De digitale wereld wordt steeds groter, maar ook gevaarlijker. Het wordt voor steeds meer hackers interessant om websites aan te vallen. Het is daarom van groot belang dat je website optimaal beveiligd is. WordPress en veiligheid, wij weten hier alles van en helpen jou hier graag bij.
Waar we het over gaan hebben:
Waarom wordt een WordPress website gehackt?
Veel personen en bedrijven besluiten om in het CMS WordPress hun website te laten ontwikkelen. De reden is dat het updaten makkelijk is.
WordPress is populair
WordPress is het meest gebruikte CMS systeem ter wereld en daardoor ook zeer populair bij hackers, spammers en andere kwaadwillenden. Een lek zorgt niet alleen voor toegang tot één website, maar tot duizenden. Kortom, goed beveiligen is een must.
Waarom wordt een website gehackt?
Inmiddels is ook duidelijk dat WordPress gevoelig kan zijn voor hackers. Het fenomeen hacking is niet nieuw, maar bestaat al sinds de computer zijn intrede deed. Het voornamelijk doel van een hacker is het verspreiden van malware of spam. Daarnaast kan het ook bedoeld zijn om bezoekers kwaadaardige software te laten downloaden en installeren. Hiermee krijgt de hacker toegang tot belangrijke gegevens zoals adressen en creditcardgegevens. Soms worden websites gehackt om bezoekers om te leiden naar een affiliatie website.
Elke website loopt het risico gehackt te worden
Het is echt niet zo dat deze groep alleen maar op zoek gaat naar grote sites, ook de allerkleinste sites kunnen slachtoffer worden van de internet criminelen. Dit kan bijvoorbeeld al door je server te gebruiken om te spammen en dat hoef je zelf niet eens door te hebben, maar wel met het risico dat je zelf geen mail meer je mailbox uitkrijgt omdat je op een zogenaamde blacklist terechtkomt. Naast alle technische problemen die opspelen bij een gehackte website, komt ook een deel vertrouwen van de website bezoeker kijken. Hoe je het vertrouwen terug kan winnen lees je in onze blog hiernaast.
Professioneel laten beveiligen
WordPress is een gebruiksvriendelijk CMS waar vrijwel iedereen mee kan werken. Met betrekking tot de beveiliging van de website laten veel mensen steken vallen. Niet alleen uit onwil, maar vooral uit onwetendheid. Van grote bedrijfswebsites tot kleine hobbywebsites, iedereen loopt evenveel kans om gehackt te worden.
Een goede beveiliging houdt hackers tegen, waardoor de site altijd online blijft. Met het inhuren van een professional worden thema’s en plug-ins tijdig voorzien van de nieuwste updates. Daarnaast draagt de WordPress expert zorg voor een regelmatige back-up, dat extra zekerheid biedt wanneer het toch mis gaat. Het regelmatig laten scannen op aanvallen verhoogt de beveiliging. Ook wordt eventueel aanwezige malware direct verwijderd, waardoor de website snel weer online is. Met een kleine investering kan groot leed met bijbehorende kosten voorkomen worden, of zeer snel worden opgelost.
Hoe check je de veiligheid van jouw website?
Wij helpen iedereen met een WP-site graag een eindje op weg als het gaat om security, want kende je deze website al? Deze website kan jou ontzettende veel informatie geven over hoe veilig jouw website is.
Wat doet Hackertarget?
Kwetsbaarheden testen
Deze Online WordPress Security Scanner kan de kwetsbaarheden van een WordPress-website testen. Wat wordt er dan allemaal gecontroleerd? Om te beginnen kun je zien welke WordPress versie er is geïnstalleerd, of Google de website betrouwbaar vindt, de server, de provider en plugins.
Tip van onze webbouwers
Doe de check en je weet binnen een minuut de staat van je website.
Thema’s achterhalen
Ook kun je zien of er voor je website een bestaand thema is gebruikt. De naam van het thema wordt namelijk weergegeven en als je op deze naam zoekt vind je bij gratis of betaalde thema’s wellicht die van jou terug.
Achterhalen van gebruikersnamen
Het is mogelijk om te zien in hoeverre het mogelijk is om gebruikersnamen te achterhalen van de website. Wij zorgen er standaard voor dat dit niet makkelijk te achterhalen is, maar je moet hier wel wat aanpassingen voor doen. Waarom is dit belangrijk? Omdat het moeilijk is om zonder gebruikersnaam brute–force wachtwoord aanvallen te doen. Hier gaan we in hoofdstuk 5 verder op in.
directory indexing
Deze website laat zien of het mogelijk is om directory indexing toe te passen. Hier moet de melding ENABLE komen. Dit kan jullie website kwetsbaar maken voor aanvallen doordat belangrijke gegevens anders zichtbaar zijn.
Iframes links
Ook bekijkt de website of er iframes links zijn die embedded iframes bevatten. Deze frames kunnen besmette code bevatten en computers van bezoekers infecteren.
Meest voorkomende beveiligingsissues van WordPress
Je kunt een hack niet altijd voorkomen, maar je wilt het ze ook niet te makkelijk maken. Je zet je fiets ook niet zonder slot op straat toch?
Om onderstaande risico’s zo veel mogelijk te ontlopen, is het belangrijk om altijd de nieuwste versie van WordPress te hebben en de website altijd te laten onderhouden. Daarnaast kan het raadzaam zijn om een expert naar jouw website te laten kijken. Het mom hierbij is ‘beter voorkomen dan genezen!’.
WordPress thema’s en plug-ins
Het is duidelijk dat een goed hosting platform zeer belangrijk is. Bij elkaar opgeteld ontstaat ruim 50% van de hackaanvallen door een lek in het thema of plug-in. Het is daarom belangrijk om de website regelmatig te voorzien van een update. Oudere versies zijn gemakkelijker te hacken. Is een je website niet up-to-date, laat het versienummer dan zeker verbergen.
Inlogpagina
Elke WordPress website heeft één bepaalde URL waarmee ingelogd kan worden. In de meeste gevallen is dit bijvoorbeeld xx.nl/wp-admin. Hackers kunnen op die dergelijke pagina de gebruikersnamen en wachtwoordcombinaties achterhalen, waarmee ingelogd kan worden. Als hackers die combinaties niet kunnen achterhalen, zal een zogeheten bot de pagina blijven bestoken met aanvallen. Op den duur zorgt dat voor een opschorting van je account/website bij de hoster. In feite komt daarmee je website offline te staan. Dat is uiteraard iets wat je ábsoluut niet wilt.
PHP bestand
Een website kan niet bestaan zonder PHP code. Deze PHP code wordt opgeslagen in een zogeheten PHP bestand. Uitgerekend dat bestand is voor veel hackers waardevol. Met behulp van dit bestand kunnen hackers namelijk aanpassingen aan jouw website doen. Het is derhalve van belang dat dit bestand goed beveiligd op je website is. Weet je niet hoe dat moet? Vraag het dan aan ons!
SQL-injectie
Een SQL-injectie is een gerichte aanval van hackers waarmee ze een account op beheerniveau aan kunnen maken. Dat betekent in feite dat ze account op jouw website hebben gemaakt, waarmee ze hetzelfde kunnen als wat jij kan. Hackers kunnen gegevens uit de database van je website halen of juist de database van je website injecteren met kwaadaardige links.
Malware aanval
Indien hackers toegang tot jouw website willen, kunnen ze hierbij gebruik maken van een malware aanval. Malware is in feite software die gebruikt kan worden om toegang tot een website te verkrijgen. Hackers kunnen op die manier bestanden in/op je website aanpassen.
Tips voor het beveiligen van jouw website
Hieronder geven we tips om je site te beveiligen. Veel zaken kun je zelf doen en bij andere tips zul je hulp nodig hebben van een WordPress ontwikkelaar. Wil je een site laten maken, dan kun je deze checklist zo doorgeven.
Gebruik geen ‘admin’ als gebruikersnaam
We gaan ervan uit dat iedereen wel een beetje lui is en wat is er dan makkelijker om ‘admin’ te behouden als gebruikersnaam (username). Onze tip: blijf daar ver van weg in elk geval, aangezien je op deze manier al 50% van de inlog weggeeft. De naam hoeft niet meer geraden te worden, alleen het wachtwoord.
Installeer security plugins
Laten we maar meteen met de deur in huis vallen. Installeer WordFence. Dit is een van de populairste WordPress beveiliging plugins. Het checkt voortdurend op malware-infecties. Het scant de core van WordPress, het thema, de plugins, posts en comments. Het claimt dat het je site bovendien vijftig(!) maal sneller en veiliger maakt. Ook kun je bepaalde landen blokken, als je daar toch geen opdrachten van verwacht.
Zet een IP ban op je WordPress inlogpagina
Door middel van een plugin kun je ervoor zorgen dat je alleen vanaf je eigen IP-adres(sen) in kunt loggen op het admin-gedeelte. Hierdoor voorkom je dus dat anderen op de inlogpagina kunnen komen en net zolang wachtwoorden kunnen proberen totdat het ze lukt om je WordPress dashboard te beheren. Wil je nog meer inlog veiligheid, lees dan snel hoofdstuk 5.
Wijzig de naam van de wp-tabellen
Een technische tip van onze eigen WordPress specialist. Verander de naam van de tabellen die WordPress gebruikt. WordPress begint de namen van alle tabellen met wp_ en dus makkelijker te achterhalen. Bij Red Melon geven we de WordPress tabellen dus een andere naam. Welke? Precies, dat maakt het dus al moeilijker.
Verander de WordPress admin url
Hoe kom je snel te weten of een website gebouwd is met WordPress? Door er ‘/wp-admin’ achter te typen en te wachten of je de overbekende WordPress login pagina ziet verschijnen. Wat gebruiken wij bij Red Melon hiervoor? Lockdown WP Admin. Deze plugin verstopt als het ware de WordPress admin (/wp-admin) en de bezoeker krijgt hiervoor een 404-pagina te zien. Lockdown WP Admin kan zorgen voor een andere naam achter de slash en op deze manier is dus niet meteen duidelijk dat je WordPress gebruikt.
Maak sterke wachtwoorden
Een inkopper natuurlijk, maar denk even verder dan PieterDekker81. Feit is dat van alle WordPress hacks er 8% toe te schrijven is aan zwakke wachtwoorden. Maak dus bij voorbaat een wachtwoord waar wat speciale tekens als @, # of ! inzitten. P!eter@Dekker#81 is ook makkelijk voor je te onthouden, maar al een stuk moeilijker te achterhalen.
Update alles
Het is niet voor niets dat WordPress nieuwe releases uitbrengt natuurlijk. Elke release kan het risico op hacken verminderen. Overigens geldt dit niet alleen voor WordPress zelf, maar ook voor de plugins. Niet updaten is vragen om moeilijkheden. Nog even om duidelijk te maken hoe belangrijk dit is. 22% van de WordPress websites is gehackt door een beveiligingsprobleem in een plugin!
Gebruik veilige hosting
Dan de nummer 1. Bijna de helft, 41% van alle WordPress hacks komt door een slechte hosting! Kortom, ga niet zo maar klakkeloos voor de goedkoopste webhosting die je kunt vinden. Doe onderzoek en zorg voor een bekende webhosting met een goede naam en oog voor veiligheid.
Probeer gratis WordPress thema’s te vermijden
Natuurlijk zijn er goede en veilige gratis thema’s, maar de algemene regel is toch wel: het is beter om gratis thema’s te vermijden. Waarom? Uit onderzoek is gebleken dat 29% van alle gehackte WordPress websites is ontstaan door het thema. Meestal gratis en logisch ook, want vaak heb je geen idee hoe kwetsbaar zo’n thema is en met welk doel een gratis thema is gemaakt. Wil je toch een gratis thema, check dan op de sites van gerenommeerde thema bedrijven of kijk op WordPress.org voor een geschikt thema.
Gebruik veilige hosting
Dan de nummer 1. Bijna de helft, 41% van alle WordPress hacks komt door een slechte hosting! Kortom, ga niet zo maar klakkeloos voor de goedkoopste webhosting die je kunt vinden. Doe onderzoek en zorg voor een bekende webhosting met een goede naam en oog voor veiligheid.
Extra WordPress veiligheid: twee stappen authenticatie
Hackers hebben tegenwoordig meerdere manieren op een website te hacken. Een van de meest gebruikte varianten is de zogeheten brute-force attack. Wat is het precies en wat kan je hiertegen doen?
Brute-force attack
Hierbij laten de hackers een script los op een bepaalde website. Dit script zal het wachtwoord van de website zo vaak mogelijk raden, totdat het juiste wachtwoord gevonden is. Op die manier kunnen de hackers dus simpel toegang krijgen tot de backend van een website. Deze aanval is echter te voorkomen door een twee stappen authenticatie in te stellen. Bij een twee stappen authenticatie wordt in feite een tweede verificatiestap in het inlogproces ingebouwd. Dit kan je op twee manieren doen.
Google Authenticator om makkelijker in te loggen
Dit proces wordt in de ogen van sommige gebruikers bemoeilijkt doordat er een extra handeling vereist is. Daarnaast is er in de meeste gevallen een extra device nodig, bijvoorbeeld een mobiele telefoon. Om dit enigszins te vergemakkelijken, heeft Google een app gemaakt; de Google Authenticator. De Google Authenticator app genereert automatisch een unieke code. Indien je probeert in te loggen, weet de Google Authenticator app direct dat er codes moeten worden gezocht voor de tweede stap van het authenticatieproces. Op die manier wordt het inloggen vergemakkelijkt.
Wat kan je doen tegen een Brute-force attack?
Als een websitehouder in wil loggen op zijn/haar eigen website, vult hij de juiste gebruikersnaam en het juiste wachtwoord in. Vervolgens ontvangt de websitehouder op zijn e-mailadres of op zijn mobiele telefoon een unieke code. Pas nadat die unieke code ingevuld is in het inlogsysteem, krijgt de website houder toegang tot de backend van zijn/haar website.
Extra WordPress veiligheid: Cloudflare
Met Cloudfare kan jouw website supersnel worden. Alles kan veilig geregeld worden via HTTPS en zonder gebruik te maken van een SSL certificaat. Hierdoor kunnen ook spammers en hackers buiten de deur worden gehouden. Door de keuze te maken voor Cloudfare wordt het laden van je website versneld. Hoe gaat het in zijn werk?
Werking Cloudfare
Het meest kenmerkende voor Cloudfare is dat het tussen de bezoeker en de website inzit. Als bezoekers naar jouw website gaan, worden zij normaal gesproken door een DNS server doorverwezen naar de webserver. Het is een soort doorschakelstation, waar domeinnamen en servers aan elkaar worden gekoppeld. Maar door Cloudfare te gebruiken wordt de DNS server gebruikt door de server van Cloudfare. De bezoekers komen natuurlijk bij jouw webserver.
Overgang naar Cloudfare
Cloudfare werkt op een DNS niveau. Het is daarbij van belang dat je de name server van je domein gaat veranderen bij het overstappen. Als je dat hebt gedaan, dan worden vanaf dat moment alle DNS-records bij Cloudflare beheerd. Kijk van tevoren goed welke DNS records je hebt en naar welke IP nummers ze verwijzen. Uiteraard wil je bij de overstap maximaal profiteren van Cloudfare. Zorg er daarom voor dat je HTML code goed is en zo min mogelijk fouten bevat. Als je een fout in een code hebt, dan wil dat zeggen dat het compressieproces stopt. Dit kan online gecontroleerd worden, maar je kunt ook altijd advies inwinnen wanneer je je WordPress website over wil zetten om hem beter te beveiligen met Cloudfare. Neem daarvoor even contact met ons op.
Waarom Cloudfare succesvol kan zijn
Je hebt een WordPress website en wil deze beveiligen met Cloudfare? Dat zou een goede keuze kunnen zijn. Het eerste voordeel dat je ervaart met Cloudfare is, dat bezoekers die naar jouw webserver gaan, eerst een cache krijgen van de opgevraagde pagina (deze staat bij Cloudfare). Deze pagina laadt sneller dan je eigen website en is ook gecomprimeerd. Ook worden de afbeeldingen van je site op het netwerk van Cloudfare geladen en gecomprimeerd. Het wordt de bezoekers dan aangeboden via een CDN (Content Delivery Network). Dit netwerk biedt content aan en verspreidt het over de hele wereld.
Er is nog een voordeel en dat is de flexibele SSL functie. De website werkt via een HTTPS protocol. Dit is een stuk veiliger voor je bezoekers, die gegevens achterlaten (contactformulier en login). Google hecht veel waarde aan een veilige website. Veilige websites zullen ook hoger geplaatst kunnen worden in de zoekresultaten. Dat zou voor jou de reden kunnen zijn om je WordPress website te beveiligen met Cloudfare. Een laatste voordeel is dat je dankzij Cloudfare kunt kijken naar ongewenste bezoekers en je kunt hen ook de toegang weigeren tot je website.