WordPress websites zijn geweldig maar kunnen kwetsbaar zijn voor online aanvallen. Het CMS wint nog steeds aan populariteit, en is daarmee helaas ook een target voor hackers. Waar moet je op letten bij het onderhouden en updaten van je website?
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.
Vaak voorkomende WordPress kwetsbaarheden
Hackers beschikken over geavanceerde tools waarmee ze kwetsbare WordPress websites kunnen opsporen. Vervolgens maken ze misbruik van die kwetsbaarheden. Volgens een onderzoek van WordFence waren de meeste WordPress aanvallen het gevolg van kwetsbaarheden in plugins en bruteforce aanvallen.
Zorg er voor dat je WordPress website zo min mogelijk kwetsbaarheden heeft. Als alternatief kan je WPLounge inschakelen om de beveiliging van je website te verbeteren. Dat geeft rust!
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!
Bekijk de themes »»
Lees meer over Divi.
Laten we de verschillende oorzaken bespreken van een kwetsbare website.
Nulled WordPress thema’s en plugins
Er zijn website te vinden die premium thema’s en plugins gratis of tegen een lage prijs aanbieden. Deze ‘Nulled’ WordPress thema’s en plugins bevatten vaak schadelijke code en toegang die de beveiliging van je website in gevaar kan brengen. Ze geven hackers toegang tot je website om gegevens te stelen, reclame te maken of je website plat te leggen. Dus maak geen gebruik van Nulled WordPress thema’s of plugins, dat bespaart een hoop ellende.
Verouderde WordPress-core, plugins en thema’s
De nieuwste versie van WordPress is ook de veiligste, dit komt omdat core updates bedoeld zijn om nieuwe functies toe te voegen en om fouten uit eerdere versies te herstellen. Een groot aantal gehackte websites had verouderde plugins, thema’s en WordPress core als oorzaak. Werk ze dus bij om je website veilig te houden.
Zwakke wachtwoorden en gebruikersnamen
Je WordPress inlogpagina is de toegangspoort tot je website, en het is erg van belang om hiervoor een sterk wachtwoord en gebruikersnaam te kiezen. Wachtwoorden zoals ‘admin‘, ‘qwerty‘ of ‘12345‘ zijn makkelijk te kraken. Gebruik in plaats daarvan een lang, en sterk wachtwoord met hoofdletters, kleine letters, cijfers en symbolen. Als extra beveiliging kan je kiezen voor twee-factor-authenticatie om de veiligheid verder te verhogen. Standaard is ‘admin‘ de WordPress gebruikersnaam met beheerdersrechten, het is slim om ook deze naam te wijzigen.
Slechte hosting
Een behoorlijk aantal WordPress beveiligingsproblemen is het gevolg van slechte hosting, of het verkeerde configuratie van je hostingpakket. Om je WordPress website effectief en veilig te laten draaien, moet een webhost minimaal HTTPS, PHP versie 7.4 of hoger, MySQL versie 5.6 of hoger ondersteunen. Wanneer dit niet het geval is kan dit leiden tot een minder veilige en langzamere website. WPLounge biedt veilige en betrouwbare hosting aan inclusief gratie beveiliging en inclusief websiteverzekering.
Geen SSL-certificaat gebruiken
Zonder een SSL versleuteling (het slotje die je ziet naast de website URL in de browserbalk) is er geen veilige verbinding tussen je server en browser. Hierdoor kan data eenvoudig worden onderschept. Het gebruik van een SSL-certificaat versleuteld de verbinding en voorkomst dat hackers je gegevens in handen krijgen. Een goede webhost biedt tegenwoordig gratis SSL certificaten aan. Een uitgebreide handleiding hoe je een SSL-certificaat kan installeren.
Verkeerde gebruikersrollen
Er zijn vijf verschillende gebruikersrollen in WordPress: beheerder, redacteur, auteur, schrijver en abonnee. Iedereen met de rol ‘beheerder’ heeft onbeperkt toegang tot je website en hebben rechten om alle onderdelen van je website te bewerken. Pas dus goed op wie welke gebruikersrol krijgt. Het toewijzen van één beheerder voor je website is vaak voldoende.
Meest voorkomende WordPress aanvallen
WordPress aanvallen kunnen op verschillende manieren plaatsvinden. Een aantal voorbeelden.
SQL-injecties
Bij SQL injectie hebben hacker zich gericht op je WordPress database. Hierbij maken ze vaak misbruik van kwetsbaarheden in velden van bijv. contactformulieren en injecteren vervolgens schadelijke code in je database. Er zijn twee vormen van SQL-injecties:
- In-bound SQL-injectie: hierbij is het de bedoeling om gegevens te stellen uit de database van je website.
- Blind SQL-injectie: Content uit de database wordt verwijderd met als doel om je website offline te zetten
Het voorkomen van SQL-injecties
Als je een plotselinge piek ziet in het aantal emails van je contactformulier, en verschillende fouten op je website opmerkt, kan er iets aan de hand zijn. Het beste wat je dan kan doen is het scannen van je database op malware. Doe dit bijvoorbeeld met een scanner zoals WordFence. Aangezien deze aanvallen voornamelijk het gevolg zijn van plugin kwetsbaarheden, is een algemene sitescan aan te raden om de problemen te vinden en op te lossen.
Cross-site Scripting (XSS)
Dit is één van de meest voorkomende vormen van een aanval en het omvat het injecteren van kwaadaardige code in de browser van een slachtoffer. De bedoeling hiervan is om gegevens van bezoekers te verzamelen en ze eventueel om te leiden naar gevaarlijke websites. De twee meest voorkomende vormen van Cross-site scripting:
- Reflected Cross-site scripting: Dit is de meest voorkomende XSS variant. Bij deze aanval wordt schadelijke code toegevoegd aan de URL van een legitieme website. Als het slachtoffer vervolgens de website link laadt, laadt de browser ook de geïnjecteerde code.
- Stored Cross-site scripting: Dit doet zich voor wanneer een hacker een reactie plaatst en schadelijke code injecteert. Iedereen die erop klikt wordt het slachtoffer.
Hoe kan je een XSS aanval voorkomen
Naast het up-to-date houden van je plugins en thema, kan je nog een aantal maatregelen nemen. Voorkom dat gebruikers HTML code kunnen posten, al dan niet via reacties op je berichten. Ook kan je voorkomen dat gebruikers gegevens invoeren die niet aan bepaalde criteria voldoen in een formulier. Je kunt ook de plugin Prevent XSS kwetsbaarheid gebruiken om een dergelijke aanval te voorkomen.
Brute Force Attack
Dit is een aanval waarbij de hacker je wachtwoord / gebruikersnaam combinatie probeert net zolang totdat hij de juiste combinatie heeft. Meestal hebben deze hackers krachtige tools waarmee ze binnen een paar minuten honderden mogelijke wachtwoorden kunnen proberen. En WordPress staat een onbeperkt aantal mislukte inlogpogingen toe, dus is het mogelijk om onbeperkt de juiste wachtwoord / gebruiksnaam combinatie te proberen.
Brute Force Attack voorkomen
Een brute force attack kan je vermijden door het aantal inlogpogingen te beperken. Gebruik hiervoor de plugin Limit Login Attempt Reloaded. Na het activeren van de plugin wordt iedereen tijdelijk buitengesloten die meerdere keren probeert in te loggen. Hiermee voorkom je de meeste brute force attack pogingen.
Tot slot
Ons advies is om ervoor te zorgen dat je een goede WordPress beveiligings-plugin gebruikt, een recente WordPress backup hebt en regelmatig je plugins, thema en WordPress update. Hiermee voorkom je al 90% van alle veiligheidsproblemen. Wanneer je thema niet meer wordt bijgewerkt is het verstandig om op zoek te gaan naar een ander thema.
Reageer