WordPress Beveiliging

By Kishan on August 29th, 2012
Wordpress Security

Laatste tijden is er heel wat gesproken over de beveiliging van bestaande content management systemen. Dit onderwerp kwam naar voren nadat een heleboel Surinaamse websites gehacked waren. Twee van de personen van wie de website gehacked zijn, zijn naar mij toegestapt voor een nieuwe website. Zij vonden echter dat ik daar geen WordPress voor moest gebruiken. Nu wil ik middels dit artikel de beveiliging van WordPress bespreken, aangezien ik toch bekend ben met het WordPress systeem.

 

“Wordpress is niet secure”

Dit wordt vaker gezegd door personen die een negatieve ervaring hebben ondergaan. Personen die te maken hebben gehad met een website die gehackt is. Deze personen geven WordPress gauw de schuld, maar de core van WordPress is integendeel heel erg secure. Wordt er een “gat” ontdekt in de beveiliging, dan is de development team van WordPress heel snel om deze te verbeteren. WordPress is nou eenmaal open-source en wordt dus door meerdere developers in de gaten gehouden.

Als de core zo secure is, hoe komt het toch nog voor dat een WordPress site gehackt wordt? De meest voorkomende gevallen zijn:

  • Geen up-to-date versie van WordPress
  • Geen secure themes en plug-ins
  • Slechte wachtwoorden
  • Gestolen FTP-Inloggegevens
  • Hosting problemen

U kunt hier meer lezen hierover: 400 WordPress Security Vulnerabilities?!

 

“Niemand wilt mijn website hacken”

Denk je dat echt? De hackers zijn tegenwoordig zo snel dat zij het hacken automatisch laten geschieden. Het hoeft dan niet om een persoonlijke of politieke issue te gaan. Ook de inhoud van een website maakt niet uit. Men denkt vaak dat men toch niks verkoopt, geen credit card gegevens of andere gevoelige informatie is op de site te vinden, dus waarom zou men het hacken. Wat bereikt men dan door any site te hacken?

  • Men kan links op jouw site plaatsen om zo hun SEO ranking te verhogen
  • Men kan jouw traffic doorgeleiden naar een andere website
  • Men kan met behulp van malware informatie uit de computers van je bezoekers halen

Dit zijn slechts enkele voorbeelden, meer informatie kan je hier vinden: Are Small Sites Targeted For Hacking?

 


“Mijn WordPress website is 100% secure”

Nope. Geen enkele website op het internet kan 100% secure zijn. Het gaat altijd mogelijk zijn om een website te hacken.
Het is daarom belangrijk om een goeie backup en recovery plan te hebben. Mocht er wat gebeuren met de website, dan moet dit zo snel mogelijk opgelost zijn.

Deze drie websites kunnen helpen om zo’n backup plan op te zetten:

 

“Ik gebruik alleen themes van anderen en van wordpress.org, dus die zijn veilig”

Op wordpress.org worden de themes inderdaad eerst bekeken door de WordPress Team, maar zij kunnen de updates niet scannen. Dat is dus ook niet aan te raden.
Betaalde themes worden goed in de gaten gehouden, maar dan nog ben je niet zeker van wat er geprogrammeerd is in zo’n theme. Over gratis theme praten we al helemaal niet. Het is vaker voorgekomen dat themes van derden een heleboel extra scripts hebben om statistieken en andere informatie te sturen naar derden.

Hieronder zie je een screenshot (met dank aan Navin Poeran) van een theme waarin er stiekem links naar andere sites geplaatst worden (voor SEO ranking).

Dangers of using a free WordPress themeEnkele handige artikelen kan je hier vinden:

 

“Wordpress updaten bij het inloggen is cool”

Helemaal cool. Niet alleen WordPress zou steeds up-to-date gehouden moeten worden, maar ook de themes en plug-ins. Het updaten is belangrijk, omdat bij elke beveiligingsupdate WordPress publiekelijk bekendmaakt wat het probleem was bij de oude versie. Dit wordt dan natuurlijk misbruikt door de hackers. Het is aangeraden om dagelijks in te loggen op je WordPress website om zo zeker van te zijn dat je website up-to-date is.

Hier kan je wat meer informatie vinden: Update Notifications.

 

“Ik installeer een security plug-in en dat doet de job voor me”

Je hebt een security plug-in nodig. Eigenlijk een goeie mix van plug-ins. Maar een WordPress website secure houden vergt veel meer dan alleen het installeren van enkele plug-ins.

Andere factoren waar je zeker rekening mee moet houden zijn:

  • Een goeie anti-virus, anti-malware en firewall voor de computers waarmee je kan inloggen op de website en je hosting account
  • Aanmaken en bijwerken van sterke wachtwoorden
  • Gebruik maken van secure FTP verbindingen
  • Internet toegang voor gevoelige WordPress bestanden blokkeren

 

“Als ik een theme of plug-in uitschakel, dan is het ok”

Dat is niet zo. Elke file die op je server is, is bereikbaar via het internet, behalve als je het specifiek blokkeert. Dit wilt echter zeggen dat ook uitgeschakelde themes en plug-ins een probleem kunnen zijn voor jouw website.

Het beste is dus om alles wat je niet gebruikt te verwijderen. Als je het niet wilt verwijderen, zorg er dan tenminste voor dat deze up-to-date zijn.

 

“Als mijn website gehackt wordt, merk ik het wel snel op”

Professionele hackers zijn er niet in geïnteresseerd dat jij het weet dat zij jouw website gehacked hebben. Het kan dus voorkomen dat het heel lang duurt voordat je weet dat je website gehacked, als je het tenminste te weten komt.

Enkele hacks die moeilijk te herkennen zijn:

  • doorsturen van al het verkeer afkomstig van een zoekmachine, dus als je de url intypt in je browser of een bookmark knopje gebruikt, ga je er niks van merken.
  • toevoegen van verborgen tekst en url’s naar andere websites (zie afbeelding boven).

Om dit aan te pakken heb je “off-site monitoring” nodig, voor meer informatie hierover zie:

 

Mijn wachtwoord is goed genoeg

Als je password iets van “!@7Dhhs&@%78^():><gdfs84&#,.” is en op geen enkel andere website gebruikt wordt, kan je zeggen dat het goed is. Anders moet je nu wat anders gaan bedenken. Gebruik niet hetzelfde wachtwoord voor meerdere websites.

De wachtwoorden “password” en “123456” zijn nog steeds de meest gebruikte wachtwoorden. Voor meer informatie zie:

 

Ik hoop dat ik met bovenstaande een beetje duidelijkheid heb kunnen brengen in al het gebeuren rondom WordPress beveiliging. Als je het goed aanpakt, dan is er niks mee. Laat je het liggen, dan zoek je zelf voor problemen.

Heb jij zelf ook een WordPress website? Hoe beveilig jij jouw website?

Wat u nu kunt doen?

Contact mij!

Fotografie diensten nodig? Wilt u een website hebben of wilt u een social media strategie ontwikkelen voor uw bedrijf of product? Neem contact op met mij.

Reageer

Is er iets onduidelijk? Of wilt u uw mening geven? Is er iets wat ik verkeerd gezegd heb? Laat een reactie achter

Reageer