Is jouw WordPress site veilig en hoe verbeter je dit?

Waarom wordt een website gehackt?

Inmiddels is ook duidelijk dat WordPress gevoelig kan zijn voor hackers. Het fenomeen hacking is niet nieuw, maar bestaat al sinds de computer zijn intrede deed. Het voornamelijk doel van een hacker is het verspreiden van malware of spam. Daarnaast kan het ook bedoeld zijn om bezoekers kwaadaardige software te laten downloaden en installeren. Hiermee krijgt de hacker toegang tot belangrijke gegevens zoals adressen en creditcardgegevens. Soms worden websites gehackt om bezoekers om te leiden naar een affiliatie website.

Professioneel laten beveiligen

WordPress is een gebruiksvriendelijk CMS waar vrijwel iedereen mee kan werken. Met betrekking tot de beveiliging van de website laten veel mensen steken vallen. Niet alleen uit onwil, maar vooral uit onwetendheid. Van grote bedrijfswebsites tot kleine hobbywebsites, iedereen loopt evenveel kans om gehackt te worden.

Een goede beveiliging houdt hackers tegen, waardoor de site altijd online blijft. Met het inhuren van een professional worden thema’s en plug-ins tijdig voorzien van de nieuwste updates. Daarnaast draagt de WordPress expert zorg voor een regelmatige back-up, dat extra zekerheid biedt wanneer het toch mis gaat. Het regelmatig laten scannen op aanvallen verhoogt de beveiliging. Ook wordt eventueel aanwezige malware direct verwijderd, waardoor de website snel weer online is. Met een kleine investering kan groot leed met bijbehorende kosten voorkomen worden, of zeer snel worden opgelost.

Thema’s achterhalen

Ook kun je zien of er voor je website een bestaand thema is gebruikt. De naam van het thema wordt namelijk weergegeven en als je op deze naam zoekt vind je bij gratis of betaalde thema’s wellicht die van jou terug.

Achterhalen van gebruikersnamen

Het is mogelijk om te zien in hoeverre het mogelijk is om gebruikersnamen te achterhalen van de website. Wij zorgen er standaard voor dat dit niet makkelijk te achterhalen is, maar je moet hier wel wat aanpassingen voor doen. Waarom is dit belangrijk? Omdat het moeilijk is om zonder gebruikersnaam brute–force wachtwoord aanvallen te doen. Hier gaan we in hoofdstuk 5 verder op in.

directory indexing

Deze website laat zien of het mogelijk is om directory indexing toe te passen. Hier moet de melding ENABLE komen. Dit kan jullie website kwetsbaar maken voor aanvallen doordat belangrijke gegevens anders zichtbaar zijn.

Iframes links

Ook bekijkt de website of er iframes links zijn die embedded iframes bevatten. Deze frames kunnen besmette code bevatten en computers van bezoekers infecteren.

Inlogpagina

Elke WordPress website heeft één bepaalde URL waarmee ingelogd kan worden. In de meeste gevallen is dit bijvoorbeeld xx.nl/wp-admin. Hackers kunnen op die dergelijke pagina de gebruikersnamen en wachtwoordcombinaties achterhalen, waarmee ingelogd kan worden. Als hackers die combinaties niet kunnen achterhalen, zal een zogeheten bot de pagina blijven bestoken met aanvallen. Op den duur zorgt dat voor een opschorting van je account/website bij de hoster. In feite komt daarmee je website offline te staan. Dat is uiteraard iets wat je ábsoluut niet wilt.

PHP bestand

Een website kan niet bestaan zonder PHP code.  Deze PHP code wordt opgeslagen in een zogeheten PHP bestand. Uitgerekend dat bestand is voor veel hackers waardevol. Met behulp van dit bestand kunnen hackers namelijk aanpassingen aan jouw website doen. Het is derhalve van belang dat dit bestand goed beveiligd op je website is. Weet je niet hoe dat moet? Vraag het dan aan ons!

SQL-injectie

Een SQL-injectie is een gerichte aanval van hackers waarmee ze een account op beheerniveau aan kunnen maken. Dat betekent in feite dat ze account op jouw website hebben gemaakt, waarmee ze hetzelfde kunnen als wat jij kan. Hackers kunnen gegevens uit de database van je website halen of juist de database van je website injecteren met kwaadaardige links.

Malware aanval

Indien hackers toegang tot jouw website willen, kunnen ze hierbij gebruik maken van een malware aanval. Malware is in feite software die gebruikt kan worden om toegang tot een website te verkrijgen. Hackers kunnen op die manier bestanden in/op je website aanpassen.

Zet een IP ban op je WordPress inlogpagina

Door middel van een plugin kun je ervoor zorgen dat je alleen vanaf je eigen IP-adres(sen) in kunt loggen op het admin-gedeelte. Hierdoor voorkom je dus dat anderen op de inlogpagina kunnen komen en net zolang wachtwoorden kunnen proberen totdat het ze lukt om je WordPress dashboard te beheren. Wil je nog meer inlog veiligheid, lees dan snel hoofdstuk 5.

Wijzig de naam van de wp-tabellen

Een technische tip van onze eigen WordPress specialist. Verander de naam van de tabellen die WordPress gebruikt. WordPress begint de namen van alle tabellen met wp_ en dus makkelijker te achterhalen. Bij Red Melon geven we de WordPress tabellen dus een andere naam. Welke? Precies, dat maakt het dus al moeilijker.

Verander de WordPress admin url

Hoe kom je snel te weten of een website gebouwd is met WordPress? Door er ‘/wp-admin’ achter te typen en te wachten of je de overbekende WordPress login pagina ziet verschijnen. Wat gebruiken wij bij Red Melon hiervoor? Lockdown WP Admin. Deze plugin verstopt als het ware de WordPress admin (/wp-admin) en de bezoeker krijgt hiervoor een 404-pagina te zien. Lockdown WP Admin kan zorgen voor een andere naam achter de slash en op deze manier is dus niet meteen duidelijk dat je WordPress gebruikt.

Update alles

Het is niet voor niets dat WordPress nieuwe releases uitbrengt natuurlijk. Elke release kan het risico op hacken verminderen. Overigens geldt dit niet alleen voor WordPress zelf, maar ook voor de plugins. Niet updaten is vragen om moeilijkheden. Nog even om duidelijk te maken hoe belangrijk dit is. 22% van de WordPress websites is gehackt door een beveiligingsprobleem in een plugin!

Gebruik veilige hosting

Dan de nummer 1. Bijna de helft, 41% van alle WordPress hacks komt door een slechte hosting! Kortom, ga niet zo maar klakkeloos voor de goedkoopste webhosting die je kunt vinden. Doe onderzoek en zorg voor een bekende webhosting met een goede naam en oog voor veiligheid.

Google Authenticator om makkelijker in te loggen

Dit proces wordt in de ogen van sommige gebruikers bemoeilijkt doordat er een extra handeling vereist is. Daarnaast is er in de meeste gevallen een extra device nodig, bijvoorbeeld een mobiele telefoon. Om dit enigszins te vergemakkelijken, heeft Google een app gemaakt; de Google Authenticator. De Google Authenticator app genereert automatisch een unieke code. Indien je probeert in te loggen, weet de Google Authenticator app direct dat er codes moeten worden gezocht voor de tweede stap van het authenticatieproces. Op die manier wordt het inloggen vergemakkelijkt.

Wat kan je doen tegen een Brute-force attack?

Als een websitehouder in wil loggen op zijn/haar eigen website, vult hij de juiste gebruikersnaam en het juiste wachtwoord in. Vervolgens ontvangt de websitehouder op zijn e-mailadres of op zijn mobiele telefoon een unieke code. Pas nadat die unieke code ingevuld is in het inlogsysteem, krijgt de website houder toegang tot de backend van zijn/haar website.

Overgang naar Cloudfare

Cloudfare werkt op een DNS niveau. Het is daarbij van belang dat je de name server van je domein gaat veranderen bij het overstappen. Als je dat hebt gedaan, dan worden vanaf dat moment alle DNS-records bij Cloudflare beheerd. Kijk van tevoren goed welke DNS records je hebt en naar welke IP nummers ze verwijzen. Uiteraard wil je bij de overstap maximaal profiteren van Cloudfare. Zorg er daarom voor dat je HTML code goed is en zo min mogelijk fouten bevat. Als je een fout in een code hebt, dan wil dat zeggen dat het compressieproces stopt. Dit kan online gecontroleerd worden, maar je kunt ook altijd advies inwinnen wanneer je je WordPress website over wil zetten om hem beter te beveiligen met Cloudfare. Neem daarvoor even contact met ons op.

Waarom Cloudfare succesvol kan zijn

Je hebt een WordPress website en wil deze beveiligen met Cloudfare? Dat zou een goede keuze kunnen zijn. Het eerste voordeel dat je ervaart met Cloudfare is, dat bezoekers die naar jouw webserver gaan, eerst een cache krijgen van de opgevraagde pagina (deze staat bij Cloudfare). Deze pagina laadt sneller dan je eigen website en is ook gecomprimeerd. Ook worden de afbeeldingen van je site op het netwerk van Cloudfare geladen en gecomprimeerd. Het wordt de bezoekers dan aangeboden via een CDN (Content Delivery Network). Dit netwerk biedt content aan en verspreidt het over de hele wereld.

Er is nog een voordeel en dat is de flexibele SSL functie. De website werkt via een HTTPS protocol. Dit is een stuk veiliger voor je bezoekers, die gegevens achterlaten (contactformulier en login). Google hecht veel waarde aan een veilige website. Veilige websites zullen ook hoger geplaatst kunnen worden in de zoekresultaten. Dat zou voor jou de reden kunnen zijn om je WordPress website te beveiligen met Cloudfare. Een laatste voordeel is dat je dankzij Cloudfare kunt kijken naar ongewenste bezoekers en je kunt hen ook de toegang weigeren tot je website.