WPLounge
Home » Tutorials » SQL injection aanvallen op je WordPress site voorkomen

SQL injection aanvallen op je WordPress site voorkomen

Je WordPress website beschermen tegen SQL injectie aanvallen

Wat is een SQL injection aanval en wat kunnen hackers ermee?

SQL injection aanvallen (ook bekend als SQLI) zijn een populaire methode om de WordPress database te hacken. Door de juiste manipulatie toe te passen krijgt de hacker toegang tot het afgeschermde deel van de database. Zo doen ze dat: 

De hacker stuurt een SQL verzoek naar de database. In dit verzoek is kwaadaardige code gemaskeerd als een normale actie op je website. Bijvoorbeeld het inloggen op je WordPress website of het invullen van een contactformulier. Door de kwaadaardige code uit te voeren op een kwetsbare database krijgt de hacker toegang tot de database. Wat kan de hacker daarmee? 

  • Inloggegevens stelen
  • Toegang tot databases krijgen
  • Data veranderen/manipuleren
  • Data wissen
  • Vanuit de database toegang verkrijgen tot andere onderdelen van het systeem

Naast het verkrijgen van database toegang kan de hacker met SQL injections tables van de database aanpassen. Daardoor kan de aanvaller beheerdersrechten verkrijgen. Hierdoor kan de hacker je complete WordPress website gijzelen, aanpassen of wissen.

Voorbeelden van SQL injection aanvallen in de praktijk

Er zijn talloze praktijkvoorbeelden van SQLI, een aantal promintente zaken: 

Affiliate disclaimer:
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.
  • Tesla: Website breach waarmee hackers door middel van SQL injection beheerdersrechten van de website konden verkrijgen. Daarmee konden de hackers klantgegevens buitmaken.
  • 7 Eleven: Bedrijfssystemen van meerdere bedrijven binnengedrongen waarbij 130 miljoen creditcardnummers buitgemaakt werden.
  • Turkse overheid: RedHack paste een SQL injection toe om de website van de Turkse overheid te hacken.

Als dit soort grote bedrijven en instanties gehackt kunnen worden dan zal een simpele WordPress website kinderspel zijn, niet? Nou, niet altijd. Veel gevallen zijn makkelijk te voorkomen. Bijvoorbeeld door de beveiliging en updates van je website op orde te hebben. Hieronder een paar tips om jouw website te beschermen tegen SQL injections. 

Plugins om SQL injection aanvallen in WordPress tegen te gaan

Sucuri Security

Sucuri Security is een van de populairste plugins om WordPress te beveiligen. Deze plugin heeft een uitstekende reputatie door de zeer uitgebreide functies en opties. Sucuri biedt onder meer: 

TIP VAN WPLOUNGE
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!

Bekijk de themes »»
Lees meer over Divi.
  • Activiteits auditing
  • Bestands monitoring
  • Malware scan
  • Notificaties
  • Firewall (Alleen bij de betaalde versie)
Sucuri Security WordPress plugin

WordFence

WordFence is net zoals Sucuri een all in one plugin voor beveiliging. Dit wil zeggen dat praktisch alle beveiligingsfuncties die een WordPress website nodig heeft in de plugin verwerkt zijn. WordFence blinkt uit in: 

  • De firewall
  • Malware scannen
  • Inlogbeveiliging (2FA, en brute force preventie)
  • Real time monitoring van website verkeer
WordFence WordPress plugin

All in one WP Security & Firewall

Deze security plugin is minder bekend dan WordFence en Sucuri. Maar toch heeft deze plugin een zeer uitgebreide feature lijst. De plugin is 100% gratis, er bestaat dus geen betaalde versie. Alles wat deze plugin kan is gewoon gratis, waaronder:

  • Login lockdown (schakelt inloggen uit tijdens brute force aanvallen)
  • Bescherming tegen het bewerken van bestanden en backups
  • Firewall
  • Detectie van veranderingen in bestanden
  • Voorkomen van comment spam
All in one WP Security & Firewall WordPress plugin

Beginners manieren om SQL injection aanvallen (SQLI) op WordPress te voorkomen

Update WordPress tijdig

Het up to date houden van WordPress is een van de makkelijkse manieren om hacks en andere narigheid te voorkomen. Kwetsbaarheden in plugins worden vaak aan de ontwikkelaar bekend gemaakt. Vaak nog voordat de kwetsbaarheden gepubliceerd worden. Hierdoor heeft de ontwikkelaar de tijd om de kwetsbaarheden in de plugin of het thema te verhelpen. 

Door je WordPress website dagelijks te updaten maakt je altijd gebruik van de nieuwste versies van plugins en thema’s. Let op: 

  • Zorg dat je altijd een backup hebt voordat je update!
  • Test na het updaten altijd je website om te controleren of alles nog werkt! Een update kan soms onverwachte gevolgen hebben.
WordPress updaten om SQL injectie aanvallen te voorkomen

Verwijder ongebruikte plugins en thema’s

Elke plugin vormt in meer of mindere mate een beveiligingsrisico. Dit komt doordat niet alle kwetsbaarheden bekend zijn. Het kan dus zomaar zijn dat een of meer van jouw plugins een kwetsbaarheid bevatten. 

Zo lang de kwetsbaarheid niet bekend is hoeft dat geen probleem te zijn. Maar zodra hackers lucht krijgen van een nieuwe manier om WordPress websites te hacken maken ze daar gretig gebruikt van. 

Door ongebruikte plugins en thema’s te verwijderen kunnen hackers geen gebruik maken van eventuele kwetsbaarheden in deze code. Dus als je een plugin niet meer gebruikt, verwijder deze dan. 

WordPress plugins verwijderen om SQL injectie aanvallen te voorkomen

Verwijder oude gebruikers uit WordPress

Bij websites met meerdere beheerders of auteurs kan het aantal gebruikers snel oplopen. In principe hoeft dat geen probleem te zijn. Tenminste, als elke gebruiker de best practices voor beveiliging toepast. In de praktijk zien we dat dit niet altijd het geval is. 

Inactieve gebruikers, specifiek gebruikers met beheerders privileges zijn een potentiëel veiligheidsrisico voor je website. Als hackers toegang krijgen tot de mail van een van de gebruikers is het een koud kunstje om het wachtwoord van de WordPress account te herstellen

WordPress gebruikers verwijderen om SQL injectie aanvallen te voorkomen

Gevorderden: Manieren om je website te beschermen tegen SQL injection aanvallen (SQLI)

Voor iedereen die een stapje verder durft te gaan zijn hier nog een aantal tips om de technische beveiliging van je website te verbeteren. 

Filter en valideer input formulieren op je website

Een van de meest gebruikte methoden die hackers toepassen bij een SQL injection is door kwaadaardige code naar een formulier op je website te sturen. Denk hierbij aan een inlogscherm of contactformulier. Input validatie en filtering kan op een relatief simpele manier voorkomen dat er kwaadaardige code via deze formulieren bij de database terecht komt. 

Voorkom gebruik van dynamische SQL

Dynamische SQL vormt een risico door de manier waarop het geautomatiseerd is. In plaats van statische SQL kan de dynamische variant automatisch statements uitvoeren. Gebruik daarom prepared statements, geparameteriseerde queries or stored procedures

Beperk toegangsrechten

Door toegangsrechten te beperken bescherm je jouw website beter tegen SQL injections. Verkeerd ingestelde toegangsrechten kan WordPress blootstellen aan SQL injection aanvallen (SQLI). Stel de rollen en rechten van gebruikers dus goed in om problemen te voorkomen. 

Schakel database foutmelding in het frontend uit

Hackers kunnen veel informatie uit WordPress foutmeldingen halen. Denk hierbij aan meldingen die weergeven of een gebruikersnaam wel of juist niet bestaat, het emailadres van de beheerdersaccount en in sommige gevallen zelfs delen van interne code. De makkelijkste manier om te voorkomen dat hackers via deze methode informatie buitmaken is het uitschakelen van gespecificeerde foutmeldingen. 

Altijd een optimaal beveiligde website?

Kies voor WPLounge WordPress hosting en wij zorgen ervoor dat je website altijd beveiligd en up to date is. Zo kan jij je concentreren op de groei van je zaak terwijl wij zorgen voor een veilige en supersnelle WordPress website.

Beoordeel dit artikel

Robin

Robin schrijft graag over SEO, online marketing en WordPress.

Reageer

Partners