee ze een account op beheerniveau aan kunnen maken. Dat betekent in feite dat ze account op jouw website hebben gemaakt, waarmee ze hetzelfde kunnen als wat jij kan. Hackers kunnen gegevens uit de database van je website halen of juist de database van je website injecteren met kwaadaardige links.

Malware aanval

Indien hackers toegang tot jouw website willen, kunnen ze hierbij gebruik maken van een malware aanval. Malware is in feite software die gebruikt kan worden om toegang tot een website te verkrijgen. Hackers kunnen op die manier bestanden in/op je website aanpassen.

Tips voor het beveiligen van jouw website

4 Tips voor het beveiligen van jouw website

Hieronder geven we tips om je WordPress website te beveiligen. Veel zaken kun je zelf doen en bij andere tips zul je hulp nodig hebben van een WordPress ontwikkelaar. Wil je een WordPress website laten maken, dan kun je deze checklist zo doorgeven.

Gebruik geen ‘admin’ als gebruikersnaam

We gaan ervan uit dat iedereen wel een beetje lui is en wat is er dan makkelijker om ‘admin’ te behouden als gebruikersnaam (username). Onze tip: blijf daar ver van weg in elk geval, aangezien je op deze manier al 50% van de inlog weggeeft. De naam hoeft niet meer geraden te worden, alleen het wachtwoord.

Wordfence logo

Installeer security plugins

Laten we maar meteen met de deur in huis vallen. Installeer WordFence. Dit is een van de populairste WordPress beveiliging plugins. Het checkt voortdurend op malware-infecties. Het scant de core van WordPress, het thema, de plugins, posts en comments. Het claimt dat het je WordPress website bovendien vijftig(!) maal sneller en veiliger maakt. Ook kun je bepaalde landen blokken, als je daar toch geen opdrachten van verwacht.

Zet een IP ban op je WordPress inlogpagina

Door middel van een plugin kun je ervoor zorgen dat je alleen vanaf je eigen IP-adres(sen) in kunt loggen op het admin-gedeelte van je WordPress website. Hierdoor voorkom je dus dat anderen op de inlogpagina kunnen komen en net zolang wachtwoorden kunnen proberen totdat het ze lukt om je WordPress dashboard te beheren. Wil je nog meer inlog veiligheid, lees dan snel hoofdstuk 5.

Wijzig de naam van de wp-tabellen

Een technische tip van onze eigen WordPress specialist. Verander de naam van de tabellen die WordPress gebruikt. WordPress begint de namen van alle tabellen met wp_ en dus makkelijker te achterhalen. Bij Red Melon geven we de WordPress tabellen dus een andere naam. Welke? Precies, dat maakt het dus al moeilijker.

Verander de WordPress admin url

Hoe kom je snel te weten of een website gebouwd is met WordPress? Door er ‘/wp-admin’ achter te typen en te wachten of je de overbekende WordPress login pagina ziet verschijnen. Wat gebruiken wij bij Red Melon hiervoor? Lockdown WP Admin. Deze plugin verstopt als het ware de WordPress admin (/wp-admin) en de bezoeker krijgt hiervoor een 404-pagina te zien. Lockdown WP Admin kan zorgen voor een andere naam achter de slash en op deze manier is dus niet meteen duidelijk dat je WordPress gebruikt.

Maak sterke wachtwoorden

Een inkopper natuurlijk, maar denk even verder dan PieterDekker81. Feit is dat van alle WordPress hacks er 8% toe te schrijven is aan zwakke wachtwoorden. Maak dus bij voorbaat een wachtwoord waar wat speciale tekens als @, # of ! inzitten. P!eter@Dekker#81 is ook makkelijk voor je te onthouden, maar al een stuk moeilijker te achterhalen.

sterke wachtwoorden voor een veilige website

Update alles

Het is niet voor niets dat WordPress nieuwe releases uitbrengt natuurlijk. Elke release kan het risico op hacken verminderen. Overigens geldt dit niet alleen voor WordPress zelf, maar ook voor de plugins. Niet updaten is vragen om moeilijkheden. Nog even om duidelijk te maken hoe belangrijk dit is. 22% van de WordPress websites is gehackt door een beveiligingsprobleem in een plugin!

Gebruik veilige hosting

Dan de nummer 1. Bijna de helft, 41% van alle WordPress hacks komt door een slechte hosting! Kortom, ga niet zo maar klakkeloos voor de goedkoopste webhosting die je kunt vinden. Doe onderzoek en zorg ervoor dat je WordPress website wordt gehost door een bekende webhosting met een goede naam en oog voor veiligheid.

Probeer gratis WordPress thema’s te vermijden

Natuurlijk zijn er goede en veilige gratis thema’s, maar de algemene regel is toch wel: het is beter om gratis thema’s te vermijden. Waarom? Uit onderzoek is gebleken dat 29% van alle gehackte WordPress websites is ontstaan door het thema. Meestal gratis en logisch ook, want vaak heb je geen idee hoe kwetsbaar zo’n thema is en met welk doel een gratis thema is gemaakt. Wil je toch een gratis thema, check dan op de sites van gerenommeerde thema bedrijven of kijk op WordPress.org voor een geschikt thema.

Gebruik veilige hosting

Dan de nummer 1. Bijna de helft, 41% van alle WordPress hacks komt door een slechte hosting! Kortom, ga niet zo maar klakkeloos voor de goedkoopste webhosting die je kunt vinden. Doe onderzoek en zorg ervoor dat je WordPress website wordt gehost door een bekende webhosting met een goede naam en oog voor veiligheid.

Extra WordPress veiligheid: twee stappen authenticatie

5 Extra WordPress veiligheid: twee stappen authenticatie

Hackers hebben tegenwoordig meerdere manieren op een website te hacken. Een van de meest gebruikte varianten is de zogeheten brute-force attack. Wat is het precies en wat kan je hiertegen doen?

Brute-force attack

Hierbij laten de hackers een script los op een bepaalde website. Dit script zal het wachtwoord van de website zo vaak mogelijk raden, totdat het juiste wachtwoord gevonden is. Op die manier kunnen de hackers dus simpel toegang krijgen tot de backend van een website. Deze aanval is echter te voorkomen door een twee stappen authenticatie in te stellen. Bij een twee stappen authenticatie wordt in feite een tweede verificatiestap in het inlogproces ingebouwd. Dit kan je op twee manieren doen.

Jouw website beveiliging tegen brute-force attacks

Google Authenticator om makkelijker in te loggen

Dit proces wordt in de ogen van sommige gebruikers bemoeilijkt doordat er een extra handeling vereist is. Daarnaast is er in de meeste gevallen een extra device nodig, bijvoorbeeld een mobiele telefoon. Om dit enigszins te vergemakkelijken, heeft Google een app gemaakt; de Google Authenticator. De Google Authenticator app genereert automatisch een unieke code. Indien je probeert in te loggen, weet de Google Authenticator app direct dat er codes moeten worden gezocht voor de tweede stap van het authenticatieproces. Op die manier wordt het inloggen vergemakkelijkt.

Wat kan je doen tegen een Brute-force attack?

Als een websitehouder in wil loggen op zijn/haar eigen website, vult hij de juiste gebruikersnaam en het juiste wachtwoord in. Vervolgens ontvangt de websitehouder op zijn e-mailadres of op zijn mobiele telefoon een unieke code. Pas nadat die unieke code ingevuld is in het inlogsysteem, krijgt de website houder toegang tot de backend van zijn/haar website.

Extra WordPress veiligheid: Cloudflare

6 Extra WordPress veiligheid: Cloudflare

Met Cloudfare kan jouw website supersnel worden. Alles kan veilig geregeld worden via HTTPS en zonder gebruik te maken van een SSL certificaat. Hierdoor kunnen ook spammers en hackers buiten de deur worden gehouden. Door de keuze te maken voor Cloudfare wordt het laden van je website versneld. Ook voor je WordPress website kun jij deze keuze maken, maar hoe gaat het in zijn werk?

Werking Cloudfare

Het meest kenmerkende voor Cloudfare is dat het tussen de bezoeker en de website inzit. Als bezoekers naar jouw website gaan, worden zij normaal gesproken door een DNS server doorverwezen naar de webserver. Het is een soort doorschakelstation, waar domeinnamen en servers aan elkaar worden gekoppeld. Maar door Cloudfare te gebruiken wordt de DNS server gebruikt door de server van Cloudfare. De bezoekers komen natuurlijk bij jouw webserver.

logo cloudfare

Overgang naar Cloudfare met je WordPress website

Cloudfare werkt op een DNS niveau. Het is daarbij van belang dat je de name server van je domein gaat veranderen bij het overstappen. Als je dat hebt gedaan, dan worden vanaf dat moment alle DNS-records bij Cloudflare beheerd. Kijk van tevoren goed welke DNS records je hebt en naar welke IP nummers ze verwijzen. Uiteraard wil je bij de overstap maximaal profiteren van Cloudfare. Zorg er daarom voor dat je HTML code goed is en zo min mogelijk fouten bevat. Als je een fout in een code hebt, dan wil dat zeggen dat het compressieproces stopt. Dit kan online gecontroleerd worden, maar je kunt ook altijd advies inwinnen wanneer je je WordPress website over wil zetten om hem beter te beveiligen met Cloudfare. Neem daarvoor even contact met ons op.

Waarom Cloudfare succesvol kan zijn

Je hebt een WordPress website en wil deze beveiligen met Cloudfare? Dat zou een goede keuze kunnen zijn. Het eerste voordeel dat je ervaart met Cloudfare is, dat bezoekers die naar jouw webserver gaan, eerst een cache krijgen van de opgevraagde pagina (deze staat bij Cloudfare). Deze pagina laadt sneller dan je eigen website en is ook gecomprimeerd. Ook worden de afbeeldingen van je site op het netwerk van Cloudfare geladen en gecomprimeerd. Het wordt de bezoekers dan aangeboden via een CDN (Content Delivery Network). Dit netwerk biedt content aan en verspreidt het over de hele wereld.

 

Er is nog een voordeel en dat is de flexibele SSL functie. De website werkt via een HTTPS protocol. Dit is een stuk veiliger voor je bezoekers, die gegevens achterlaten (contactformulier en login). Google hecht veel waarde aan een veilige website. Veilige websites zullen ook hoger geplaatst kunnen worden in de zoekresultaten. Dat zou voor jou de reden kunnen zijn om je WordPress website te beveiligen met Cloudfare. Een laatste voordeel is dat je dankzij Cloudfare kunt kijken naar ongewenste bezoekers en je kunt hen ook de toegang weigeren tot je website.

Hoe wij jouw website veiliger kunnen maken?