Meer dan 43% van alle websites maakt gebruik van WordPress. Hiermee is dit het meest populaire content management systeem (CMS) om websites mee te beheren. Door de populariteit van WordPress, is het ook een doelwit van hackers. Daarnaast gebruiken vele WordPress websites ook plugins, waardoor extra functionaliteiten mogelijk gemaakt kunnen worden. Vele plugins worden niet of te laat onderhouden, waardoor kwetsbaarheden een langere tijd uit te buiten zijn. Zorg er dus voor dat je jouw WordPress website optimaal beveiligt aan de hand van deze tips.
Het doel van de meeste hackers is om toegang tot WordPress-websites te krijgen waarbij ze admin-rechten hebben. Dit doen hackers op de volgende manieren:
- Brute force-aanvallen – WordPress brute force-aanvallen gebruiken de WordPress-inlogpagina om steeds combinaties van gebruikersnaam en wachtwoord in te voeren totdat een succesvolle combinatie is ontdekt;
- File Inclusion Exploits – Deze vinden plaats wanneer kwetsbare code wordt gebruikt om externe bestanden te laden waarmee hackers toegang tot uw website kunnen krijgen;
- SQL-inucties – WordPress maakt gebruik van de MySQL database om alle data op te slaan. Met geslaagde SQL-inucties krijgt een hacker toegang tot de WordPress-database en alle websitegegevens. Een hacker maakt dan mogelijk een nieuw gebruikersaccount op beheerdersniveau aan waarmee hij vervolgens kan inloggen en volledige toegang te krijgt tot uw WordPress-website;
- Cross-Site Scripting (XSS) – Een hacker vindt een manier om een slachtoffer ertoe te brengen webpagina’s te laden met onveilige javascript-code. Deze scripts worden geladen zonder medeweten van de bezoeker en worden vervolgens gebruikt om gegevens uit hun browsers te stelen;
- Malware – Dit is code die wordt gebruikt om onbevoegde toegang tot een website te krijgen om gevoelige gegevens te verzamelen. Een gehackte WordPress-site betekent meestal dat er malware is geïnucteerd in de bestanden van uw website.
Gelukkig is WordPress te beveiligen zodat je geen slachtoffer wordt van deze hacks. Hieronder 11 tips:
1. Gebruik een betrouwbare hosting leverancier
Vaak starten organisaties met een goedkoop hostingpakket op een shared hosting account. Dit betekent dat er een heleboel websites op de webserver staan, waaronder jouw website. Je loopt dan het risico dat andere websites uw website in gevaar brengen doordat ze op dezelfde server staan. Daarnaast kan het voorkomen dat je website op een server staat van een hosting leverancier die de eigen infrastructuur niet goed beveiligd heeft. Hoe goed je jouw WordPress website ook hebt beveiligd maakt dan niet uit: je kunt niets doen tegen een slecht beveiligde (server) infrastructuur. Zorg dus dat je een betrouwbare hosting leverancier uitkiest voor jouw WordPress website. Vraag hiervoor rond bij kennissen naar hun ervaringen of bekijk online reviews.
2. Maak gebruik van HTTPS
Als je gebruik maakt van een SSL-certificaat, stuur je alle pagina’s van je WordPress website via een beveiligde HTTPS verbinding naar de browsers van de bezoekers. Dit is een extra beveiligingslaag waardoor hackers minder kans hebben om toegang te krijgen tot jouw website. Je kunt hiervoor de gratis Let’s Encrypt open source SSL certificaten gebruiken.
3. Update WordPress, thema en plugins regelmatig
Ook WordPress heeft regelmatig (beveiligings) updates van de software. Dit geldt ook voor het thema en de plugins die je gebruikt. Zorg dus dat je hiervan de laatste versies gebruikt. Hackers zijn namelijk op zoek naar kwetsbare WordPress versies, thema’s en plugins om zo toegang te krijgen tot websites. Let ook op de keuze van het thema en de plugins die je gebruikt. Zorg dat deze van een betrouwbare leverancier komen, want er zijn helaas ook gratis thema’s en plugins die voorzien zijn van malware of backdoors. Ook zijn er vele plugins die slecht onderhouden worden, waardoor nieuw ontdekte kwetsbaarheden pas na lange tijd opgelost worden.
4. Installeer een WordPress beveiligingsplugin
Een beveiligingsplugin zorgt voor controles van de bestandsintegriteit, betere algemene beveiliging, het beperken van het aantal inlogpogingen, sterke wachtwoordhandhaving, 404-detecties, brute force-bescherming en nog veel meer. Je kunt hiervoor de plugins van Sucuri of iThemes Security gebruiken.
5. Gebruik sterke wachtwoorden en een wachtwoordmanager
Zwakke of hergebruikte wachtwoorden vormen een groot risico. Gebruik altijd sterke, unieke wachtwoorden voor alle accounts en sla deze veilig op met een wachtwoordmanager. Zoals bijvoorbeeld KeePass of LastPass.
6. Gebruik twee-factor-authenticatie (2FA)
Met twee-factor-authenticatie voeg je een extra beveiligingslaag toe naast je wachtwoord. Naast het invoeren van je wachtwoord moet je bijvoorbeeld een code invoeren via een app op je telefoon. Hierdoor kunnen hackers veel moeilijker toegang krijgen, zelfs als ze je wachtwoord weten te achterhalen. Veel beveiligingsplugins ondersteunen 2FA standaard.
7. Verander de standaard admin gebruikersnaam
Standaard is de gebruikersnaam van het beheerdersaccount van je WordPress site ‘admin’. Dit is natuurlijk makkelijk te onthouden, alleen heb je hiermee wel een extra kwetsbaarheid. Veel hackers gebruiken ‘admin’ als login omdat hackers hopen dat site-eigenaren deze gebruikersnaam niet heeft aangepast. Je kunt deze gebruikersnaam veranderen door een nieuwe gebruiker aan te maken die je vervolgens beheerdersrechten geeft. Meld je daarna aan met je nieuwe beheerdersaccount en verwijder het oude standaard admin-account. Met de meeste beveiligingsplugins kan je dit ook aanpassen.
8. Verander de standaard login url (maar vertrouw hier niet alleen op)
Om in te loggen in je WordPress-website, is het standaardadres ‘uwsite.nl/wp-admin’. Door dit zo te laten, kun je mogelijk het doelwit worden van een brute force-aanval om je gebruikersnaam/wachtwoord-combinatie te hacken. Ook dit is aan te passen binnen de instellingen. Om dit te voorkomen, kan je de inlog-URL van de beheerder wijzigen of een beveiligingsvraag toevoegen aan de registratie- en inlogpagina. Je kunt dit via een beveiligingsplugin veranderen. Daarnaast is het aan te raden om voor extra beveiliging je eigen IP adres toe te voegen voor toegang tot deze folder. Let op: dit is slechts een extra laag en geen vervanging voor echte beveiligingsmaatregelen zoals sterke wachtwoorden en 2FA.
9. Schakel XML-RPC (Remote Procedure Call protocol ) uit als je het niet gebruikt
XML-RPC wordt soms misbruikt voor aanvallen, zoals brute force-aanvallen. Gebruik je deze functionaliteit niet? Schakel deze dan uit om je website veiliger te maken.
10. Gebruik een firewall en malware scanning
Een Web Application Firewall (WAF) en malware scanning helpen om aanvallen te blokkeren voordat ze je website bereiken en om verdachte bestanden te detecteren. Denk hierbij bijvoorbeeld aan beveiligingsoplossingen zoals Sucuri, of Wordfence, die zowel firewallbescherming als malware scanning bieden.
11. Maak regelmatig backups
Deze tip mag natuurlijk niet ontbreken: mocht je site toch het slachtoffer van een hack zijn geworden, kan je in vele gevallen niets anders dan helemaal opnieuw beginnen. Zorg dus dat je regelmatig backups maakt. Hiervoor kan je de plugins UpdraftPlus of Jetpack gebruiken. Minstens zo belangrijk: test ook of je deze back-ups daadwerkelijk kunt herstellen, zodat je zeker weet dat ze werken.
Bron: NCSC.nl
Fotocredits: Istock/Pugun SJ