22 april 2020
Grote kans dat jouw website met behulp van WordPress is gecreëerd. Maar vraag je je weleens af hoe veilig dat is? De vele blogs die er zijn over het beveiligen van WordPress komen van bedrijven die je zelf een betaalde plugin als oplossing bieden, kort door de bocht en niet geheel belangeloos advies dus. Maar wat kun je nu zelf doen om je site op een degelijke manier te beveiligen? In deze blog laat ik je in een aantal stappen zien hoe je een goede basis legt.
Is WordPress überhaupt veilig?
WordPress is het meest gebruikte CMS- en blogplatform met een marktaandeel van meer dan 35% van het hele web. Ze zijn dus heel groot en nemen de beveiliging uiterst serieus. Zo hebben ze een eigen securityteam van meer dan 50 mensen, bestaande uit beveiligingsexperts en ontwikkelaars. Daarnaast is er een grote community die eveneens scherp is op de beveiliging van het systeem en de installaties. Desondanks worden WordPress sites relatief vaak gehacked. Er zijn zelfs onderzoeken die aangeven aan dat het in een shocking 90% van de gevallen om een WordPress-omgeving gaat. Omdat WordPress het meest gekozen CMS is, is het logisch dat hackers proberen hiervan gebruik te maken.
Je eigen computer
Het begint allemaal bij de computer waarmee je inlogt op WordPress. Update regelmatig het besturingssysteem, je software en de browsers op deze computer. En gebruik een goede antivirusservice. Mocht er namelijk iets op je systeem staan (bijv. een keylogger die bijhoudt welke wachtwoorden je invult), dan hebben alle volgende stappen die ik noem eigenlijk geen zin.
Houd WordPress up-to-date
Het is aan te raden om WordPress altijd up-to-date te houden. De meeste hacks komen voor in verouderde installaties. Omdat WordPress open-source is, zal bij elke update ook duidelijk worden wát er is verbeterd. Hiermee wordt vaak pijnlijk duidelijk wat er in de vorige versie dus mogelijk misbruikt kan worden, met als resultaat dat dit vaak het uitgangspunt is voor zo’n hack. Omdat natuurlijk niet alle WordPress websites regelmatig geüpdatet worden.
Het kan echter zijn dat je website niet goed meer werkt na een update, maak daarom het liefst goede afspraken met de persoon of partij die kennis heeft van je installatie en laat altijd voor een update een back-up maken van de omgeving.
Je thema en de plugins
Het grote voordeel van bestaande WordPress thema’s is dat je met minder werk een behoorlijk professionele website kan maken en gebruik kan maken van alle opties die al in het thema zitten. Onze ervaring is echter dat vooral deze thema’s ook vaak kwetsbaarheden bevatten. En dat je hierbij volledig afhankelijk bent van de maker(s) van dit thema en de licentie die je hebt afgesloten als je wil updaten (of die update voor jou wel beschikbaar is).
Ditzelfde geldt voor plugins, die in sommige gevallen onmisbaar zijn bij het gekochte thema. Het fijne van WordPress is dat er voor elke functie wel een aantal (gratis) plugins verkrijgbaar zijn. Er is echter geen toezicht op de kwaliteit en kwetsbaarheden binnen deze plugins (bijv. op de manier waarop Apple dit wél doet voor apps in hun Appstore). Het is hierbij belangrijk dat je (of de partij die dit voor je uitvoert) weet welke set aan vertrouwde plugins het beste werken én dat het updaten van deze plugins de stabiliteit en werking van je website niet beïnvloeden. Omdat het installeren en gebruiken van extra plugins erg makkelijk is binnen WordPress, is het verleidelijk om hiermee te experimenteren. Dit raden we echter af! Zelfs als je de plugin de-activeert en weggooit, kan hij sporen achterlaten in je database, waardoor je site kwetsbaarder is geworden. Wees spaarzaam met het aantal plugins dat je gebruikt, en laat regelmatig updates uitvoeren.
Ditzelfde geldt voor plugins, die in sommige gevallen onmisbaar zijn bij het gekochte thema. Het fijne van WordPress is dat er voor elke functie wel een aantal (gratis) plugins verkrijgbaar zijn. Er is echter geen toezicht op de kwaliteit en kwetsbaarheden binnen deze plugins (bijv. op de manier waarop Apple dit wél doet voor apps in hun Appstore). Het is hierbij belangrijk dat je (of de partij die dit voor je uitvoert) weet welke set aan vertrouwde plugins het beste werken én dat het updaten van deze plugins de stabiliteit en werking van je website niet beïnvloeden. Omdat het installeren en gebruiken van extra plugins erg makkelijk is binnen WordPress, is het verleidelijk om hiermee te experimenteren. Dit raden we echter af! Zelfs als je de plugin de-activeert en weggooit, kan hij sporen achterlaten in je database, waardoor je site kwetsbaarder is geworden. Wees spaarzaam met het aantal plugins dat je gebruikt, en laat regelmatig updates uitvoeren.
De hosting
Vaak draait je site niet als enige op de server van de hoster. Het is een shared omgeving waarop nog veel meer sites draaien, van andere klanten van die hoster. Hierdoor ben je in principe gevoelig voor kruisbesmetting. Het zou bijvoorbeeld zo kunnen zijn dat een andere website op die hosting niet regelmatig updates draait, zo’n buur-site kan gehacked worden, en indien de server door de hostingpartij niet op een juiste manier is beveiligd, kan men toegang krijgen tot jouw installatie van WordPress. Helemaal voorkomen kun je dit niet, vooral omdat je vaak niet weet hoe en of de hostingpartij zijn zaken goed op orde heeft m.b.t. het voorkomen van dit soort kruisbesmettingen. Er zijn diverse goede partijen die WordPress specifieke hostingpakketten hebben. Kijk dus altijd kritisch naar de hostingpartij en laat je informeren over de opties.
Bij het afsluiten van hosting wordt er door de hoster een ruimte voor je ingericht. Dan zetten ze ook vaak de op dat moment recente versie van PHP en MySQL (database) aan. De hoster zal zelf niet snel deze versies na verloop van tijd updaten, dit omdat de website niet altijd werkt met de nieuwere versie en ze zo’n besluit daarom volledig aan de klant overlaten. Net als bij WordPress zijn PHP en MySQL onderhevig aan versies en kwetsbaarheden. Het is daarom goed om hier minimaal één keer per jaar eens naar te laten kijken, vooral omdat de meest recente versie van WordPress ook vaak een recente versie van PHP en MySQL nodig hebben.
Sterke wachtwoorden
Dit punt wordt vaak onderschat. Je hebt voor veel diensten en services wachtwoorden nodig en als je geen goede password manager hebt (een tool waarin je je wachtwoorden veilig op kunt slaan zonder dat je ze hoeft te herinneren), zie je vaak dat gebruikers één wachtwoord gebruiken voor diverse diensten en dit ook jarenlang blijven gebruiken. Dit is een kwetsbaarheid. Er zijn online diverse databases met e-mailadressen en wachtwoorden te verkrijgen van eerder gehackte diensten. Zo is er jaren geleden bijvoorbeeld een grote hack geweest bij Adobe waardoor alle wachtwoorden op straat kwamen te liggen. Is dit gekoppeld aan een e-mailadres dat ook gebruikt wordt in WordPress, dan is het aannemelijk dat bij een Brute-force aanval er gebruik gemaakt wordt van deze informatie. Maak je wachtwoorden niet generiek of gerelateerd aan het bedrijf. Vermijd dus in het wachtwoord de naam van de site, het bedrijf, je gebruiker, je naam, je telefoonnummer e.d. Maar maak een uniek wachtwoord aan, dat eigenlijk zo goed is dat je het zelf niet kunt onthouden (en je dit dus bewaart in je beveiligde online kluis, nooit in een los tekstbestand of e-mailbericht).
Gebruik tweefactorauthenticatie
Inloggen met tweefactorauthenticatie (2FA) is een stuk veiliger en verkleint de kans dat je wordt gehackt. Naast je wachtwoord gebruik je dan een tweede middel om je te identificeren. Denk aan een SMS op het 06 nummer dat je gekoppeld hebt, of een app zoals Google Authenticator of Microsoft Authenticator die een tijdelijke code geeft. In gebruik en toegankelijkheid heeft deze functie niet snel onze voorkeur, maar als de site eerder gehacked is of veel persoonsgegevens verwerkt (denk aan een ‘mijn’ omgeving of een tool waarmee ingevulde formulieren in WordPress worden opgeslagen), dan zou ik toch voor deze optie kiezen.
Maak het lastiger voor een brute force login
Zonder al te diep in te gaan op de techniek: zorg dat je niet ongelimiteerd kan proberen in te loggen. Er zijn diverse goede (betaalde) plugins die kunnen helpen bij het opzetten van dergelijke maatregelen binnen je WordPress omgeving. Dit gaat van het automatisch ‘bannen’ van een IP na x pogingen, tot aan het alleen toestaan om in te loggen van specifieke IP’s (wat voor thuiswerkers mogelijk een barrière kan zijn). Vraag vooral naar de opties bij je developer of de partij die de website up-to-date houdt.
Verwijder oude gebruikers
Vaak zijn er in-actieve gebruikers in het CMS: de medewerker die intussen bij een ander bedrijf is gaan werken, het online marketingbureau dat niet meer voor jullie werkt of de medewerker die na het schrijven van een aantal dingen in de site, geen actieve rol meer heeft in het bijhouden van de website. Die gebruikers kunnen ook makkelijk te raden wachtwoorden of onveilige systemen hebben die daarmee toegang hebben tot WordPress. Verwijder dus regelmatig in-actieve gebruikers.
Heb je helder wat er is besloten over bovenstaande punten? Top! Helemaal zeker ben je nooit, maar als je afspraken hebt gemaakt over het up-to-date houden van je installatie, plugins en thema, dan loop je vaak al een stapje voor op anderen. Heb je deze afspraken nog niet? Maak deze dan zo snel mogelijk, uiteraard kunnen wij hierin ook een rol spelen. Neem bij vragen dan ook gerust contact op:
Er kunnen een aantal dingen gebeuren waardoor je weet of je site inderdaad gehacked is:
Dit zijn de meest voorkomende gevolgen van een site die gehacked is. Merk je dat dit in jouw site het geval is of gebeurt er iets anders verdachts: neem contact op met de beheerder van je WordPress installatie of bel ons op: 088 762 40 10. Daarnaast kun je met de gratis tool van Sucuri een scan doen op je website inderdaad gehacked lijkt te zijn (deze tool geeft een indicatie en kan van buiten nooit 100% zekerheid geven):
Als eerste is het goed om intern met je collega’s af te stemmen wie de ‘lead’ neemt richting het oplossen van dit probleem. Daarnaast is het goed om de nodige gegevens voor handen te hebben / te gaan verzamelen:
Uiteindelijk moet de oorzaak eerst gevonden worden. Daarna moeten alle gebruikers van het CMS een nieuw wachtwoord krijgen en moeten alle plugins, themes e.d. nagelopen en/of geüpload worden (om hacks in de bestanden uit te sluiten). Het beheerpaneel van de hoster moet een nieuw wachtwoord krijgen en toegang tot FTP moet opnieuw worden ingericht. Allemaal dingen die het liefst worden uitgevoerd door iemand die ervaring heeft met het verhelpen van deze problematiek. Heb je deze persoon nog niet? Wij zijn al diverse keren pas op het moment van een hack ingeschakeld en hebben vervolgens de nodige maatregelen getroffen om de site weer veilig in de lucht te krijgen en te houden.
Zoek je een geschikte partij voor het beheer of oplossen van dergelijke problemen? Wij helpen je graag! Neem gewoon eens contact op om een samenwerking te verkennen..