WPLounge
WordPress kwetsbaarheden
Home » WordPress Algemeen » WordPress kwetsbaarheden oplossen

WordPress kwetsbaarheden oplossen

WordPress websites zijn geweldig maar kunnen kwetsbaar zijn voor online aanvallen. Het CMS wint nog steeds aan populariteit, en is daarmee helaas ook een target voor hackers. Waar moet je op letten bij het onderhouden en updaten van je website?

Affiliate disclaimer:
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.

Vaak voorkomende WordPress kwetsbaarheden

Hackers beschikken over geavanceerde tools waarmee ze kwetsbare WordPress websites kunnen opsporen. Vervolgens maken ze misbruik van die kwetsbaarheden. Volgens een onderzoek van WordFence waren de meeste WordPress aanvallen het gevolg van kwetsbaarheden in plugins en bruteforce aanvallen.

WordPress kwetsbaarheden

Zorg er voor dat je WordPress website zo min mogelijk kwetsbaarheden heeft. Als alternatief kan je WPLounge inschakelen om de beveiliging van je website te verbeteren. Dat geeft rust!

TIP VAN WPLOUNGE
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!
Bekijk de themes »»
Lees meer over Divi.

Laten we de verschillende oorzaken bespreken van een kwetsbare website.

Nulled WordPress thema’s en plugins

HackerEr zijn website te vinden die premium thema’s en plugins gratis of tegen een lage prijs aanbieden. Deze ‘Nulled’ WordPress thema’s en plugins bevatten vaak schadelijke code en toegang die de beveiliging van je website in gevaar kan brengen. Ze geven hackers toegang tot je website om gegevens te stelen, reclame te maken of je website plat te leggen. Dus maak geen gebruik van Nulled WordPress thema’s of plugins, dat bespaart een hoop ellende.

Verouderde WordPress-core, plugins en thema’s

De nieuwste versie van WordPress is ook de veiligste, dit komt omdat core updates bedoeld zijn om nieuwe functies toe te voegen en om fouten uit eerdere versies te herstellen. Een groot aantal gehackte websites had verouderde plugins, thema’s en WordPress core als oorzaak. Werk ze dus bij om je website veilig te houden.

Zwakke wachtwoorden en gebruikersnamen

WachtwoordJe WordPress inlogpagina is de toegangspoort tot je website, en het is erg van belang om hiervoor een sterk wachtwoord en gebruikersnaam te kiezen. Wachtwoorden zoals ‘admin‘, ‘qwerty‘ of ‘12345‘ zijn makkelijk te kraken. Gebruik in plaats daarvan een lang, en sterk wachtwoord met hoofdletters, kleine letters, cijfers en symbolen. Als extra beveiliging kan je kiezen voor twee-factor-authenticatie om de veiligheid verder te verhogen. Standaard is ‘admin‘ de WordPress gebruikersnaam met beheerdersrechten, het is slim om ook deze naam te wijzigen.

Slechte hosting

Een behoorlijk aantal WordPress beveiligingsproblemen is het gevolg van slechte hosting, of het verkeerde configuratie van je hostingpakket. Om je WordPress website effectief en veilig te laten draaien, moet een webhost minimaal HTTPS, PHP versie 7.4 of hoger, MySQL versie 5.6 of hoger ondersteunen. Wanneer dit niet het geval is kan dit leiden tot een minder veilige en langzamere website. WPLounge biedt veilige en betrouwbare hosting aan inclusief gratie beveiliging en inclusief websiteverzekering.

Geen SSL-certificaat gebruiken

SSLZonder een SSL versleuteling (het slotje die je ziet naast de website URL in de browserbalk) is er geen veilige verbinding tussen je server en browser. Hierdoor kan data eenvoudig worden onderschept. Het gebruik van een SSL-certificaat versleuteld de verbinding en voorkomst dat hackers je gegevens in handen krijgen. Een goede webhost biedt tegenwoordig gratis SSL certificaten aan. Een uitgebreide handleiding hoe je een SSL-certificaat kan installeren. 

Verkeerde gebruikersrollen

Er zijn vijf verschillende gebruikersrollen in WordPress: beheerder, redacteur, auteur, schrijver en abonnee. Iedereen met de rol ‘beheerder’ heeft onbeperkt toegang tot je website en hebben rechten om alle onderdelen van je website te bewerken. Pas dus goed op wie welke gebruikersrol krijgt. Het toewijzen van één beheerder voor je website is vaak voldoende.

Meest voorkomende WordPress aanvallen

WordPress aanvallen kunnen op verschillende manieren plaatsvinden. Een aantal voorbeelden.

SQL-injecties

SQLBij SQL injectie hebben hacker zich gericht op je WordPress database. Hierbij maken ze vaak misbruik van kwetsbaarheden in velden van bijv. contactformulieren en injecteren vervolgens schadelijke code in je database. Er zijn twee vormen van SQL-injecties:

  • In-bound SQL-injectie: hierbij is het de bedoeling om gegevens te stellen uit de database van je website.
  • Blind SQL-injectie: Content uit de database wordt verwijderd met als doel om je website offline te zetten

Het voorkomen van SQL-injecties

Als je een plotselinge piek ziet in het aantal emails van je contactformulier, en verschillende fouten op je website opmerkt, kan er iets aan de hand zijn. Het beste wat je dan kan doen is het scannen van je database op malware. Doe dit bijvoorbeeld met een scanner zoals WordFence. Aangezien deze aanvallen voornamelijk het gevolg zijn van plugin kwetsbaarheden, is een algemene sitescan aan te raden om de problemen te vinden en op te lossen.

Cross-site Scripting (XSS)

Cross-siteDit is één van de meest voorkomende vormen van een aanval en het omvat het injecteren van kwaadaardige code in de browser van een slachtoffer. De bedoeling hiervan is om gegevens van bezoekers te verzamelen en ze eventueel om te leiden naar gevaarlijke websites. De twee meest voorkomende vormen van Cross-site scripting:

  • Reflected Cross-site scripting:  Dit is de meest voorkomende XSS variant. Bij deze aanval wordt schadelijke code toegevoegd aan de URL van een legitieme website. Als het slachtoffer vervolgens de website link laadt, laadt de browser ook de geïnjecteerde code.
  • Stored Cross-site scripting: Dit doet zich voor wanneer een hacker een reactie plaatst en schadelijke code injecteert. Iedereen die erop klikt wordt het slachtoffer.

Hoe kan je een XSS aanval voorkomen

Naast het up-to-date houden van je plugins en thema, kan je nog een aantal maatregelen nemen. Voorkom dat gebruikers HTML code kunnen posten, al dan niet via reacties op je berichten. Ook kan je voorkomen dat gebruikers gegevens invoeren die niet aan bepaalde criteria voldoen in een formulier. Je kunt ook de plugin Prevent XSS kwetsbaarheid gebruiken om een dergelijke aanval te voorkomen.

Brute Force Attack

Brute-forceDit is een aanval waarbij de hacker je wachtwoord /  gebruikersnaam combinatie probeert net zolang totdat hij de juiste combinatie heeft. Meestal hebben deze hackers krachtige tools waarmee ze binnen een paar minuten honderden mogelijke wachtwoorden kunnen proberen. En WordPress staat een onbeperkt aantal mislukte inlogpogingen toe, dus is het mogelijk om onbeperkt de juiste wachtwoord / gebruiksnaam combinatie te proberen.

Brute Force Attack voorkomen

Een brute force attack kan je vermijden door het aantal inlogpogingen te beperken. Gebruik hiervoor de plugin Limit Login Attempt Reloaded. Na het activeren van de plugin wordt iedereen tijdelijk buitengesloten die meerdere keren probeert in te loggen. Hiermee voorkom je de meeste brute force attack pogingen.

Tot slot

Ons advies is om ervoor te zorgen dat je een goede WordPress beveiligings-plugin gebruikt, een recente WordPress backup hebt en regelmatig je plugins, thema en WordPress update. Hiermee voorkom je al 90% van alle veiligheidsproblemen. Wanneer je thema niet meer wordt bijgewerkt is het verstandig om op zoek te gaan naar een ander thema.

Beoordeel dit artikel

Roger Overdevest

Roger is eigenaar van de website WPLounge en van zoekmachine marketing bureau Kliq Internet

Reageer

Adverteerders

Vimexx-banner
Hulp Op Afstand WordPress

WordPress hulp nodig? Vraag hulp aan één van onze support medewerkers.

Hulp Op Afstand WordPress

× Hoe kan ik je helpen?