fbpx
Home Blogs Hoe beveilig je een WordPress website?

Hoe beveilig je een WordPress website?

22 april 2020

Grote kans dat jouw website met behulp van WordPress is gecreëerd. Maar vraag je je weleens af hoe veilig dat is? De vele blogs die er zijn over het beveiligen van WordPress komen van bedrijven die je zelf een betaalde plugin als oplossing bieden, kort door de bocht en niet geheel belangeloos advies dus. Maar wat kun je nu zelf doen om je site op een degelijke manier te beveiligen? In deze blog laat ik je in een aantal stappen zien hoe je een goede basis legt.

Is WordPress überhaupt veilig?
WordPress is het meest gebruikte CMS- en blogplatform met een marktaandeel van meer dan 35% van het hele web. Ze zijn dus heel groot en nemen de beveiliging uiterst serieus. Zo hebben ze een eigen securityteam van meer dan 50 mensen, bestaande uit beveiligingsexperts en ontwikkelaars. Daarnaast is er een grote community die eveneens scherp is op de beveiliging van het systeem en de installaties. Desondanks worden WordPress sites relatief vaak gehacked. Er zijn zelfs onderzoeken die aangeven aan dat het in een shocking 90% van de gevallen om een WordPress-omgeving gaat. Omdat WordPress het meest gekozen CMS is, is het logisch dat hackers proberen hiervan gebruik te maken.

Tips om je website minder gevoelig te maken voor hacks

Je eigen computer

Het begint allemaal bij de computer waarmee je inlogt op WordPress. Update regelmatig het besturingssysteem, je software en de browsers op deze computer. En gebruik een goede antivirusservice. Mocht er namelijk iets op je systeem staan (bijv. een keylogger die bijhoudt welke wachtwoorden je invult), dan hebben alle volgende stappen die ik noem eigenlijk geen zin.

Houd WordPress up-to-date

Het is aan te raden om WordPress altijd up-to-date te houden. De meeste hacks komen voor in verouderde installaties. Omdat WordPress open-source is, zal bij elke update ook duidelijk worden wát er is verbeterd. Hiermee wordt vaak pijnlijk duidelijk wat er in de vorige versie dus mogelijk misbruikt kan worden, met als resultaat dat dit vaak het uitgangspunt is voor zo’n hack. Omdat natuurlijk niet alle WordPress websites regelmatig geüpdatet worden.

Het kan echter zijn dat je website niet goed meer werkt na een update, maak daarom het liefst goede afspraken met de persoon of partij die kennis heeft van je installatie en laat altijd voor een update een back-up maken van de omgeving.

Je thema en de plugins

Het grote voordeel van bestaande WordPress thema’s is dat je met minder werk een behoorlijk professionele website kan maken en gebruik kan maken van alle opties die al in het thema zitten. Onze ervaring is echter dat vooral deze thema’s ook vaak kwetsbaarheden bevatten. En dat je hierbij volledig afhankelijk bent van de maker(s) van dit thema en de licentie die je hebt afgesloten als je wil updaten (of die update voor jou wel beschikbaar is).

Ditzelfde geldt voor plugins, die in sommige gevallen onmisbaar zijn bij het gekochte thema. Het fijne van WordPress is dat er voor elke functie wel een aantal (gratis) plugins verkrijgbaar zijn. Er is echter geen toezicht op de kwaliteit en kwetsbaarheden binnen deze plugins (bijv. op de manier waarop Apple dit wél doet voor apps in hun Appstore). Het is hierbij belangrijk dat je (of de partij die dit voor je uitvoert) weet welke set aan vertrouwde plugins het beste werken én dat het updaten van deze plugins de stabiliteit en werking van je website niet beïnvloeden. Omdat het installeren en gebruiken van extra plugins erg makkelijk is binnen WordPress, is het verleidelijk om hiermee te experimenteren. Dit raden we echter af! Zelfs als je de plugin de-activeert en weggooit, kan hij sporen achterlaten in je database, waardoor je site kwetsbaarder is geworden. Wees spaarzaam met het aantal plugins dat je gebruikt, en laat regelmatig updates uitvoeren.

Ditzelfde geldt voor plugins, die in sommige gevallen onmisbaar zijn bij het gekochte thema. Het fijne van WordPress is dat er voor elke functie wel een aantal (gratis) plugins verkrijgbaar zijn. Er is echter geen toezicht op de kwaliteit en kwetsbaarheden binnen deze plugins (bijv. op de manier waarop Apple dit wél doet voor apps in hun Appstore). Het is hierbij belangrijk dat je (of de partij die dit voor je uitvoert) weet welke set aan vertrouwde plugins het beste werken én dat het updaten van deze plugins de stabiliteit en werking van je website niet beïnvloeden. Omdat het installeren en gebruiken van extra plugins erg makkelijk is binnen WordPress, is het verleidelijk om hiermee te experimenteren. Dit raden we echter af! Zelfs als je de plugin de-activeert en weggooit, kan hij sporen achterlaten in je database, waardoor je site kwetsbaarder is geworden. Wees spaarzaam met het aantal plugins dat je gebruikt, en laat regelmatig updates uitvoeren.

De hosting

Vaak draait je site niet als enige op de server van de hoster. Het is een shared omgeving waarop nog veel meer sites draaien, van andere klanten van die hoster. Hierdoor ben je in principe gevoelig voor kruisbesmetting. Het zou bijvoorbeeld zo kunnen zijn dat een andere website op die hosting niet regelmatig updates draait, zo’n buur-site kan gehacked worden, en indien de server door de hostingpartij niet op een juiste manier is beveiligd, kan men toegang krijgen tot jouw installatie van WordPress. Helemaal voorkomen kun je dit niet, vooral omdat je vaak niet weet hoe en of de hostingpartij zijn zaken goed op orde heeft m.b.t. het voorkomen van dit soort kruisbesmettingen. Er zijn diverse goede partijen die WordPress specifieke hostingpakketten hebben. Kijk dus altijd kritisch naar de hostingpartij en laat je informeren over de opties.

Bij het afsluiten van hosting wordt er door de hoster een ruimte voor je ingericht. Dan zetten ze ook vaak de op dat moment recente versie van PHP en MySQL (database) aan. De hoster zal zelf niet snel deze versies na verloop van tijd updaten, dit omdat de website niet altijd werkt met de nieuwere versie en ze zo’n besluit daarom volledig aan de klant overlaten. Net als bij WordPress zijn PHP en MySQL onderhevig aan versies en kwetsbaarheden. Het is daarom goed om hier minimaal één keer per jaar eens naar te laten kijken, vooral omdat de meest recente versie van WordPress ook vaak een recente versie van PHP en MySQL nodig hebben.

Sterke wachtwoorden
Dit punt wordt vaak onderschat. Je hebt voor veel diensten en services wachtwoorden nodig en als je geen goede password manager hebt (een tool waarin je je wachtwoorden veilig op kunt slaan zonder dat je ze hoeft te herinneren), zie je vaak dat gebruikers één wachtwoord gebruiken voor diverse diensten en dit ook jarenlang blijven gebruiken. Dit is een kwetsbaarheid. Er zijn online diverse databases met e-mailadressen en wachtwoorden te verkrijgen van eerder gehackte diensten. Zo is er jaren geleden bijvoorbeeld een grote hack geweest bij Adobe waardoor alle wachtwoorden op straat kwamen te liggen. Is dit gekoppeld aan een e-mailadres dat ook gebruikt wordt in WordPress, dan is het aannemelijk dat bij een Brute-force aanval er gebruik gemaakt wordt van deze informatie. Maak je wachtwoorden niet generiek of gerelateerd aan het bedrijf. Vermijd dus in het wachtwoord de naam van de site, het bedrijf, je gebruiker, je naam, je telefoonnummer e.d. Maar maak een uniek wachtwoord aan, dat eigenlijk zo goed is dat je het zelf niet kunt onthouden (en je dit dus bewaart in je beveiligde online kluis, nooit in een los tekstbestand of e-mailbericht).

Gebruik tweefactorauthenticatie
Inloggen met tweefactorauthenticatie (2FA) is een stuk veiliger en verkleint de kans dat je wordt gehackt. Naast je wachtwoord gebruik je dan een tweede middel om je te identificeren. Denk aan een SMS op het 06 nummer dat je gekoppeld hebt, of een app zoals Google Authenticator of Microsoft Authenticator die een tijdelijke code geeft. In gebruik en toegankelijkheid heeft deze functie niet snel onze voorkeur, maar als de site eerder gehacked is of veel persoonsgegevens verwerkt (denk aan een ‘mijn’ omgeving of een tool waarmee ingevulde formulieren in WordPress worden opgeslagen), dan zou ik toch voor deze optie kiezen.

Maak het lastiger voor een brute force login

Zonder al te diep in te gaan op de techniek: zorg dat je niet ongelimiteerd kan proberen in te loggen. Er zijn diverse goede (betaalde) plugins die kunnen helpen bij het opzetten van dergelijke maatregelen binnen je WordPress omgeving. Dit gaat van het automatisch ‘bannen’ van een IP na x pogingen, tot aan het alleen toestaan om in te loggen van specifieke IP’s (wat voor thuiswerkers mogelijk een barrière kan zijn). Vraag vooral naar de opties bij je developer of de partij die de website up-to-date houdt.

Verwijder oude gebruikers
Vaak zijn er in-actieve gebruikers in het CMS: de medewerker die intussen bij een ander bedrijf is gaan werken, het online marketingbureau dat niet meer voor jullie werkt of de medewerker die na het schrijven van een aantal dingen in de site, geen actieve rol meer heeft in het bijhouden van de website. Die gebruikers kunnen ook makkelijk te raden wachtwoorden of onveilige systemen hebben die daarmee toegang hebben tot WordPress. Verwijder dus regelmatig in-actieve gebruikers.

Hoe weet ik of ik gevaar loop?

Heb je helder wat er is besloten over bovenstaande punten? Top! Helemaal zeker ben je nooit, maar als je afspraken hebt gemaakt over het up-to-date houden van je installatie, plugins en thema, dan loop je vaak al een stapje voor op anderen. Heb je deze afspraken nog niet? Maak deze dan zo snel mogelijk, uiteraard kunnen wij hierin ook een rol spelen. Neem bij vragen dan ook gerust contact op:

Hoe weet je of je website gehacked is?

Er kunnen een aantal dingen gebeuren waardoor je weet of je site inderdaad gehacked is:

  • Als je in je Google Analytics een onverklaarbare afname ziet in bezoekers, dit zou er op kunnen wijzen dat je site bezoekers omleidt naar een andere site zonder dat jij dit in de gaten hebt. De beste hacks vallen in eerste instantie niet op.
  • Er verschijnen vreemde en ongewenste links in bestaande pagina’s en posts.
  • In WordPress zie je gebruikers die niet door jullie zijn aangemaakt, vaak lijken dit wel ‘echte’ accounts door subtiele verschillen. Gebruikersnamen als ‘Admin_’ of “Site Administrator’ met een onbekend e-mailadres.
  • Je kunt zelf niet meer inloggen. Na een hack willen de hackers weleens voorkomen dat huidige gebruikers er nog bij kunnen, in dit geval zou je via de database een gebruiker moeten resetten.
  • Vreemde en onverklaarbare bestanden op je server.
  • Links in je sitemap.xml die geen links zijn naar je eigen website of linken naar pagina’s die niet bestaan.
  • Er worden ongevraagde advertenties in je website getoond of er komen pop-ups naar voren die je niet kunt verklaren.
  • Je website is langzaam of reageert helemaal niet meer.
  • Links naar je site via Google komen niet meer op je eigen site terecht, maar linken door naar vreemde websites en/of advertenties.
  • Je ontvangt geen e-mail meer vanuit WordPress, bijvoorbeeld na ingevulde formulieren (al kan dit ook andere verklaringen hebben).

Dit zijn de meest voorkomende gevolgen van een site die gehacked is. Merk je dat dit in jouw site het geval is of gebeurt er iets anders verdachts: neem contact op met de beheerder van je WordPress installatie of bel ons op: 088 762 40 10. Daarnaast kun je met de gratis tool van Sucuri een scan doen op je website inderdaad gehacked lijkt te zijn (deze tool geeft een indicatie en kan van buiten nooit 100% zekerheid geven):

 Wat te doen als de site gehacked is?

Als eerste is het goed om intern met je collega’s af te stemmen wie de ‘lead’ neemt richting het oplossen van dit probleem. Daarnaast is het goed om de nodige gegevens voor handen te hebben / te gaan verzamelen:

  • Draaien er online campagnes bijv via Google AdWords? Informeer de betrokken marketeers en pauzeer alle campagnes tot nader orde om daar geen geld te verliezen.
  • Informeer collega’s over het ongemak op de website en dat delen van blogs, artikelen of content van de site op social media in de tussentijd even gestaakt moet worden.
  • Verzamel de gegevens/login voor het hosting pakket en het beheerpaneel.
  • FTP toegang (vaak ontvangen bij het afsluiten van het pakket en anders aan te maken via het beheerpaneel).
  • Login gegevens van een gebruiker met admin rechten in WordPress.
  • Bepaal wie jou hierbij kan helpen en wat hierover de afspraken zijn. Onverwachte rekeningen achteraf of geen prioriteit krijgen met dit probleem zijn zorgen waar je niet op zit te wachten.

Uiteindelijk moet de oorzaak eerst gevonden worden. Daarna moeten alle gebruikers van het CMS een nieuw wachtwoord krijgen en moeten alle plugins, themes e.d. nagelopen en/of geüpload worden (om hacks in de bestanden uit te sluiten). Het beheerpaneel van de hoster moet een nieuw wachtwoord krijgen en toegang tot FTP moet opnieuw worden ingericht. Allemaal dingen die het liefst worden uitgevoerd door iemand die ervaring heeft met het verhelpen van deze problematiek. Heb je deze persoon nog niet? Wij zijn al diverse keren pas op het moment van een hack ingeschakeld en hebben vervolgens de nodige maatregelen getroffen om de site weer veilig in de lucht te krijgen en te houden.

Zoek je een geschikte partij voor het beheer of oplossen van dergelijke problemen? Wij helpen je graag! Neem gewoon eens contact op om een samenwerking te verkennen..