Wist je dat de website van Mossack Fonseca, het bedrijf van de Panama Papers, een WordPress website was?
En wist je dat de site waarschijnlijk is gehackt vanwege een verouderde versie van Revolution Slider?
Dit maakte Wordfence in haar blog bekend. Wordfence is één van de beste plugins van het moment om je website te beveiligen tegen ongewenste indringers.
Het hacken van je WordPress website is een van de grootste nachtmerries voor website-eigenaren. Dus is het zaak om deze website goed te beveiligen.
Van het ene op het andere moment is je website niet meer bereikbaar en kun je niet meer in het cms komen. Alle energie, tijd en geld die je erin hebt gestopt, dreigt verloren te gaan.
Het komt maar al te vaak voor. Volgens het magazine Forbes, worden er elke dag 30.000 websites over de hele wereld gehackt.
In dit artikel laten we zien waarom hackers toegang tot je website willen hebben. Vervolgens gaan we in op hoe je je website tegen deze brute aanvallen kunt beschermen.
Waarom zou iemand je website willen hacken?
Eigenaren van kleinere websites denken vaak dat ze geen doelwit zijn voor hackers. Een blog met een paar honderd of paar duizend bezoekers per maand; dat is toch niet interessant voor een hacker?
Toch wel….
Hackers gebruiken jouw website om via jouw server spammailtjes te versturen. En dat is tricky, want als Google merkt dat er SPAM vanaf je server wordt verstuurd, heb je kans dat ze jou website op de blacklist zetten.
Of ze gebruiken je website om jou bezoekers om te leiden naar andere websites waarmee ze geld verdienen via affiliate programma’s. Dan krijgen ze een commissie als je op bepaalde links klikt.
Gevolg: ook de gewone mails en nieuwsbrieven worden bij anderen in de spambak gezet. Of nog erger: je wordt helemaal uit de zoekresultaten gehaald door Google.
Soms doen hackers het gewoon voor de lol. Ze vinden het leuk om een site binnen te dringen. Voor de sport.
De meeste aanvallen van hackers verlopen geautomatiseerd. Een hacker gaat echt niet een adres intikken en vervolgens kijken of de site kwetsbaarheden heeft.
Nee, hackers gebruiken net als zoekmachines bots die op het internet naar zwakke plekken zoeken. Zo kunnen ze tegelijkertijd duizenden websites checken. En vaak zitten daar altijd wel een paar websites tussen waar ze kunnen inbreken.
Waar is de kans het grootst dat ze je website hacken? Een paar cijfers:
- 41% van de websites wordt gehackt door kwetsbaarheden in het hosting platform.
- 29% gebeurt door middel van het template dat je hebt aangeschaft.
- 22% gebeurt via een kwetsbare plugin.
- 8% als gevolg van een zwak wachtwoord.
Meer dan de helft van alle hacks komen door WordPress thema’s en plugins. Of door tekortschietende hostingpartijen, die de veiligheid niet op orde hebben.
Wat kun jij hieraan doen?
Hoe kun je ervoor zorgen dat je website veilig blijft? 100 procent garantie kunnen we niet geven, maar je kunt het indringers heel lastig maken. En dan zullen ze op een gegeven moment afhaken.
In deze ultieme handleiding geven we je tips; zo moet je je WordPress website beveiligen:
1. Kies een goede hostingprovider
Uit de cijfers hierboven blijkt dat de kwaliteit van een hostingprovider belangrijk is. Nu zijn tegenwoordig de meeste providers redelijk betrouwbaar, maar vaak is goedkoop, duurkoop. Als je voor een tientje per jaar hosting betaalt, kun je verwachten dat er minder wordt geïnvesteerd in beveiliging van jou website.
Maar waar moet je dan op letten?
Kijk goed naar wat je provider aanbiedt. Naast ondersteuning van de nieuwste versies van PHP en MySQL, moeten ze regelmatig scans voor malware uitvoeren en dagelijkse back-ups. Mijn hosting provider maakt gebruik van Patchman, een programma dat hackers en malware buiten de deur houdt en ook kwetsbaarheden in websites automatisch repareert.
Je zou ook een provider kunnen nemen die zich specifiek richt op WordPress (die zijn er ook, zoals Savvii – wel iets duurder dan gemiddeld trouwens), want zij doen nog een stapje harder om WordPress websites te beveiligen en hebben vaak veel kennis van zaken.
2 . Zorg voor goede back-ups
Je kunt nooit voor 100 procent garanderen dat je website wordt gehackt. En dus is het raadzaam om regelmatig – en op verschillende manieren – backups te maken van je website.
Installeer altijd een backup plugin voor je website. Let op dat je een goede plugin kiest, er zijn namelijk ook backup plugins die alleen de database backuppen en niet de files.
Ik gebruik zelf regelmatig de plugins UpdraftPlus en BackupWordPress. Je kunt ze uit de plugin directory gratis downloaden en makkelijk installeren. Vervolgens kun je in de instellingen aangeven hoe vaak je backups wilt.
Er zijn ook betaalde backup plugins, zoals VaultPress, die meer mogelijkheden bieden. Als je bijvoorbeeld een backup met enige regelmaat naar Google drive of Dropbox wilt downloaden (in de cloud), dan kom je al sneller bij een betaalde plugin terecht.
Toch kun je vaak met een gratis plugin, ik gebruik ze ook, prima uit de voeten.
3. Zorg voor sterke login gegevens
Naast de hosting-omgeving kunnen hackers ook achter je login-gegevens komen van je website. Ook dat gebeurt geautomatiseerd.
Dat gebeurt door zogenaamde brute force-aanvallen, waarbij hackers een script uitvoeren dat in korte tijd honderden – zoniet duizenden wachtwoorden en gebruikersnamen uitprobeert op je website.
Het is dan ook zaak om lange, moeilijke wachtwoorden te maken. WordPress maakt automatisch al moeilijke wachtwoorden aan, met meer dan twintig (!) tekens, cijfers en letters, hoofdlettergevoelig. En heeft een sterkte-metertje die aangeeft of je wachtwoord veilig is.
Dat is ook nodig.
Alleen je achternaam en dan drie cijfers erachter is vragen om moeilijkheden.
Verander ook met enige regelmaat (om het half jaar) je wachtwoord. Het is niet verstandig om jarenlang hetzelfde wachtwoord te houden.
Vermijd het gebruik van de ‘admin’ gebruikersnaam. Hackers weten dat er nog veel mensen inloggen met als gebruikersnaam ‘admin’. Dat komt omdat dit standaard zo is ingesteld als je een nieuwe website maakt.
Bij bijna alle WordPress websites wordt regelmatig geprobeerd om binnen te dringen. Kijk maar even naar onderstaande melding van Wordfence, de beveiligingsplugin.
Je ziet dat er 17 keer door een buitenstaander is ingelogd met de gebruikersnaam admin.
Het is even een werkje, maar je kunt je standaard admin gebruikersnaam het beste aanpassen. In het volgende filmpje zie je hoe je dat moet doen:
Als je moeite hebt om al die wachtwoorden steeds te onthouden, zou je kunnen gebruikmaken van Wachtwoord managers, zoals LastPass. Met één ‘moederwachtwoord’ heb je dan toegang tot al je websites.
4. Installeer een beveiligingsplugin
Dit moet je standaard doen voor elke website. Zij nemen veel gedoe voor je uit handen en zorgen dat je site goed beveiligd wordt. Er zijn twee plugins die ik gebruik, Wordfence (mijn favoriet) en iThemes Security. Beide plugins hebben een serie aan beveiligingsmaatregelen om je site te beschermen. Je kunt bijvoorbeeld instellen dat iemand na 3 of 5 inlogpogingen automatisch wordt uitgesloten. Je kunt IP adressen uitsluiten. Of je kunt sites op zwarte lijsten uitbannen.
Maak hier echt even een kleine studie van. Er zijn genoeg artikelen op internet te vinden die hier heel specifiek op ingaan, zoals Securing Your WordPress site: Wordfence Security Review.
Vaak voldoen de gratis versies van deze plugins. Wil je meer beveiliging, moet je ervoor betalen. Zo is er de mogelijkheid om bepaalde landen (zoals spamgevoelige landen als Rusland of China) toegang tot de site te weigeren.
5. Stel tweetraps beveiliging in
Tegenwoordig wordt de twee-staps-verificatie ook steeds populairder. Het is iets omslachtiger, maar voorkomt zo goed als zeker dat indringers kunnen inloggen. Met de two-steps verificatie komt er een tweede laag van beveiliging bij, naast de standaard inlogmethode. Er wordt dan een code naar je mobiel gestuurd die je vervolgens moet invullen om toegang te krijgen.
Ik heb daar een uitgebreid artikel over geschreven, Two factor Authentification toevoegen in WordPress.
6. Verstop je WordPress inlogscherm
Een eenvoudige, maar effectieve manier om te voorkomen dat mensen steeds ongeoorloofd inloggen, is om je WordPress inlogscherm te verstoppen. Standaard kun je vaak inloggen via www.mijnwebsite.nl/wp-admin/. Er is een plugin die eenvoudig het standaard adres kan veranderen in welk adres je maar wilt, de WPS Hide Login.
7. Beveilig je wp-config file
In je wp-config bestand in de root (hoofddirectory) van je website kun je ook een aantal zaken aanpassen om een betere beveiliging te krijgen. Bij automatische wordPress installaties bij je provider zal er vaak automatisch een zogenaamde Secret key worden aangemaakt. Maar als jezelf WordPress download van WordPress.org en installeert, moet je deze Secret key nog toevoegen.
Hier zie je de lege Secret key in je wp-config bestand:
De secret key generator zorgt voor een unieke code. Die kun je vinden op: https://api.wordpress.org/secret-key/1.1/salt
Vervolgens plak je die op de plek van de lege key:
Er is ook een filmpje van hoe je dat kunt doen:
Nu je toch in je wp-config bestand zit 🙂 kun je ook nog een andere instelling aanpassen: de prefix.
Standaard is deze ingesteld op wp_, dat is algemeen bekend. Ook hackers weten dat.
Om de veiligheid van je website verder te verhogen, is het een goed idee om het te veranderen in bijvoorbeeld 4ldgklw;g#_.
Het aanpassen van dit soort zaken, zoals de prefix, kun je ook doen in een beveiligingsplugin zoals iThemes Security. Dat is makkelijker als je een beetje huiverig bent om in de codes te werken.
Want het blijft oppassen geblazen. Eén teken of streepje verkeerd en je website is niet meer zichtbaar of toegankelijk.
8. WordPress website beveiligen? Houd het up-to-date
Het ligt voor de hand, maar we noemen deze tip toch meer weer even.
Wist je dat meer dan 70% van de WordPress websites niet de laatste versie van WordPress heeft of met verouderde plugins werkt?
Het kan verstrekkende gevolgen hebben. Zoals met de Panama Papers, die werd gehackt omdat er een verouderde plugin van Revolution Slider draaide.
Meer dan de helft van geslaagde hackpogingen vinden plaats door middel van kwetsbare WordPress plugins en thema’s.
Ik zorg ervoor dat al mijn websites goed geupdated worden. Daar moet je discipline voor hebben, want er komen regelmatig updates van WordPress, plugins of de themes die je hebt gekocht.
De grote updates aan WordPress, zoals van 4,7 naar 4.8, moet je vaak zelf nog handmatig updaten. Maar sinds WordPress 3.7 worden kleinere updates automatisch gedaan.
Bij providers kun je vaak ook instellen dat updates automatisch worden verricht. Mijn provider werkt bijvoorbeeld met Installatron, die dat voor je kan regelen.
Maar wees er ook voorzichtig mee. Zelf doe ik grote updates handmatig omdat een grote update iets meer kans heeft dat er iets fout gaat. Ik wacht vaak ook een paar dagen nadat de update is aangekondigd.
Vaak zie je namelijk ook dat de eigenaren van de plugins en themes ook met een update volgen. En dus is het zaak om alles in een keer en tegelijkertijd te updaten.
9. Gebruik themes en plugins die te vertrouwen zijn
Ik gebruik bij mijn klanten alleen plugins die te vertrouwen zijn. Hoe kun je die herkennen? De populaire plugins in de Plugin Catalogus zijn vaak wel safe. Ze worden niet voor niets veel gebruikt en worden ook eerst gecontroleerd door de eigenaar van de plugin directory, Automattic.
Ik ben lid van WPMU DEV, een bedrijf die ook vele themes en plugins aanbiedt, die regelmatig worden geupdated en veilig zijn.
10. Blijf op de hoogte
Van een partij als Wordfence of kies een websitebouwer die de laatste ontwikkelingen in de gaten houdt.
Het komt met enige regelmaat voor dat er een kwetsbaarheid in een plugin wordt geconstateerd en dan is het zaak om zo snel mogelijk de plugin te updaten.
Hoe kom je daarachter? Door je bijvoorbeeld te abonneren op de nieuwsbrief van Wordfence. Zij laten meteen weten als er een plugin of WordPress dreiging is.
11. Stel de juiste File Permissions in
Als de bestand permissies op de server niet goed zijn ingesteld, kunnen derden gemakkelijker toegang krijgen tot de website. De rechten moeten als volgt worden ingesteld:
- Mappen en directories: 755 of 750
- Bestanden: 644 of 640
- WP-config.php: 600
De WordPress Codex heeft er een goed artikel over Changing File Permissions.
12. Scan je website regelmatig
Zonder dat je het zelf doorhebt, kan het zo gebeuren dat je website gehackt is. Je website is weliswaar gewoon toegankelijk en er lijkt niets aan de hand, maar soms wil een hacker juist je website intact houden, zodat hij ongezien allerlei spam kan versturen via jou site.
Het is dan ook handig om je website met enige regelmaat te laten scannen. Op internet zijn verschillende tools beschikbaar waar je je website kunt scannen op malware.
13. Gebruik een Secure Socket Layer (SSL) Certificaat
Je hebt het vast wel eens gezien, in plaats van http in je adresregel zie je er https staan. Veel bedrijven maken inmiddels gebruik van SSL certificaten.
Als mensen gegevens over zichzelf moeten invullen, is het aan te raden om met een SSL certificaat te werken. Het geeft een hoger beveiligingsniveau en maakt het minder makkelijk dat hackers toegang krijgen tot deze gegevens.
14. Gebruik Secure FTP (SFTP)
Als je je website via FTP upload, kun je het beste gebruik maken van een beveiligde FTP verbinding. SFTP is veiliger en zorgt voor versleutelde wachtwoorden.
15. Beveilig het .htaccess-bestand
Ook met het .htaccess-bestand (hoe vind je het htaccess-bestand?) kun je je WordPress-website beter beveiligen.
Met de volgende code kun je er bijvoorbeeld voor zorgen dat je wp-config-bestand goed beschermd wordt:
Meer lees je erover in Hardening WordPress.
Conclusie
In het algemeen kan ik zeggen: wees proactief. Doe je dat niet en verwaarloos je je website, dan vraag je om moeilijkheden.
Het beveiligen maakt deel uit van het runnen van een website en voorkomen is beter dan genezen. Mocht je site toch zijn gehackt kun je WordPress beveiligen door een professioneel bedrijf.
Je hoeft niet alleen beren op de weg te zien. WordPress zelf is over het algemeen zeer veilig en daar werken de developers elke dag aan om het nog veiliger te krijgen.
De meeste aandacht moet je besteden aan de hosting omgeving (neem moeilijke wachtwoorden voor ftp bijvoorbeeld), kwetsbare plugins/themes en gemakkelijke inloggegevens.
Tot slot kan ik zeggen: gebruik gewoon je gezonde verstand! Je moet niet op een onbeveiligd wifi-netwerk inloggen en het wachtwoord nooit aan iemand geven die je niet kent. En stuur je wachtwoord niet per per mail, maar per SMS.
Het zijn voor de hand liggende, maar belangrijke zaken.
Slaap lekker!
