Hoe voorkom je dat je WordPress site gehackt wordt?
Zo nu en dan krijg in telefoontje of mailtje van een klant die in paniek direct hulp nodig heeft voor zijn website. Mijn site is gehackt! Kun je hier direct naar kijken?
Het kan variëren van vreemde pop-ups en links naar externe websites tot dat de website helemaal niet meer werkt. Soms zijn deze links voorzien van schaars geklede dames, maar wat je tegenwoordig meer ziet zijn sites die virussen verspreiden.
Dat wil je dan natuurlijk wel direct opgelost hebben! Natuurlijk probeer ik in deze gevallen zo snel mogelijk een oplossing te vinden. Het is echter veel beter om dit te voorkomen. Sites die goed onderhouden worden en goed ingesteld zijn worden namelijk zelden gehackt.
Wat is de bedreiging? Wat is een hacker?
Helaas zijn er mensen en systemen die actief bezig zijn met het hacken van websites. Met de term “hacker” komen er al snel de volgende dingen in je gedachten naar voren:
- De Whizzkid tiener die vanuit een donkere kelder werkt;
- Digitale James Bonds die proberen criminelen en overheden te infiltreren;
- Ondergrondse netwerken die vechten voor vrijheid, gelijkheid en tegen corruptie.
Hoewel al deze hacker scenario’s bestaan, is het erg onwaarschijnlijk dat deze achter jouw site aan gaan. Tenzij je geheimagent bent natuurlijk…
De werkelijkheid is echter anders, de hacker die achter jouw website aangaat is eerder een domme robot. Niet veel slimmer dan een robotarm in een fabriek die steeds dezelfde schroef vastdraait.
Deze robots (of eigenlijk bots) zijn computer programma’s die niet veel anders doen dan het volgende:
- Zoek een site;
- Lanceer 1 of meerdere specifieke aanvallen;
- Als een aanval lukt, installeer malware e.d. op de website.
De malware kan van alles doen, bijvoorbeeld proberen bezoekers van de website te besmetten met virussen, spam versturen of andere sites aanvallen.
Je website hoeft dus helemaal geen specifiek doelwit te zijn om gehackt te worden. De hackers (bots) weten helemaal niet waar je site over gaat en dat interesseert ze ook helemaal niet. Hun doel is simpelweg zoveel mogelijk sites besmetten.
De maker van de bot wil alleen maar zoveel mogelijk bronnen tot zijn beschikking krijgen om op de een of andere manier geld te verdienen.
Elke site die kwetsbaar is wordt dus op een gegeven moment gevonden en gehackt. Je kunt dus maar beter zorgen dat je website niet kwetsbaar is. Of in ieder geval het hacken zo moeilijk mogelijk maken, zodat de geautomatiseerde hack tools niet werken.
Hoe houdt ik mijn WordPress site veilig?
Je kunt de je WordPress website een heel stuk veiliger maken door de volgende acties te ondernemen:
- Kies een moeilijk wachtwoord;
- Gebruik 2-weg authenticatie;
- Gebruik een beveiligde verbinding;
- Installeer updates voor WordPress, thema’s en plug-ins;
- Installeer een beveiligingsplug-in;
- Scan je site op malware;
- Maak regelmatig back-ups.
Kies een moeilijk wachtwoord
Het ligt misschien erg voor de hand, maar kies een moeilijk wachtwoord. Hoeveel mensen gebruiken niet als wachtwoord hun naam met een getal er achter? Dat is dus geen veilig wachtwoord!
Software die automatisch wachtwoorden probeert heeft namelijk geen enkele moeite om deze wachtwoorden te kraken. Kies dus een moeilijk wachtwoord met:
- Hoofdletters, kleine letters, cijfers en als het even kan speciale tekens.
- Probeer ook volledige woorden en namen te mijden. Vaak worden namelijk woorden en namen lijsten gebruikt om wachtwoorden te raden.
- Maak je wachtwoord ook niet te kort, want dat verminderd het aantal mogelijke combinaties. Je wachtwoord moet tenminste 10 karakters lang zijn.
- Hergebruik geen wachtwoorden van andere sites. Als 1 site gehackt wordt kan de hacker overal inloggen waar jij hetzelfde wachtwoord gebruikt hebt.
Je kunt het beste gebruik maken van een password manager om een moeilijk wachtwoord te genereren en op te slaan. Anders wordt het erg moeilijk om alle deze moeilijke wachtwoorden te onthouden.
Enkele mogelijke password managers zijn:
Gebruik 2-weg authenticatie
Eventueel kun je het nog wat moeilijker maken door 2-way authenticatie aan te zetten (via een plug-in). Je moet dan nog een extra beveiligingscode invoeren bij het inloggen die door je mobiele telefoon gegenereerd wordt. Zonder toegang tot je mobiele telefoon komt de hacker er mooi niet in, zelfs als het wachtwoord bekend is.
Het is natuurlijk niet altijd even handig als je nog een extra code moet invoeren. In dit geval moet je de veiligheid dan ook afwegen tegen het gebruiksgemak.
Met de plug-ins iThemes Security Pro of Wordfence kun je bijvoorbeeld 2-weg authenticatie gebruiken op je Wordpres website.
Gebruik een beveiligde verbinding
Als je wachtwoorden over een onbeveiligde verbinding verzonden worden, dan kunnen deze onderschept worden. Dit kan bijvoorbeeld gebeuren doordat je computer of een router tussen jouw computer en de hosting server besmet is met een virus. Zekere bij gratis WiFi hotspots kan dit nog wel eens gebeuren.
Gebruik dus sFTP (secure FTP) i.p.v. FTP als je aan je website werkt. Bij het onbeveiligde FTP worden namelijk de wachtwoorden als platte tekst verstuurd.
Beveilig ook je website met HTTPS (SSL / TLS). Anders kunnen ook de wachtwoorden voor het inloggen op het WordPress dashboard onderschept worden. Tevens het gebruik van HTTPS ook een pluspunt voor Google. Dus dit is zeker de moeite waard.
Installeer updates
Regelmatig worden er nieuwe lekken in de beveiliging van WordPress, thema’s en plug-ins ontdekt. Niet omdat WordPress een slecht pakket is, maar juist omdat WordPress zo populair is. Het is voor hackers zeker de moeite waard om te zoeken naar lekken in een systeem dat op miljoenen websites gebruikt wordt.
Deze lekken worden over het algemeen vrij snel opgelost. Je moet echter wel de updates installeren om hier van te kunnen profiteren…
Vertrouw er niet op dat dit automatisch gebeurd. De laatste versies van WordPress installeren wel automatisch beveiligingsupdates voor WordPress zelf, maar niet voor de plug-ins en thema’s.
Over het algemeen kun je het beste ook steeds upgraden naar de laatste versie van WordPress. Oude versies worden namelijk op een gegeven moment niet meer ondersteund en dan komen er ook geen beveiligingsupdates meer uit.
Beveiligingsplug-ins
Je kunt de beveiliging van je site ook verder verbeteren door gebruik te maken van een beveiligingsplug-in. Deze kunnen o.a. helpen WordPress veilig te configureren en kunnen verschillende bekende aanvallen blokkeren.
De twee bekendste beveiligingsplug-ins zijn:
- iThemes Security
- Wordfence
Van beide plug-ins zijn zowel een gratis versie beschikbaar als een premium of pro versie waarvoor wel betaald moet worden. De betaalde versies hebben net iets meer functies. Je kunt het beste zelf kijken of je dit de kosten waard vindt.
Installeer echter niet meer dan één beveiligingsplug-in. Dit kan tot conflicten leiden en kan er zelfs voor zorgen dat je site helemaal niet meer werkt.
Web Application Firewall (WAF)
Als de aanvallers (of hackers) je site niet kunnen bereiken, dan kunnen zo ook geen schade aanrichten. Dit is precies wat een WAF firewall doet. Aan de hand van het gedrag van bezoekers en bekende aanvalspatronen worden hackers geblokkeerd voordat ze op je site kunnen komen.
De WAF firewall controleert bijvoorbeeld:
- Of er eerder aanvallen van het IP adres van de bezoeker zijn uitgevoerd;
- Of de gebruiker wel een persoon is en geen geautomatiseerd systeem (bot);
- Of de gebruiker verdachte acties uitvoert (patroon herkenning);
- Of de gebruiker bekende hacks probeert uit te voeren;
- Of de gebruik probeert alle inhoud van de site te kopiëren.
Zodra de firewall met voldoende zekerheid kan vaststellen dat de gebruiker een aanvaller is, wordt deze direct en volledig automatisch geblokkeerd. Bij twijfel kan de firewall bijvoorbeeld een captcha (afbeelding met letters) tonen om er zeker van te zijn dat het om echte bezoeker gaat en geen bot.
Deze bescherming is dus zeker één van de beste, maar helaas ook de duurste. Er is overigens geen garantie dat de WAF elke type aanval kan tegen houden. Zorg dus dat je altijd ook de andere beveiligingstips uitvoert.
Enkele bekende aanbieders van een WAF zijn:
- Cloudflare (bij betaalde accounts)
- Stackpath
- Sucuri
Scan je site op malware
Het heeft weinig zin om je site verder te beveiligen als de hacker al binnen is. Controleer daarom eerst of er nog geen malware op je site staat.
Je kunt dit gratis doen met de scanner van:
Indien gewenst kun je ook een abonnement afsluiten om je site regelmatig te laten controleren op malware. Persoonlijk denk ik niet dat dit nodig is als je beveiliging van je site op orde hebt.
Maak regelmatig back-ups
Iedereen weet wel dat je van al je werk back-ups moet maken voor het geval dat je een keer iets (of alles) kwijtraakt. Dat geldt ook voor je website. Helaas doen we dit vaak niet. Wij mensen zijn hier eigenlijk te lui voor of te druk, net hoe je het wilt bekijken.
Daarom is het verstandig om back-ups automatisch te laten plaatsvinden. Bij voorkeur op een andere server dan waar de site op draait. Je wilt immers niet dat je bij een hack er achter komt dat ook de back-ups verwijderd zijn. Daarnaast heb je ook niets aan back-ups die op de server staan als de server het begeeft.
Check dus of je hosting provider back-ups voor je maakt en waar deze opgeslagen worden. Een hosting provider zal echter vrijwel nooit garanties geven over de beschikbaarheid van back-ups en hoe snel deze teruggezet kunnen worden.
Je kunt daarom ook als extra maatregel een back-up plug-in inzetten die je back-ups ergens in de Cloud opslaat. Dan heb je altijd een back-up van je site. Zelfs als je hosting provider van de aardbodem verdwijnt.
Enkele bekende back-up plug-ins voor WordPress:
Hulp nodig?
Wil je meer weten over hoe je jouw site beter kun beveiligen? Neem dan gerust contact met ons op voor vrijblijvend advies. Of stel je vraag hieronder bij de reacties.
Als je hier liever helemaal geen omkijken naar hebt dan kun je er ook voor kiezen om een onderhoudsovereenkomst af te sluiten. Dan zorgen wij voor de beveiliging van je website en kun jij je tijd besteden aan waar jij goed in bent.
Ik hoop dat je wat aan deze blog post hebt gehad. Zo ja, kun je hem dan delen met je netwerk? Al vast bedankt.