Meer dan 37% van alle websites maakt gebruik van WordPress. Hiermee is dit het meest populaire content management systeem (CMS) om websites mee te beheren. Door de populariteit van WordPress, is het ook een doelwit van hackers. Daarnaast gebruiken vele WordPress websites ook plugins, waardoor extra functionaliteiten mogelijk gemaakt kunnen worden. Vele plugins worden niet of te laat onderhouden, waardoor kwetsbaarheden een langere tijd uit te buiten zijn. Zorg er dus voor dat u uw WordPress website optimaal beveiligt aan de hand van deze tips.
Het doel van de meeste hackers is om toegang tot WordPress-websites te krijgen waarbij ze admin-rechten hebben. Dit doen hackers op de volgende manieren:
- Brute force-aanvallen – WordPress brute force-aanvallen gebruiken de WordPress-inlogpagina om steeds combinaties van gebruikersnaam en wachtwoord in te voeren totdat een succesvolle combinatie is ontdekt;
- File Inclusion Exploits – Deze vinden plaats wanneer kwetsbare code wordt gebruikt om externe bestanden te laden waarmee hackers toegang tot uw website kunnen krijgen;
- SQL-inucties – WordPress maakt gebruik van de MySQL database om alle data op te slaan. Met geslaagde SQL-inucties krijgt een hacker toegang tot de WordPress-database en alle websitegegevens. Een hacker maakt dan mogelijk een nieuw gebruikersaccount op beheerdersniveau aan waarmee hij vervolgens kan inloggen en volledige toegang te krijgt tot uw WordPress-website;
- Cross-Site Scripting (XSS) – Een hacker vindt een manier om een slachtoffer ertoe te brengen webpagina’s te laden met onveilige javascript-code. Deze scripts worden geladen zonder medeweten van de bezoeker en worden vervolgens gebruikt om gegevens uit hun browsers te stelen;
- Malware – Dit is code die wordt gebruikt om onbevoegde toegang tot een website te krijgen om gevoelige gegevens te verzamelen. Een gehackte WordPress-site betekent meestal dat er malware is geïnucteerd in de bestanden van uw website.
Gelukkig is WordPress te beveiligen zodat u geen slachtoffer wordt van deze hacks. Hieronder 7 tips:
1. Gebruik een betrouwbare hosting leverancier
Vaak starten organisaties met een goedkoop hostingpakket op een shared hosting account. Dit betekent dat er een heleboel websites op de webserver staan, waaronder uw website. U loopt dan het risico dat andere websites uw website in gevaar brengen doordat ze op dezelfde server staan. Daarnaast kan het voorkomen dat uw website op een server staat van een hosting leverancier die de eigen infrastructuur niet goed beveiligd heeft. Hoe goed u uw WordPress website ook hebt beveiligd maakt dan niet uit: u kunt niets doen tegen een slecht beveiligde (server) infrastructuur. Zorg dus dat u een betrouwbare hosting leverancier uitkiest voor uw WordPress website. Vraag hiervoor rond bij kennissen naar hun ervaringen of bekijk online reviews.
2. Maak gebruik van HTTPS
Als u gebruik maakt van een SSL-certificaat, stuurt u alle pagina’s van uw WordPress website via een beveiligde HTTPS verbinding naar de browsers van de bezoekers. Dit is een extra beveiligingslaag waardoor hackers minder kans hebben om toegang te krijgen tot uw website. U kunt hiervoor de gratis Let’s Encrypt open source SSL certificaten gebruiken.
3. Update WordPress, thema en plugins regelmatig
Ook WordPress heeft regelmatig (beveiligings)updates van de software. Dit geldt ook voor het thema en de plugins die u gebruikt. Zorg dus dat u hiervan de laatste versies gebruikt. Hackers zijn namelijk op zoek naar kwetsbare WordPress versies, thema’s en plugins om zo toegang te krijgen tot websites.
Let ook op de keuze van het thema en de plugins die u gebruikt. Zorg dat deze van een betrouwbare leverancier komen, want er zijn helaas ook gratis thema’s en plugins die voorzien zijn van malware of backdoors. Ook zijn er vele plugins die slecht onderhouden worden, waardoor nieuw ontdekte kwetsbaarheden pas na lange tijd opgelost worden.
4. Installeer een WordPress beveiligingsplugin
Een beveiligingsplugin zorgt voor controles van de bestandsintegriteit, betere algemene beveiliging, het beperken van het aantal inlogpogingen, sterke wachtwoordhandhaving, 404-detecties, brute force-bescherming en nog veel meer. U kunt hiervoor de plugins van Sucuri of iThemes Security gebruiken.
5. Verander de standaard admin gebruikersnaam
Standaard is de gebruikersnaam van het beheerdersaccount van uw WordPress site ‘admin’. Dit is natuurlijk makkelijk te onthouden, alleen hiermee heeft u wel een extra kwetsbaarheid. Veel hackers gebruiken ‘admin’ als login omdat hackers hopen dat site-eigenaren deze gebruikersnaam niet heeft aangepast. U kunt deze gebruikersnaam veranderen door een nieuwe gebruiker aan te maken die u vervolgens beheerdersrechten geeft. Meld u daarna aan met uw nieuwe beheerdersaccount en verwijder het oude standaard admin-account. Met de meeste beveiligingsplugins kunt u dit ook aanpassen.
6. Verander de standaard login folder
Om in te loggen in uw WordPress-website, is het standaardadres ‘uwsite.nl/wp-admin’. Door dit zo te laten, kunt u mogelijk het doelwit worden van een brute force-aanval om u gebruikersnaam / wachtwoord-combinatie te hacken. Ook dit is aan te passen binnen de instellingen. Om dit te voorkomen, kunt u de inlog-URL van de beheerder wijzigen of een beveiligingsvraag toevoegen aan de registratie- en inlogpagina. U kunt dit via een beveiligingsplugin veranderen. Daarnaast is het aan te raden om voor extra beveiliging u eigen IP adres toe te voegen voor toegang tot deze folder.
7. Maak regelmatig backups
Deze tip mag natuurlijk niet ontbreken: mocht uw site toch het slachtoffer van een hack zijn geworden, kunt u in vele gevallen niets anders dan helemaal opnieuw beginnen. Zorg dus dat u regelmatig backups maakt. Hiervoor kunt u de plugins UpdraftPlus, Duplicator of Jetpack gebruiken.