WordPress security is iets wat mensen vaak uitstellen of niet eens aan denken totdat de website een keer gehackt wordt.
Er wordt vaak gedacht “mijn website is te klein om gehackt te worden, hackers hacken alleen grote website”, dit is alleen niet waar.
Er zijn tegenwoordig veel scripts die websites afspeuren op bekende fouten om hier misbruik van te maken. Dit gaat ook nog eens volledig automatisch, het maakt dus niet uit of je een grote of kleine website hebt.
De laatste tijd zijn er meerdere nieuwsberichten gepubliceerd over dat de brute force attacks sinds begin april enorm zijn gestegen. Je hebt na deze nieuwsberichten al op allerlei websites kunnen lezen hoe je dit kunt voorkomen. Het ergste is echter dat de meeste websites die dit hebben geplaatst zich er zelf niet eens aan houden.
Brute force attacks zijn overigens lang niet de enige aanvallen die op je WordPress website uitgericht kunnen worden, dit is dan ook meteen de reden van dit artikel. Ik wil je helpen om de beveiliging van je WordPress blog op orde te krijgen.
Ik kan niet garanderen dat je na het lezen van dit artikel niet meer gehackt zal worden. Het is voor de beste hackers altijd mogelijk om een website te hacken.
Na het lezen van dit artikel begrijp je in ieder geval wel hoe websites gehackt kunnen worden en je weet hoe je de meest voorkomende aanvallen van je website af kunt houden.
Hoe worden WordPress blogs gehackt?
Er zijn meerdere manieren om een WordPress blog te hacken, het hangt met name af hoe jij gebruik maakt van WordPress en je eigen computer. Ik wil je niet bang maken, maar door de populariteit van WordPress is het een groot doelwit voor hackers geworden.
WordPress versie
WordPress is op zich best veiliger, waardoor niet iedereen zomaar je website kan hacken. Er zijn alleen altijd wel fouten te vinden die kwaadwillende kunnen misbruiken en daarom zijn er regelmatig updates beschikbaar om beveiligingslekken te dichten en eventuele nieuwe functionaliteiten toe te voegen.
Wanneer je nooit een update uitvoert naar een nieuwe WordPress versie, dan loop je alleen maar meer gevaar. Iedereen kan namelijk zien wat er is geüpdatet en welke beveiligingslek(ken) er gedicht zijn. Het is dus eenvoudig voor hackers om fouten op te sporen in een oude versie en hier vervolgens misbruik van te maken.
Oplossing: De oplossing is vrij eenvoudig, probeer altijd zo snel mogelijk te updaten naar de nieuwste WordPress versie.
WordPress plugins
Oude en slecht gecodeerde plugins zorgen er het vaakst voor dat een WordPress website gehackt wordt. Laat WordPress zien dat je 9 plugins moet updaten? Dit kan ervoor zorgen dat je gevaar loopt.
Hackers vinden altijd nieuwe manieren om in bestanden te komen via een plugin. Plugin ontwikkelaars moeten daarom altijd hun plugins updaten om voor de veiligheid van de gebruikers te zorgen.
Wanneer een plugin niet meer bijgewerkt wordt is de kans groot dat deze plugin op een gegeven moment kwetbaar is voor nieuwe manieren die hackers uitvinden. Indien een plugin van begin af aan al slecht gecodeerd is loop je direct gevaar wanneer je de plugin installeert op je website.
Oplossing: Om zo min mogelijk risico te lopen moet je altijd de plugins die je hebt geïnstalleerd updaten. Wanneer je een tijd geen nieuwe blogberichten schrijft is het noodzakelijk om toch met enige regelmaat te kijken of er niet iets te updaten valt.
Probeer ook geen plugins te downloaden die al enkele jaren niet meer zijn geüpdatet.
Wanneer je een plugin niet meer gebruikt raad ik je aan om deze direct te verwijderen. Hackers kunnen deze plugin namelijk wel misbruiken ondanks dat je de plugin hebt gedeactiveerd.
WordPress themes
Heb je jouw WordPress theme gedownload via een torrent of onbekende website? Het is dan heel goed mogelijk dat je blog kwetsbaar is voor allerlei verschillende hacks.
Vaak worden dit soort themes geüpload door mensen die er een code inzetten waar jij het bestaan niet vanaf weet. Dit kan leiden tot:
- Backlinks van jouw blog naar andere sites;
- Redirect scripts (je website verwijst opeens door naar een andere site);
- Een vervangen adsense code waardoor jij geen geld kunt verdienen;
- Een gehackte website.
Daarnaast is het erg belangrijk om je theme te updaten wanneer dit mogelijk is om je blog te beschermen.
Oplossing: Download geen themes van vreemde websites af, dit is het niet waard. Wanneer je een premium theme wilt hebben kun je deze beter kopen via Themeforest, dit is veilig en je kunt eenvoudig de updates downloaden. Gratis themes kun je het beste downloaden op WordPress.org.
De WordPress themes die op bovenstaande websites staan worden altijd gecontroleerd zodat je zeker weet dat er geen kwaadaardige code in staat.
Toegankelijkheid van je website en FTP
Hoe eenvoudig is het op jouw blog om in het dashboard te komen of bij de bestanden van je blog? Hebben meerdere mensen je FTP gegevens? Heb je op jouw blog meerdere mensen beheerdersrechten gegeven? Gebruik je nog Admin als gebruikersnaam?
Sommige WordPress blogs worden gehackt omdat het eenvoudig is voor hackers om op plekken te komen die alleen voor jou toegankelijk zouden moeten zijn.
Oplossing: Maak het niemand eenvoudig om iets geks te kunnen doen. Als website-eigenaar hoor je de enige te zijn met beheerdersrechten, alle andere gebruikers moeten rollen krijgen als redacteur, auteur, schrijver of abonnee.
Het is tevens belangrijk dat je een sterk wachtwoord neemt, hier gaan meer mensen de fout mee in dan je denkt. Tot slot moet je natuurlijk nooit de gebruikersnaam admin gebruiken, deze wordt in 95% van de gevallen gebruikt bij een brute force attack om vervolgens je wachtwoord te raden.
Hosting
Waar weinig stil bij gestaan wordt is dat de beveiliging van de hosting waar je website op staat ook erg belangrijk is. Goede hostingproviders vinden beveiliging erg belangrijk. Er bestaat echter altijd een kans dat een server gehackt wordt en je website gevaar loopt.
De meeste website-eigenaren starten met een shared hostingpakket. Dit is de goedkoopste hostingmogelijkheid dat er is en het is meer dan voldoende om mee te starten. Het risico is alleen dat andere websites op dezelfde server jouw website ook in gevaar kunnen brengen omdat deze op dezelfde server staat.
Het maakt dan niet uit hoeveel werk jij in het beveiligen van je website hebt gestoken. Je kunt er niets aan doen. De hostingprovider zou de server wel zo moeten inrichten dat hackers zo min mogelijk schade kunnen doen aan jouw website via een andere website op dezelfde server.
Oplossing: Kies een hostingprovider die bekend en betrouwbaar is en die je eenvoudig kunt bereiken wanneer je vragen hebt of er iets mis gaat met je website. Op de websites Webhosters en ISPGids kun je allerlei ervaringen over hostingbedrijven lezen van gebruikers die tevreden of ontevreden zijn en waarom dit zo is.
Naarmate je website meer en meer bezoekers trekt is het verstandig om over te gaan op een VPS, waardoor je een eigen virtuele privé server hebt. Dit is alweer een stuk veiliger dan samen op een server staan met 100 andere websites. In het artikel WordPress hosting kun je meer lezen over goede en veilige hosting voor WordPress websites.
Je eigen computer kan ook een gevaar zijn
Je eigen computer kan er ook voor zorgen dat je website gehackt wordt. Wanneer je een keylogger op je computer hebt staan en de hacker je gebruikersnaam en wachtwoord achterhaald, kan hij of zij eenvoudig inloggen op je WordPress website.
Wanneer je computer ooit gehackt wordt denk je misschien niet direct dat je website gevaar loopt, dit kan dus echter wel het geval zijn.
Oplossing: Maak gebruik van een goed antivirusprogramma om er zeker van te zijn dat virussen en spyware worden gedetecteerd en onschadelijk worden gemaakt voordat het je computer beschadigd.
Wanneer je virussen op je computer hebt of deze denkt te hebben, dan raad ik je aan om niet in te loggen op je website totdat je 100% zeker weet dat alles is opgeschoond. Verander voor de zekerheid ook altijd je wachtwoord.
Welke maatregelen kun je zelf nemen?
Zoals je hierboven al hebt kunnen lezen zijn er genoeg mogelijkheden om je website te hacken. Ik heb dan nog niet eens alle mogelijke manieren genoemd, er zijn er nog veel meer.
Vanwege de mogelijkheid dat je website gehackt wordt is het ook belangrijk om goede maatregelingen te treffen.
Maak altijd back-ups
Het allerbelangrijkste wat je moet doen is regelmatig een back-up van je website maken. Alleen op veiligheid letten is niet genoeg, je moet je voorbereiden op het ergste.
Wanneer je blog gehackt wordt of een keer crasht is het te laat om een back-up te maken. Er zijn meerdere manieren om je website te back-uppen, hieronder benoem ik er drie.
Back-ups maken met behulp van een plugin
Er zijn genoeg WordPress back-up plugins te vinden die een back-up van je WordPress website kunnen maken. Je kunt vaak instellen wanneer er automatisch een back-up gemaakt moet worden die vervolgens op je server komt te staan.
Een plugin als WordPress Backup to Dropbox is ook een goede keus omdat deze de back-up naar je dropbox account stuurt en het niet op je server plaatst.
Handmatig een back-up maken
Je kunt altijd handmatig een back-up maken van je website via FTP. Je kunt dit met een programma als FileZilla eenvoudig doen. Vergeet ook niet om een back-up van je database te maken via Directadmin, cPanel of een ander programma waar je hostingprovider mee werkt.
Het nadeel van handmatige back-ups is dat je moet onthouden om dit regelmatig te doen en het meer tijd kost.
Controleer of je hostingprovider back-ups maakt
Het kan heel goed zijn dat je hostingprovider ook met enige regelmaat een back-up van je website maakt. Wanneer je in de problemen bent kun je dan altijd bellen of mailen of de back-up teruggezet kan worden.
Ga er niet automatisch vanuit dat je hostingprovider back-ups voor je maakt. Zorg ervoor dat je een mail stuurt of een keertje belt om hier zekerheid over te krijgen.
Zelf zorg ik overigens dat ik altijd alles in eigen hand heb. Ik wil niet afhankelijk zijn van een hostingprovider en zorg daarom zelf voor back-ups. Better safe than sorry.
WordPress security plugins
Naast alles wat je eraan kunt doen om je website zo veilig mogelijk te maken wil ik je tot slot nog twee WordPress security plugins als tip meegeven. De eerste is iThemes Security (voorheen Better WP Security) een zeer uitgebreide security plugin en de tweede is Limit Login Attempts om inlogpogingen te limiteren.
iThemes Security (voorheen Better WP Security)
iThemes Security is de een gratis WordPress security plugin die al meer dan 3,8 miljoen keer is gedownload en dat is niet voor niets. iThemes Security controleert je website op meerdere fronten en laat verbeterpunten zien die je kunt uitvoeren. Het is echt heel erg uitgebreid, bekijk hieronder de opties die plugin allemaal heeft.
Limit Login Attempts
De naam van de plugin zegt eigenlijk al genoeg. Limit Login Attempts zorgt ervoor dat je maar een bepaald aantal keer kan inloggen. Probeert iemand te vaak in te loggen? Dan wordt hij gebanned voor een bepaalde periode die je zelf kunt instellen.
Dit is uitstekende plugin om je tegen brute force attacks te beschermen. Dit is overigens geen aanvulling op iThemes Security want die kan dit ook, dit is echter een alternatief indien je niet de behoefte hebt om iThemes Security te gebruiken.
WordPress Security is en blijft belangrijk
Je hebt WordPress geïnstalleerd, een leuk theme uitgezocht, een aantal handige plugins geïnstalleerd en een aantal leuke blogberichten geschreven. Met andere woorden: Je hebt ontzettend hard aan je website gewerkt.
Hoe zonde is het dan om de risico om gehackt te worden onnodig groter te houden dan nodig is omdat je een aantal dingen niet hebt gedaan? Maak niet de fout om pas aan je WordPress Security te denken nadat je blog gehackt is. Gebruik de tips en informatie die je hierboven hebt kunnen lezen en doe er je voordeel mee.
Ik moet er wel bij zeggen dat je altijd gehackt kan worden wanneer een hacker dit wilt. Dit geldt voor alle websites. Het is echter verstandig om zoveel mogelijk aan je WordPress security te doen om de kans dat je gehackt wordt zo klein mogelijk te houden.