WordPress wordt dagelijks een miljoen keer gedownload. Inmiddels is ruim 30% van alle website gebouwd met WordPress. Dat klinkt allemaal heel positief , maar de keerzijde is dat het voor hackers lucratief is om WordPress sites te hacken. Als je WordPress website eenmaal gehacked is kan dit zeer nadelig voor je uitpakken. Persoonsgegevens kunnen buit gemaakt worden met alle gevolgen van dien, waarbij je verplicht bent om de datalek te melden bij de Autoriteit Persoonsgegevens. Zij kunnen besluiten om een onderzoek te starten naar de veiligheid van je site.
Bij een grote hack is het soms zelfs nodig dat de gehele website opnieuw ontwikkeld moet worden of er moet een schone installatie plaats vinden.
WAAROM ZOU IEMAND MIJN WEBSITE WILLEN HACKEN?
- Bijna elke WordPress website bevat een database waarin persoonsgegevens van klanten en bezoekers (betrokkenen) worden opgeslagen. Deze data is voor hackers veel geld waard.
- Om controle over je website te krijgen en links te plaatsen naar de website van de hacker. Op deze manier krijgt de hacker backlinks die de waarde van zijn website vergroten. Als een website veel backlinks heeft wordt hij hoger gepositioneerd in de Google Page Ranking.
- Hackers willen ook graag controle over je website zodat ze op grote schaal spam e-mails kunnen versturen. In die Spam-emails verwijzen ze dan weer naar websites waarbij de hacker aangesloten is en een vergoeding krijgt voor een sale of click. Tegenwoordig wordt op deze manier ook ransom malware verspreidt. De e-mails worden vanaf jouw server verstuurd en je website komt uiteindelijk op een Black list.
- Om complete controle te krijgen over je website. In veel gevallen zie je je eigen website maar vanuit zoekmachines zoals Google wordt de bezoeker verwezen naar een andere website. Meestal zijn dat websites gebaseerd op gokken of sex/pornografische websites.
10 TIPS OM JE WORDPRESS WEBSITE OPTIMAAL TE BEVEILIGEN TEGEN HACKERS
1. ZORG DAT JE DE LAATSTE VERSIE VAN WORDPRESS INSTALLEERD/ UPDATE.
Hackers zoeken naar lekken in WordPress, WordPress geeft updates uit om bekende lekken te dichten. Naar veiligheidslekken worden met deze updates ook bugs gefixed en nieuwe features toegevoegd.
Ben je niet up-to-date, dan loop je gevaar.
2. HOUDT JE PLUGINS UP TO DATE.
Voor plugins geld hetzelfde als voor WordPress zelf, hier kunnen ook lekken in zitten. Ben je niet up-to-date, dan loop je gevaar.
Als je een Plugin download zorg dan dat je een Plugin kiest die getest is met de laatste versie van WordPress. Update z.s.m. als er een nieuwe versie uit is.
Als je een betaalde versie van een Plugin koopt op bv Themeforest moet je er voor zorgen dat de Plugin gemakkelijk te updaten is. Vaak is een betaalde Plugin lastiger te updaten. Heb je een Api nodig? Sla deze ergens op waar je er gemakkelijk bij kunt.
Zorg dat je reviews leest van Plugins!
Probeer aan de hand van reviews, gebruiksaantallen, recente updates en recente berichten op support forums een beeld te krijgen over hoe actief de plugin wordt ondersteund.
Is de plugin vorige week geupdate, dan is de kans groot dat deze nog actief wordt ondersteund en als er dan een lek wordt gevonden, zal deze waarschijnlijk snel gedicht worden met een update. Hetzelfde geld voor wanneer er door de plugin bouwer nog actief support wordt geleverd en reactie worden gegeven op support forums.
Wanneer dit niet meer gebeurd en de laatste update is van vorig jaar, moet je deze plugin extra in de gaten houden, want de kans is groot dat deze niet meer wordt geupdate, ook niet als er een lek in gevonden wordt.
3. ZORG DAT JE DATABASE EEN CUSTOM PREFIX HEEFT.
Als je WordPress installeerd op de meest veilige manier of de gemakkelijke/ minder veilige manier dien je een database aan te maken. De Prefix zijn een aantal karakters vòòr de aangemaakte database en vind je in de wp-config.php.
4. BEVEILIG JE WP-CONFIG.PHP IN .HTACCES.
Door het volgende toe te voegen in je .htaccess bestand laat je niemand toe in het belangrijkste bestand van je WordPress installatie. Plaats het volgende in je .htacces file:
”
<files wp-config.php>
order allow,deny
deny from all
</files>
”
Plaats deze voor of na de standaard WordPress code. Dat kun je zien door het # teken. Alles tussen de # kan WordPress overschrijven.
5. ZORG JE ERVOOR DAT JE ALLEEN MET JE EIGEN IP-ADRESSEN IN KUNT LOGGEN IN DE BACKEND VAN WORDPRESS(NIET ALTIJD MOGELIJK/PRAKTISCH).
Let op: Dit werkt alleen als je gebruik maakt van vaste ip-adressen en deze beveiliging is alleen praktisch als je vanaf een vaste plaats aan je WordPress werkt.
Plaats de volgend code in je .htacces bestand en upload deze naar je server (vervang het 111.111.111 door je eigen ipadressen):
”
Order Deny,Allow
Deny from all
Allow from 111.111.111
”
Plaats deze voor of na de standaard WordPress code. Dat kun je zien door het # teken. Alles tussen de # kan WordPress overschrijven.
6. GEBRUIK NOOIT ADMIN OF WEBSITENAAM ALS GEBRUIKERSNAAM.
Ook logische variaties hierop als administrator of webmaster.
Dit zijn de eerste gebruikersnamen waar mee geprobeerd wordt in te loggen door een hacker.
Hoe minder voorspelbaar je de puzzel voor ze maakt, hoe minder groot de kans is om gehackt te worden.
7. GEBRUIK EEN STERK WACHTWOORD ZOALS DE VOLGENDE: T&H2WSL!Y%B7A.dsD@4
Sterke wachtwoorden zijn essentieel tegen aanvallen van hackers. Dit doen ze vaak met Brute Force Attacks. Dit zijn aanvallen waarbij er op enorm grote schaal met heel veel wachtwoorden i.c.m. gebruikersnamen geprobeerd wordt om in te loggen. De kans dat dit succesvol verloopt met een sterk wachtwoord wordt geminimaliseerd.
Wat maakt een wachtwoord ‘sterk’?
- Lengte – anno 2022 wordt 12 karakters al als minimum aangeraden, hoe meer karakters hoe beter.
- Afwisseling – maak gebruik van kleine letters, hoofdletters, cijfers en speciale tekens, het liefst door elkaar.
- Gebruik geen standaard woorden/combinaties zoals Password, 1234 etc. deze zijn makkelijk te raden. Password123! voldoet aan de vorige 2 punten, maar zal nog steeds snel geraden kunnen worden.
- Gebruik geen publiekelijk bekende persoonlijke informatie in een wachtwoord, zoals namen van partner/kinderen, geboorte/trouw datum. Bij gerichte aanvallen, zijn deze makkelijk te raden.
- Uniek – gebruik voor iedere website en login een uniek wachtwoord, daarmee voorkom je dat er bij een hack of datalek bij andere partijen, het wachtwoord van jouw website niet op straat licht en dat je op meerdere plekken je wachtwoord moet aanpassen.
Het gebruik van een wachtwoord manager is aan te raden.
8. VERBERG DE WORDPRESS VERSIE DIE JE GEBRUIKT.
Als een aanvaller de WordPress versie kan zien, kan deze gebruikt worden om specifiek te zoeken naar de zwakke plekken van die versie en gericht aanvallen te doen. Open header.php en verwijder de volgende regel.
‘ meta name=”generator” content=”WordPress ” ‘
9. GEBRUIK ALLEEN OFFICIËLE BRONNEN VOOR THEMA’S EN PLUG-INS
Gebruik alleen thema’s en plugin’s van de officiele WordPress.org website of betrouwbare marktplaatsen zoals Themeforest of Codecanyon
Als je thema’s of plug-ins download van onbekende websites of websites die gratis Premium versies van thema’s of plug-ins aanbiedt bestaat er een reële kans dat er malware in de code zit verwerkt en dat je op een bepaald moment de controle over je website kwijt raakt.
10. ZORG DAT JE REGELMATIG EEN BACKUP MAAKT VAN JE WEBSITE.
Mocht het toch mis gaan, dan kan je snel terug naar een situatie waar het nog wel goed werkte of waar geen vuiligheid in zit.
Ga na bij je webhoster hoe zij de back-ups geregeld hebben, en bekijk of dit aansluit bij jouw situatie.
Conclusie
Mocht je er zelf niet uitkomen of wil je dat een professional er naar kijkt, neem dan contact met ons op of overweeg één van onze WordPress SLA overeenkomsten.
Om je website optimaal te beveiligen tegen hackers zijn er nog al wat beveiligingsmaatregelen nodig. Denk eraan dat je je website nog zo goed kan beveiligen maar je PC/ Laptop dient ook goed beveiligt te zijn. Zeker als je werkt met FTP om je website te uploaden naar de server.