juli 6

5 REDENEN WAAROM EEN WORDPRESS SITE GEHACKT WORDT (EN WAT JE KUNT DOEN)

0  comments

Lieveheersbeestjes

Op een dag, toen ik jong was, arriveerde de nieuwe Pentium II computer. Met Windows 95. Als snel volgde een internetaansluiting. Mails opende je in die tijd in Outlook express. Met mails bedoel ik ALLE mails. En alles kwam in je inbox terecht, ik herinner me geen ‘Spam’ map.

Het kon niet uitblijven: op een dag had ik mijn eerste confrontatie met malware. Samen met een vriend zat ik te computeren toen er allemaal lieveheersbeestjes over mijn scherm dansten. Niks werkte meer. Mijn vriend had de oplossing:

 

“Misschien moet je de computer even uitdoen, dan kan hij uitrusten”


Het slechtste advies ooit en ik volgde het klakkeloos op. Ik herinner me nog precies mijn gevoel een uur later toen het scherm van de gezinscomputer bleef hangen op het Windows inlogscherm. Ontkenningsfase: nee he! Opnieuw uit- en aanzetten. Maar je raadt het al: nog meer lieveheersbeestjes feestend op het scherm… 


Je bent niet alleen

Bij websites is het niet anders. Websites zijn gehost op servers, wat in essentie ook ‘maar’ computers zijn. Malware is ook daar aan de orde van de dag.

Het is natuurlijk extra zuur als het je bedrijfswebsite getroffen is. Of je webshop! 

De kans is groot, als je dit leest, dat jouw website op WordPress draait. Je bent niet alleen: volgens W3Tech gebruikt ruim 37% van de websites WordPress.


Door kennis van oplegsloten, vier je als inbreker een feestje vieren in vele oude huizen


Net als de virus-ontwikkelaars van de jaren ‘00 zich op Windows systemen richtten, is WordPress een populair platform onder hackers.

Veel deuren hebben een oplegslot: als je leert hoe je zo een slot onklaar maakt en investeert in bijbehorend gereedschap, vier je als inbreker een feestje vieren in vele oude huizen. Een goede return on investment zullen we maar zeggen.

Dat geldt ook voor WordPress websites. Er zijn er veel van, en ze werken allemaal hetzelfde.

Moet je daarom afzien van WordPress als CMS?
Nee! Er zijn veel dingen die je kunt doen. Dingen die ingewikkeld zijn, maar ook zaken die je makkelijk zelf kunt doen. Hieronder heb ik alvast een lijst gemaakt met items voor een veilig WordPress website. Voldoet jouw website hier al aan?



1. WACHTWOORDEN

Zwakke wachtwoorden op accounts die veel rechten hebben zijn funnest. Overal, maar ook binnen WordPress. Hackers hebben diverse methoden om wachtwoorden te kraken. Vooral van korte wachtwoorden die alleen uit letters of cijfers bestaan worden ze blij - daar ben je lekker snel binnen.

DE OPLOSSING:

Je denkt: dit is een inkopper. Ja, het is een inkopper. De oplossing is natuurlijk: gebruik een sterk wachtwoord. Liefst een die anders is voor elk account. Maar niet iedereen heeft precies helder wat een veilig wachtwoord is! Bovendien zijn veilige wachtwoorden lang en moeilijk te onthouden. Toch?


Ja en nee. Je kunt een password manager gebruiken die ijzersterke wachtwoorden genereert en onthoudt voor je. Zelf gebruik ik LastPass. Dat is voor huis-tuin-en-keuken gebruik gratis.

2. HOSTING & INSTELLINGEN

Zonder hosting geen website. Maar de ene hostingprovider is de andere niet. Het verschilt per partij hoe goed de servers beschermd zijn.  Soms zelfs per hostingpakket! Als een kwaadwillende bij de bestanden achter je website komt, is het game over.

Er hangt ook veel af van de instellingen die jij als hosting klant doet. Dit is best ‘tough stuff’ om uit te leggen en niet voor beginners. Maar je kunt denken aan bijvoorbeeld de PHP versie en de rechten op de bestanden die je hebt geupload. 

DE OPLOSSING:

Ga in zee met een goede hosting partij. Zoek uit hoe zij omgaan met veiligheid en met name als het gaat om WordPress websites. Als je een partij hebt gevonden of al hebt, kijk dan alle belangrijke instellingen na. Een goede hosting provider kan je hierbij helpen.

 Het is lastig van te voren te zeggen welke je moet aanpassen omdat dit heel erg verschilt per WordPress website en de plugins die je gebruikt. Dat zul je dus moeten testen.Als je trouwens een hosting & onderhoudspakket afneemt bij je webbouwer zou deze service er wel bij moeten zitten - let daar dus op en vraag ernaar.

Op Sucuri kun je website scannen op onder andere deze zaken. 

3. ONDERHOUD

Als je wordpress gebruikt en regelmatig inlogt op je admin paneel ken je het wel: het rode cijfer naast de plugins in het menu of de  “Wordpress x.xx.x is beschikbaar!” melding bovenaan. Wat doe je daarmee? Behoor jij tot de groep mensen die door een update een keer hun website hebben gesloopt, en laat je het daarom uit je hoofd?

DE OPLOSSING:

UPDATEN!
Natuurlijk niet alleen je plugins maar ook WordPress zelf. Zodra het kan. Wacht niet. De updates bevatten regelmatig code om zwakke plekken te verhelpen.

Sterker nog, hackers kunnen het internet scannen voor WordPress website die verouderde software gebruiken met bijbehorende veiligheidslekken. Je wilt niet dat je website op hun “easy target” lijsten terecht komt. 

Natuurlijk, updaten is niet zonder risico. Maak daarom altijd eerst een backup. Of nog beter, probeer grote updates eerst op een zogeheten ‘staging’ omgeving - een kopie van je echte website. Dat is wel iets voor gevorderden en wordt door ontwikkelaars vaak gedaan.

4. INLOGGEN

Hoe log jij in op je admin module? Met een gebruikersnaam en wachtwoord? Ben je dan binnen en kun je dan alles aanpassen wat je maar wilt?

Een administrator account is een van de beste dingen die een hacker kan overkomen. Volledige controle over jouw website, je klantgegevens en misschien wel betaalgegevens. 

DE OPLOSSING:

Zelfs met een sterk wachtwoord, kun je je website nog beter beveiligen door een extra laag in te bouwen.
Bijvoorbeeld met 2-staps authenticatie (2FA) via een code in je email. Daarmee verlaag je de kans op een succesvolle hack significant, mits je de andere tips opvolgt natuurlijk, want 2FA zorgt er niet voor dat je een zwak wachtwoord kunt blijven gebruiken!

Er zijn diverse plugins die 2FA mogelijk maken, zelf gebruik ik iThemes Security Pro. Je hebt er ook een gratis versie van, maar die biedt geen 2FA optie. Gelukkig zijn er genoeg plug-ins die dit wel bieden, zoals WP 2FA.  Let wel op, niet elke (gratis) plugin ondersteunt het afdwingen van 2FA bij je gebruikers.

Test het wel altijd goed, zeker als je ook je gebruikers door middel van 2FA wilt laten inloggen. Want als ze bijvoorbeeld niet meer kunnen afrekenen op je webshop heb je een probleem. 

Mijn ervaring is trouwens  dat iThemes soms rare wisselwerkingen heeft met andere plugins. Maar testen is altijd slim natuurlijk, met elke plugin.

5. ADMIN GEBRUIKERSSNAAM

De gebruikersnaam van je admin account. Standaard is dat "admin". Is dat bij jou ook zo?

Als je WordPress voor het eerst installeert is het niet aantrekkelijk om de standaardinstellingen te wijzigen. Je wilt gewoon zo snel mogelijk aan de slag! Of misschien heb je je website wel zo opgeleverd gekregen.

Hoe meer dingen een hacker moet ‘raden’ hoe kleiner de kans op een succesvolle inbraak.
Als je geen 2FA gebruikt, dan is de gebruikersnaam in elk geval al 50% van de gegevens die een hacker nodig heeft… Alsof je de sleutel van je insteekgrendels (deurknipjes) alvast buiten voor de deur legt.

DE OPLOSSING:

Simpel: een  andere gebruikersnaam kiezen. Dat is makkelijk als je WordPress voor het eerst installeert.
Als je al een website hebt, is er een aantal opties om het alsnog te veranderen.

Je kunt een nieuwe gebruiker maken met admin rechten met de juiste naam, en je oude admin gebruiker weggooien.

Er zijn verder plugins in omloop die dit voor je kunnen doen. Daar heb ik verder geen ervaring mee.

Als je technisch bent kun je het ook heel makkelijk en snel aanpassen in de database van wordpress.


Op de blog van Kinsta leggen ze al deze manieren goed uit.



En?


Dat waren ze. Ik hoop dat je je website veiliger hebt kunnen maken. 

Natuurlijk kun je nog veel verder gaan, maar ik denk dat de meeste websites niet goed scoren op bovenstaande punten dus daarmee heb je al veel winst te pakken.


Hoe zit het het met jouw website? Had jij alle punten al voor elkaar of hebt je een wijziging gedaan? 




Tags


DIT VIND JE MISSCHIEN OOK INTERESSANT

5 REDENEN WAAROM EEN WORDPRESS SITE GEHACKT WORDT (EN WAT JE KUNT DOEN)

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>