Hoe veilig is jouw WordPress website?

Beveilig jouw website met onze 10 tips!

Team Nijhuis

Vraag jij jezelf ook wel eens af hoe veilig jouw (WordPress) website eigenlijk is? Veel websitebouwers en -eigenaren besteden niet veel aandacht aan het beveiligen van een website. Terwijl het enorm belangrijk is om je WordPress website goed te beveiligen tegen hackers, bots en andere malware.

Het laatste wat jij tenslotte wilt is jouw bezoekers (en potentiële leads) infecteren met een virus of een website voorschotelen die niet functioneert!

De populariteit van WordPress

Tegenwoordig draait +/- 35% procent  van de websites op WordPress, dit van persoonlijke blogs tot de grootste nieuwssites. WordPress is een gratis Open Source contentmanagementsysteem (CMS). Dit houdt in dat deze is ontwikkeld onder de norm van het GNU General Public License (of GPL), wat betekent dat iedereen de code kan downloaden, bewerken, aanpassen, gebruiken en zelfs verkopen. Op voorwaarde dat deze wordt vrijgegeven onder de GPL-licentie.

De populariteit van WordPress als CMS brengt ook een keerzijde met zich mee. Het CMS is een populair target voor hackers en spammers geworden. Dit betekent niet dat WordPress onveilig is, maar omdat zoveel mensen het gebruiken het logisch is dat er vanuit de hackers-wereld enorm veel aandacht is voor dit platform.

Mede omdat WordPress erg laagdrempelig is (vrijwel iedereen kan eenvoudig een website opzetten met WordPress),  is volgens de experts zo’n 70 procent van alle WordPress websites kwetsbaar.

Is WordPress dan wel een veilig platform?!

Het overgrote deel van de incidenten wordt gehackt doordat de webmaster de beveiliging niet serieus neemt en één of meerdere beveiligingsblunders maakt. De oorzaak hiervan is dan vaak het gebruik van verouderde WordPress-versies, nulled plug-ins, slecht systeembeheer, laks omgaan met inloggegevens of een gebrek aan basiskennis wat betreft WordPress en beveiliging. Zelfs de grotere partijen gaan soms de fout in, maar wij willen jullie graag behoeden of helpen tegen deze fouten met onze tips!

Waarom hacken deze mensen websites?

Een vraag die wij regelmatig van onze klanten krijgen is “Waarom zouden hackers mijn website hacken?”,  want wat heeft een hacker er nou aan om een website te hacken? Wanneer je een grote webshop runt met veel financiële informatie (bijvoorbeeld creditcard gegevens) dan is het doel van een hacker logisch. Alleen in zeldzame gevallen hebben hackers een specifieke reden om een bepaalde website als doelwit te hebben, dit geldt dan meestal voor grote multinationals.

Waarom hacken deze mensen websites?

De meeste hackers maakt het doel-, de omvang- en het website verkeer van de website niets uit. Hieronder enkele redenen waarom jouw website gehackt kan worden:

  • Drive-by-downloads
    Hackers kunnen je site gebruiken om de computers van je bezoekers te infecteren met malware (achterdeurtjes, key trackers, ransomware, virussen, etc.) om zo informatie te vergaren die ze voor hun eigen gewin kunnen gebruiken.
  • Redirections
    Soms zullen hackers jouw bezoekers doorverwijzen naar andere website die een affiliate inkomen voor hen genereren.
  • Gebruik van je server
    Een andere mogelijkheid is dat hackers je server overnemen om deze te gebruiken voor het verzenden van spam of het uitvoeren van brute force attacks. Het gevolg: je website wordt op een blacklist gezet of de kosten van je hosting stijgen omdat je teveel data verbruikt.

Zoals je ziet, kan je website hoe groot of klein deze ook is interessant zijn voor hackers.

De oorzaken van een WordPress hack

Wanneer je jouw website goed wilt kunnen beveiligen is het handig om te weten waar het vaak fout gaat. De website WP White Security kwam met deze informatie.

De oorzaken van een WordPress hack

Hosting

Op basis van deze informatie, wordt snel duidelijk dat het overgrote deel (41%) van de hacks veroorzaakt wordt door de webhosting.  Het is daarom enorm belangrijk om een goede webhosting partij te kiezen waar je jouw website laat hosten. Naast de beveiliging speelt de hosting ook een grote rol in de snelheid van jouw website.

Theme en plug-in gebruik

Verder blijkt dat maar liefst 51% van de hacks voortkomt uit de themes en plug-ins. WordPress staat er om bekend dat vrijwel alles mogelijk is, dit wordt mogelijk gemaakt door de enorme community die themes en plug-ins bouwt. Dit is geweldig natuurlijk, maar niet iedere developer is even goed en bouwt alles netjes op.

Kijk dus voordat je een plug-in wilt downladen eerst naar de reviews en de laatste update datum, is deze al geruime tijd niet geüpdate kijk dan of er een alternatief is.

Het is enorm belangrijk dat een theme en/of plug-in zorgvuldig en met beleid gekozen wordt. Bij het gebruik van plug-ins geldt de regel, hoe minder plug-ins hoe veiliger. Een ketting is tenslotte zo sterk als de zwakste schakel.

‘Brute force’-aanvallen

Velen hebben wel eens gehoord van deze term. Deze methode veroorzaakt dan ook 8% van de hacks. Deze methode kan succesvol zijn op het moment dat er bijvoorbeeld gebruik gemaakt wordt van zwakke wachtwoorden. Bij een “brute-force” aanval maken hackers gebruik van een script dat net zo lang verschillende mogelijkheden van wachtwoorden en gebruikersnamen blijft proberen totdat ze het juiste wachtwoord hebben. Dit klinkt als een tijdrovende klus, maar hackers hebben dit geautomatiseerd en kunnen al snel duizenden pogingen per seconde uitvoeren.

Hoe beveilig ik mijn WordPress website?

Nu we weten hoe de meeste aanvallen tot stand komen, kunnen we gaan kijken hoe we dit kunnen voorkomen. De meeste tips zijn vrij eenvoudig, mits er voldoende kennis aanwezig is, door te voeren en deel ik dan ook graag.

1. Kies voor een goede- en betrouwbare webhostingpartij

Het zal voor sommigen heel logisch klinken en voor de ander als verassing komen. Zoals in de  infographic te zien is, wordt meer dan de helft van de hacks veroorzaakt via webhosting. Bij het kiezen van de webhosting partij is het belangrijk om te informeren welke maatregelen zij nemen om te voorkomen dat je website gehackt wordt.

Hier geldt echt: voorkomen is beter dan genezen!

Een goede webhosting zal 24/7 jouw website monitoren en scannen op eventuele lekken. Waar moet je allemaal op letten bij het kiezen van een webhosting-partij?

  • Worden de laatste versies van PHP en MySQL ondersteund?
  • Maakt de hosting-provider gebruik van een firewall?
  • Is de server geoptimaliseerd voor WordPress?
  • Hoe is de service van het bedrijf? Zijn ze actief in het voorkomen- en oplossen van security issues?
  • Worden er automatische back-ups gemaakt?

Voel je vrij om meerdere hostingpartijen te benaderen voordat je ergens een website laat hosten, een goede hostingpartner is in dit geval het halve werk en is een slechte post om op te besparen.

2. Stel WordPress bij de installatie goed in

Bij de installatie van WordPress kun je veel doen om te voorkomen dat jouw website kwetsbaar wordt voor dergelijke aanvallen. Gebruik bijvoorbeeld als hoofdaccount nooit de gebruikersnaam ‘admin’, deze komt in 60% van de websites voor en dit weten de hackers natuurlijk ook 😉.

Kies tijdens het installeren voor een veilig wachtwoord. Een sterk wachtwoord bevat niet alleen letters, maar ook cijfers en speciale tekens. Wij raden dan ook aan om hier een wachtwoord generator voor te gebruiken. Ook in de wp-config.php (het configuratiebestand van WordPress) kun je enkele aanpassingen doen. Hier kun je bijvoorbeeld de ‘keys and salts’ instellen. Deze ‘keys’ verbeteren de encryptie van informatie die worden opgeslagen.

Dit gedeelte van het wp-config-bestand ziet er dan als volgt uit:

Ook in de wp-config.php (het configuratiebestand van WordPress) kun je enkele aanpassingen doen.

Om hier een unieke ‘code’ van te maken, kun je de salts and keys generator van WordPress gebruiken. Tevens kun je op de website ‘File editing’ uitschakelen, zodat er niet meer via het CMS gerommeld kan worden in de plug-in en/of theme bestanden. Dit kan door de volgende regel toe te voegen in de wp-config.

define( ‘DISALLOW_FILE_EDIT’, true );

3. Update je website regelmatig

Zoals je weet is WordPress een “open source Content Management System (CMS). Deze wordt voortdurend doorontwikkeld door diverse mensen en bedrijven. Dit ter bevordering van der performance, uitbreidingen maar met name voor de beveiliging.

Door jouw WordPress website up-to-date te houden, wordt het risico op ongewenste aanvallen en/of virussen op jouw website geminimaliseerd. Wij adviseren dan ook om deze updates structureel, bij voorkeur maandelijks, uit te (laten) voeren.

Tijdens deze werkzaamheden adviseren wij om naar de volgende werkzaamheden uit te voeren.

  • Updaten van de WordPress Core.
  • Het updaten van de actieve plug-ins (eventueel theme ook updaten).
  • Inactieve plug-ins en themes verwijderen.
  • Back-up maken van de website.
  • Controleren en testen op bugs en fouten (bijvoorbeeld door de Debug mode aan te zetten en vergeet deze niet weer uit te zetten!).
  • Opschonen en optimaliseren van de database (overbodige revisies, transients, etc.).

5.Versleutel je verbinding met een SSL-certificaat (https://)

Ondanks dat het vanzelfsprekend lijkt en veel webhosting partijen deze mogelijkheid al gratis aanbieden, zijn er nog een groot aantal websites die niet (volledig) op een beveiligde verbinding draaien. Een beveiligde verbinding (HTTPS), de extra S staat in dit geval voor Secure, is een verbinding waarbij de informatie extra versleuteld wordt. Op die manier kunnen alleen de verstuurder en ontvanger de informatie lezen (dus: geen derden).

Om dit te bewerkstelligen is het nodig om gebruik te maken van een SSL-certificaat. SSL staat voor Secure Sockets Layer. Zoals genoemd zorgt SSL voor een versleutelde verbinding tussen twee computers.  Een SSL-certificaat kun je aanvragen bij je webhosting partij, zij kunnen je ook helpen met het installeren en omzetten van jouw website naar https://.

Checken of je SSL-certificaat klopt? Controleer of er een slotje boven in beeld bij de adres balk komt, als dit niet het geval is, draait de website nog niet volledig op de beveiligde verbinding. Dit kan veroorzaakt worden door ‘Mixed content issues’. Dit houdt in dat er gemengde verbindingen aanwezig zijn (dus ook onbeveiligde, via http://), waardoor de website nog niet volledig beschermd is. Een goede webbouwer zou dit voor je kunnen regelen en oplossen.

6. Maak gebruik van de nieuwste PHP- & MySQL versie

WordPress draait op PHP en is de ruggengraat van jouw WordPress website, dat dit de meest actuele versie is, is op meerdere fronten erg belangrijk. Elke belangrijke PHP update wordt meestal volledig ondersteund tot zo’n twee jaar na de release. In deze periode worden de bugs en beveiligingsproblemen opgelost en wordt deze versie regelmatig bijgewerkt.

Op moment van spreken heeft iedereen die met een PHP versie lager dan 7.1 geen beveiligingsondersteuning meer en wordt dus blootgesteld aan beveiligingslekken, omdat deze versie niet meer wordt gepatcht.

Naast de beveiliging hebben de nieuwere PHP versies een betere performance wat de laadtijd van jouw website ten goede komt! Wil je controleren op welke PHP versie jouw website draait? Gebruik dan bijvoorbeeld Pingdom Tools. Typ jouw adres van de website in doe de scan. Ga naar het eerste verzoek en zoek daar naar de parameter X-Powered-By. Meestal wordt hier de PHP-versie weergegeven die je webserver momenteel gebruikt.

Sommige hosts zullen deze header echter verwijderen uit veiligheidsoverwegingen.

7. Bestandsrechten (file permissions) op de server

Waarschijnlijk zegt niet iedereen deze term iets, maar de bestandsrechten van de bestanden op de server waar jouw WordPress website op draait zijn enorm belangrijk. Onderstaande bestanden dienen de volgende rechten te hebben.

  • Mappen en directories: 755 of 750 (de server mag alles uitvoeren, de rest mag alleen lezen).
  • Bestanden: 644 of 640 (lezen en schrijven voor de server, lezen en uitvoeren voor de rest).
  • WP-config.php: 600 (lezen en  schrijven voor de server, de rest mag niets).

Deze codes staan voor rechten die bezoeker en/of server, deze bepaalt wat iets mag en kan doen. Ken nooit ‘777’ toe aan bestanden of mappen, dit houdt in dat zowel de server als buitenstaanders het lezen, uitvoeren en schrijven. Dit maakt jouw website kwetsbaar. Vraag aan je hosting partij of zij dit voor je willen controleren.

8. Het .htaccess-bestand

Het .htaccess-bestand is cruciaal voor het functioneren van jouw website op de server. Hiermee kun je onder andere adressen blokkeren, redirecten, foutmeldingen aanpassen en de rewrite engine aanzetten (voor mooie schone URL’s die geschikt zijn voor SEO). Daarnaast kun je hier onderstaande regels aan toevoegen om de beveiliging te verbeteren.

  • Forceer een https:// verbinding (alleen als er een SSL-certificaat aanwezig is)
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  • Blokkeer xmlrpc.php requests
    <Files xmlrpc.php>
    order deny,allow
    deny from all
    </Files>
  • Schakel de server handtekening uit
    ServerSignature Off
  • Scherm de belangrijkste WP-core bestanden af
    <FilesMatch “wp-config.php|wp-config-local.php|readme.html|license.txt”>
    order allow,deny
    deny from all
    </FilesMatch>

9. Maak gebruik van een beveiligingsplug-in

Wij raden aan om gebruik te maken van een beveiligingsplug-in, zoals bijvoorbeeld  Wordfence, iThemes Security, All In One WP Security & Firewall of BulletProof Security. Met dergelijke beveiligingsplug-ins kun je je website extra beveiligen door middel van de volgende onderdelen.

Maak gebruik van een beveiligingsplug-in

  • Two Step Authentication
    Om in te loggen in de WP Admin dien je een two step authentication proces uit te voeren, hierbij wordt er vaak gebruik gemaakt van een Google Authenticator of een SMS die je ontvangt met een code om in te loggen in het CMS.
  • WordPress versienummer verbergen
    Met deze optie kun je het versienummer van WordPress voor buitenstaanders verbergen. Zo weten de hackers minder snel welke versie het is. Hierdoor is het lastiger te achterhalen waar de eventuele zwakke punten zich binnen jouw website bevinden.
  • Limit login attempts
    Met deze instelling kun je een limiet instellen hoe vaak er vanuit een IP-adres achter elkaar ingelogd mag worden. Wordt deze limiet overschreden dan zal het betreffende IP-adres op een blacklist komen te staan zodat ze er helemaal niet meer in kunnen komen. Deze methode zorgt ervoor dat de ‘Brute Force attacks’ sneller onschadelijk gemaakt kunnen worden (zie hierboven wat een ‘Brute Force attack’ precies doet).

10. Ten slotte: gebruik je gezonde verstand!

Hierboven hebben we al veel tips gegeven om te helpen jouw WordPress website goed te beveiligen. Uiteraard is het enorm belangrijk om goed te overwegen welke technieken, plug-ins en functionaliteiten jij toevoegt aan je website. Een aantal (basis) tips nog:

  • Log nooit op je website in via een onbeveiligd Wifi netwerk.
  • Zorg dat jouw computer geen virussen bevat.
  • Geef nooit je inloggegevens aan een derde partij, zonder dat je deze volledig vertrouwt.
  • Mocht je het sturen, verstuur het dan via SMS, Whatsapp of een ander kanaal, los van elkaar (dus niet de gebruikersnaam en wachtwoord in één).
  • Installeer niet zomaar alle plug-ins (controleer de laatste updates, comptabiliteit met jouw WP versie en reviews).
  • Probeer het aantal plug-ins minimaal te houden.

Het bovenstaande klinkt wellicht als standaard en logisch, echter zijn er veel mensen die hier veel te makkelijk over denken en deze ‘basis spelregels’ negeren.

Hoe weet ik of mijn website gehackt is?

Wellicht heb je het niet eens in de gaten, maar ook jouw website kan zonder echte symptomen toch gehackt zijn. Meestal werkt de website niet (goed) meer, verschijnen er vreemde banners en links op de website of kun je zelfs geredirect worden naar een externe website. Een hacker kan jouw server bijvoorbeeld gebruiken om SPAM te versturen, dus wil hij niet per definitie dat het herkenbaar wordt dat de website gehackt is.

Het is dus verstandig om je website regelmatig te (laten) scannen op malware en andere verdachte bestanden. Veel hosting partijen doen dit achter de schermen al voor jou, maar veel webhosting partijen doen dit ook niet.

Het scannen kun je via WordPress door bijvoorbeeld de volgende plug-ins laten doen:

Ook kun je je website laten scannen door een externe website, dit kan gratis op bijvoorbeeld een platform als Sucuri.

Zes signalen dat jouw website gehackt is

Bij sommige hacks is het wel direct duidelijk dat de website gehackt is, hieronder de meest voorkomende signalen.

  1. Permalink structuur is aangepast, de standaard permalink %postname% is aangepast naar %postname%/%.
  2. .htacces bestand is aangepast, je website wordt middels een 301-redirect doorverwezen naar bijvoorbeeld een Viagra website.
  3. Redirections, overige verdachte redirects, op diverse pagina’s wordt je doorverwezen naar externe websites, bijvoorbeeld door een JavaScriptje die geïnjecteerd is op de pagina of in het theme-bestand.
  4. Vreemde en onverklaarbare content, er verschijnen ineens rare (Chinese) tekens en/of banners op de website.
  5. Ongewone admin gebruikers, controleer je gebruikers van jouw website regelmatig, staan hier ineens nieuwe en ongewone gebruikers bij, dan zit er hoogstwaarschijnlijk ergens een lek.
  6. Vreemde database tabellen, staan er ineens vreemde database tabellen in de database (bijvoorbeeld wp_pagemeta), dan ben je waarschijnlijk de dupe van een hack.

Help mijn website is gehackt!

Is je website gehackt, neem dan direct contact op met je website bouwer en/of de webhosting partij. Zij kunnen vaak voor jou achterhalen wanneer dit gebeurd is en bijvoorbeeld een back-up terug zetten naar het moment dat deze nog niet gehackt is.

Vervolgens is het dan wel zaak om actie te ondernemen, zodat dit niet nogmaals gebeurt! Wij helpen je hier graag bij, middels advies of zelfs het opschonen van je website. We lopen de bestanden en database na om te kijken of er verdachte symptomen aanwezig zijn en verwijderen deze. Schroom niet om contact op te nemen om advies te vragen. Wij helpen ook jou graag verder bij het beveiligen van jouw WordPress website, neem contact met ons op of stel hieronder al jouw vragen!

Reacties op deze blog

Nog geen reacties.

Schrijf een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Hoe kan jouw bedrijf groeien met online marketing?

Ben jij benieuwd wat je nog kunt inzetten aan online marketing of wil je weten of jij wel alles eruit haalt wat erin zit? Met de Gratis Quickscan kijken wij naar jouw huidige inzet aan online marketing. Met de Quickscan geven wij aanbevelingen welke kansen en verbeterpunten er voor jouw bedrijf te benutten zijn. Gratis én vrijblijvend! Je zit nooit ergens aan vast. Ontdek het zelf!

Het start met onze gratis Quickscan!

Digitale marketing start met onze gratis Quickscan!

Klanten beoordelen Team Nijhuis met een 9/10 (69 beoordelingen ) Feedback Company

Michelle

Kan ik je helpen?

Quickscan aanvragen