Denk je dat jouw website niet interessant is voor hackers? Think again.
Tijdens een recent webinar met ethisch hacker Mathijs Verschuuren van WhiteHats werd pijnlijk duidelijk hoe kwetsbaar veel WordPress-websites zijn.
Het goede nieuws?
Je kunt met verrassend eenvoudige stappen je site een stuk veiliger maken.
In dit blog neem ik je mee in de inzichten, demonstraties en oplossingen die tijdens het webinar aan bod kwamen.
Inhoudsopgave
Waarom WordPress zo populair én kwetsbaar is
WordPress is wereldwijd het meest gebruikte platform voor websites. Het is gratis, open source en je kunt zonder enige programmeerkennis een professionele website bouwen.
Maar juist door die laagdrempeligheid is het ook een geliefd doelwit voor hackers.
Elk lek in een plugin, thema of WordPress zelf wordt op grote schaal misbruikt.
Hackers herkennen WordPress in een oogwenk
Mathijs liet zien hoe hackers eenvoudig kunnen vaststellen of een website op WordPress draait.
Bestanden zoals wp-content, wp-config.php en readme.html verraden direct het gebruik van WordPress.
Tools zoals DirSearch scannen automatisch duizenden mogelijke paden om verborgen bestanden of foutieve instellingen op te sporen.
Een per ongeluk achtergelaten mapje met een bestand zoals secret.txt is dan zo gevonden.
De grootste risico’s op een rij
Met een WordPress-website loop je het grootste risico op een hack als je verouderde plugins en thema’s gebruikt waarin bekende kwetsbaarheden zitten.
Daarnaast geven standaard WordPress-bestanden vaak onbedoeld het gebruikte versienummer prijs.
Gebruikersnamen blijken eenvoudig zichtbaar te zijn via simpele URL-trucjes, en zwakke wachtwoorden worden nog altijd veel gebruikt.
Doordat de loginpagina altijd te vinden is via wp-admin, wordt het hackers bovendien makkelijk gemaakt.
Een bijkomend risico is de XML-RPC-functionaliteit, een oud protocol dat vaak wordt misbruikt.
Wat kun je doen? Heel veel!
Gelukkig zijn er praktische oplossingen.
De plugin All-in-One WP Security speelde tijdens het webinar de hoofdrol.
Mathijs van WhiteHats demonstreerde hoe je met simpele aanpassingen al veel van de genoemde risico’s kunt beperken.
Zo kun je het versienummer uit je broncode verwijderen, gebruikers-enumeratie blokkeren, en twee-factorauthenticatie activeren.
Je kunt bovendien instellen dat een IP-adres wordt geblokkeerd na meerdere foutieve inlogpogingen, en de XML-RPC functionaliteit uitschakelen als je die niet gebruikt.
Voor wie altijd vanaf hetzelfde netwerk werkt, is het zelfs mogelijk om de toegang tot het WordPress dashboard te beperken op basis van IP-adres.
Extra tip: gebruik .htaccess voor extra bescherming
Voor wie meer technisch onderlegd is, biedt het .htaccess-bestand extra bescherming.
Daarmee kun je directe toegang tot plugin- en themamappen blokkeren, het uploaden van ongewenste bestanden beperken en foutieve paden automatisch doorverwijzen naar een 404-pagina.
Nog meer belangrijke maatregelen
Een andere belangrijke stap is het uitschakelen van de bestandbewerker in WordPress. Daarmee voorkom je dat kwaadwillenden via de backend code kunnen injecteren.
Het is ook goed gebruik om inactieve thema’s en plugins volledig te verwijderen. Zelfs als ze niet actief zijn, kunnen ze toch een beveiligingsrisico vormen.
En uiteraard blijft het van belang om plugins, thema’s en WordPress zelf regelmatig te updaten.
Is 2FA echt nodig?
Het antwoord van Mathijs op deze vraag is overduidelijk; ja!
2FA staat voor tweefactorauthenticatie. Naast je wachtwoord, gebruik je nog een extra beveiligingslaag. Dit gebeurt vaak in de vorm van een extra code.
Deze optie maakt het voor hackers vrijwel onmogelijk om in te loggen, zelfs als ze je wachtwoord weten.
De code moet namelijk op een ingesteld apparaat opgehaald worden. Dat kan op verschillende manieren.
Een controle via SMS is af te raden, vanwege het risico op sim-swapping.
Gebruik liever een app zoals Google Authenticator, Microsoft Authenticator of Apple Wachtwoorden. Je kunt ook kiezen voor een wachtwoordmanager met ingebouwde 2FA-functionaliteit.
Wat als je toch gehackt bent?
Veel mensen zetten een oude back-up terug in een poging om een gehackte website te herstellen.
Dat is logisch, maar het pakt de oorzaak van de hack niet aan. Daarom zien we vaak dat websites dan snel opnieuw gehackt worden.
Laat je website eerst grondig scannen, bijvoorbeeld met onze dienst WebZeker, en voorkom dat je dezelfde fout opnieuw maakt.
Hackers gebruiken geen magie. Het zijn eigenlijk heel eenvoudige scripts, tools en lijsten met bekende kwetsbaarheden.
Maar je kunt jezelf dus al met een paar instellingen enorm wapenen.
- Installeer een goede beveiligingsplugin,
- Activeer twee-factorauthenticatie,
- Houd je website up-to-date.
Want of je nou een blog hebt met tien bezoekers per dag of een webshop met duizenden klanten; elke site is interessant voor een hacker.
Heb je hulp nodig of wil je weten hoe veilig jouw site nu is?
Met WebZeker checken we jouw WordPress website op mogelijke onveiligheden en stellen wijzigingen voor, of voeren ze voor je uit.
We helpen je graag op weg naar een WordPress website die net zo veilig is als hij eruitziet.
