14 maart 2016

Hoe veilig is jouw WordPress website?

Dat banken, verzekeraars en overheden last hebben van Phishing en DDoS-aanvallen is nog wel te begrijpen. Daar valt immers iets te halen. Maar wist je dat juist kleinere WordPress-websites vaak slachtoffer zijn van geautomatiseerde aanvallen? Alle reden dus om te zorgen voor een goede beveiliging. Waarom en hoe? Dat lees je hier.

Eerst iets meer over WordPress

Voor veel startende bedrijven en zzp’ers is gratis software aantrekkelijk. Wie weinig geld te makken heeft, kan zo toch zorgen voor een professioneel visitekaartje op internet en de nodige klanten binnenhalen. Sinds november 2005 kan iedereen bij WordPress een gratis blog aanmaken, maar inmiddels wordt WordPress vooral gebruikt als content-management-systeem. Dankzij de open-source-software is WordPress constant in ontwikkeling. Daardoor kunnen veiligheidslekken ook snel worden gevonden. In die zin is de gratis nieuwste basisversie dus nog wel veilig te noemen. Maar om hackers en geautomatiseerde aanvallen echt buiten de deur te houden, is nog iets meer inspanning nodig.

Wat kan er misgaan als je beveiliging niet op orde is?

Om je besef van wat er zoal mis kan gaan met je WordPress-website op te frissen, hierbij enkele voorbeelden uit de praktijk.

Binnenkomen via ‘lekken’ op de site

Een verouderde WordPress-installatie, thema of niet onderhouden plugin gebruikt? Dan is het een koud kunstje om je site binnen te dringen en geïnfecteerde bestanden te installeren. Het gevolg: je websitebezoekers worden keurig naar een website geleid voor het kopen van zogenaamde Louis Vuitton-tassen.

Onveilige WordPresswebsite

Een onveilige WordPresswebsite: de bezoeker wordt doorgeleid naar een website met tassen die van Louis Vuitton zouden zijn.

Een vergeten demo-account

Een ander Walhalla voor hackers is een demo-account. Verbazingwekkend hoeveel demo-accounts als gebruikersnaam ‘demo’ en als wachtwoord ook ‘demo’ hebben. Zijn er ook nog beheerdersrechten aan die demo-account gekoppeld, dan is het voor die hacker wel heel erg gemakkelijk om de site binnen te komen en zijn ‘ding’ te doen…..

Informatie achterhalen met een handige tool

Er bestaat een tool, genaamd WPScan, waarmee een handige jongen of meid een totale scan van jouw WordPress-website kan maken. Hiermee kan hij of zij informatie achterhalen zoals WordPress-versie, gebruikersnamen, geïnstalleerde thema’s en plugins, inclusief versienummers. En met die informatie gaat deze hacker dan snel aan de haal. Hieronder zie je enkele voorbeelden van dergelijke scans.

Websitescan

Scan van een WordPresswebsite met WPScan

Wachtwoorden achterhalen

WPScan is ook een handig hulpmiddel om voor de gevonden gebruikersnamen te proberen het wachtwoord te achterhalen. Met een Brute Force Attack gaat deze tool wachtwoorden uitproberen om zo in te kunnen loggen op jouw WordPress-website. Denk je dat jouw wachtwoord veilig is? Kijk dan maar eens in deze lijst met bijna 15 miljoen wachtwoorden.

Wachtwoorden

Wachtwoorden achterhalen met WPScan

Kortom, dit wil je niet!

Thema’s en plugins: gratis of betalen?

WordPress werkt op basis van thema’s, aangevuld met plugins. Je kunt hierbij kiezen uit drie mogelijkheden: de standaard vormgeving van WordPress, gratis aangeboden opties of betaalde opties. Kies je voor de WordPress-standaard, dan zit je redelijk goed. WordPress zorgt namelijk voor up-to-date middelen die steeds worden doorontwikkeld. Alleen is de keus wel beperkt.

Kies je voor gratis middelen, dan moet je opletten. Je werkt zelf immers ook niet gauw voor niets. Dat geldt dus ook voor alle gratis aangeboden middelen. Dat leuke thema wordt wellicht niet verder ontwikkeld en onderhouden, met als gevolg dat je al snel een verouderd thema gebruikt, dat niet meer voldoet aan de laatste beveiligingseisen. Betaalde opties zijn daarom de meest veilige aangezien je hier de zekerheid hebt van doorontwikkeling en ondersteuning.

Vijf tips om je WordPress-website goed te beveiligen

Je kunt bovenstaande problemen vrij eenvoudig voorkomen met behulp van de volgende tips.

  1. Installeer een beveiligingsplugin, bijvoorbeeld de Plugin iThemes Security, en zorg dat deze goed wordt geconfigureerd. Daar is wel wat programmeerkennis voor nodig, maar dan blokkeert deze plugin dusdanig veel, dat bovenstaande voorbeelden niet meer kunnen lukken.
  2. Kies een goede hostingprovider. Een goedkope provider zal weinig service bieden om jouw website te beveiligen. Gespecialiseerde WordPress-providers bieden extra service die ervoor zorgt dat jouw site goed wordt beschermd.
  3. Let op welke thema’s en plugins je installeert. Worden deze goed bijgehouden en doorontwikkeld? Dan ben je goed beveiligd. Zo niet, dan ontstaan er al snel lekken.
  4. Updaten, updaten en updaten. Door jouw WordPress-installatie, plugins en thema’s regelmatig te updaten voorkom je een hoop ellende. Updates zijn belangrijk om nieuwe lekken te dichten.
  5. Kies veilige wachtwoorden en verander deze regelmatig. Vaak gebruik je hetzelfde wachtwoord voor meerdere accounts. Dat is natuurlijk wel makkelijk, maar niet slim. Het gebruik van een sterk wachtwoord is heel belangrijk en het regelmatig aanpassen daarvan bemoeilijkt het vinden van je wachtwoord met een Brute Force Attack.

Aan jouw website geen polonaise meer als je de beveiliging optimaal regelt. Tenzij je “Louis Vuitton”-tassen wilt gaan verkopen.

Loop geen risico en laat een veiligheidsscan van je WordPress-website maken. Neem contact op met Senne.