WordPress is van zichzelf veilig. Website-eigenaren zijn er echter ontzettend goed in om WordPress onveilig te maken.
De gebruiker is dan ook de grootste veroorzaker van een gehackte WordPress website. Het had vaak voorkomen kunnen worden.
In dit artikel volgen 7 beveiligingsfouten die je maar beter kunt vermijden. Ik geef je tevens tips en adviezen hoe je met een klein beetje moeite heel veel kunt voorkomen.
#1 Je hebt gekozen voor slechte hosting
Geloof mij dat zeker niet alle webhosting bedrijven gelijkwaardig zijn. Wanneer je alleen naar de prijs kijkt kan dit je op termijn duur komen te staan.
De populairste hosting is Shared Hosting, ook al noemen veel hostingbedrijven het vaak anders. Bij Shared hosting deel je een server met andere website-eigenaren. Hierdoor blijven de kosten laag.
De meeste shared hosting-omgevingen zijn veilig en goed geregeld. Er zijn echter hosting providers die de gebruikersaccounts niet goed scheiden. Wanneer één website dan slachtoffer wordt van een hack, kunnen alle andere websites ook platgelegd worden.
Jouw hostingprovider moet ervoor zorgen dat de servers goed ingesteld staan op server- en bestandsniveau. Verder moet alles natuurlijk goed up-to-date blijven en beveiligingsupdates snel uit worden gevoerd.
Draai jij momenteel nog op PHP versie 5.6, 7.0, 7.1 of 7.2? Dan draai je op een versie waar geen actieve ondersteuning meer voor is en dat kan niet de bedoeling zijn.
Hoe voorkom je slechte hosting?
Ik kan mij heel goed voorstellen, zeker als je net start, dat je niet direct weet wat nou goede of slechte hosting provider is. Vaak moet je dit zelf ook eerst een keer ervaren.
Ik kan je echter aanraden om altijd voor een hosting provider te gaan met een goede reputatie en voldoende reviews (geen tientallen, maar liever honderden/duizenden).
Bekijk op de Webtalis WordPress hosting pagina welke hosting providers ik je kan aanbevelen. Hier zal je bovenstaande problemen zeker niet bij ondervinden.
#2 Onveilige WordPress inlogpagina
De WordPress inlogpagina is de plek waar de meeste aanvallen op worden uitgevoerd en eigenlijk de zwakste plek van iedere WordPress website.
Standaard is er geen limiet ingesteld op het aantal inlogpogingen dat gedaan kan worden. Zonder limiet kan een kwaadwillende eindeloos doorgaan om de juiste inloggegevens te raden. Na een tijd kan het dus best een keer goed geraden worden en dit wil je natuurlijk niet.
Hoe los je onveilige inlogpagina’s op?
Een onveilige inlogpagina is eenvoudig op te lossen door de inlogpogingen te limiteren. De plugin Limit Login Attempts Reloaded kan je hier goed bij helpen.
#3 Zwakke wachtwoorden
Hoe meer beheerders je website heeft, hoe gevaarlijker het automatisch wordt. Er hoeft maar één iemand een zwak of hergebruikt wachtwoord te gebruiken en jouw complete website loopt gevaar.
Iedereen weet eigenlijk wel dat het niet goed is om wachtwoorden te hergebruiken en dat een wachtwoord als “123456” natuurlijk nooit de bedoeling kan zijn, maar mensen gebruiken het nog steeds.
Bedenk eens dat een wachtwoord op jouw website in combinatie met hetzelfde e-mailadres al eens gebruikt is op een website waar een datalek is geconstateerd. Dat zou toch zuur zijn? Je kunt dit controleren op een website als Have i been Pwned.
Hoe voorkom je slechte wachtwoorden?
Blijf altijd opletten dat je sterke wachtwoorden gebruikt die je nog nergens anders hebt gebruikt en maak dit ook goed duidelijk aan andere beheerders op je website.
Wanneer je veel beheerders hebt kan het ook een goed idee zijn om twee-staps verificatie in te schakelen.
#4 Niet gebruikte plugins en thema’s bewaren
Wanneer je plugins of thema’s niet gebruikt, maar wel op de server laat staan, dan ben je slecht bezig. Ieder stukje code op je website is potentieel gevaarlijk en kan een startpunt zijn voor een hacker.
Dit is zeker het geval als het om een plugin of thema gaat die ook niet meer up-to-date wordt gebracht door de ontwikkelaar.
Hoe voorkom je problemen met plugins en thema’s?
Hier is een hele eenvoudige oplossing voor. Verwijder alle plugins en thema’s die je niet gebruikt op je website. Het is sowieso verstandig om al je plugins eens in de zoveel tijd eens goed te bekijken. Hebben alle plugins nog wel een meerwaarde? Wanneer dit niet het geval is kun je deze plugins beter verwijderen.
Verder is het ook verstandig om niet te starten met een plugin die niet meer up-to-date gehouden lijkt te worden. Bijvoorbeeld een plugin dat al meer dan een 9 maanden niet meer geüpdatet is. De ontwikkelingen gaan altijd heel snel, waardoor in deze tijd meestal al wel weer een update nodig is. Uiteraard zijn er uitzonderingen op de regel.
#5 Het niet hebben van een back-up
Ik kan het niet vaak genoeg benadrukken. Het is ontzettend belangrijk om back-ups in eigen hand te houden.
Stel je nou eens voor dat je gehackt wordt en je nog een back-up hebt van voordat je website geïnfecteerd was. Dit kan je ontzettend veel tijd schelen.
Tegenwoordig zijn er ook ransomware aanvallen waarbij je website volledig versleuteld wordt, waardoor het niet meer toegankelijk is. Om alles weer bereikbaar te maken heb je een code nodig om alles te decoderen. Dit kost je genoeg geld, waarna een hacker je met plezier de code geeft.
Door het hebben van een back-up heb je de mogelijkheid om jouw WordPress website terug te draaien naar een punt voordat alles versleuteld was. Daarna kun je alles snel up-to-date brengen zodat het niet nog een keer zal gebeuren.
Hoe voorkom je dat je geen back-up hebt?
Maak een back-up schema voor jouw website en automatiseer het maken van een back-up. Met een plugin als UpdraftPlus kun je al back-ups maken.
#6 Je doet niet of weinig aan updaten
Jouw website niet updaten is de grootste fout die je kan maken. Kwetsbare plugins en thema’s zijn, op de gebruiker na, de grootste beveiligingslekken in WordPress.
WordPress, plugins en thema’s volledig up-to-date houden is een belangrijk onderdeel van iedereen die om veiligheid geeft.
Versie updates zijn namelijk niet alleen fouten (bugs) die worden opgelost of nieuwe functionaliteiten die worden toegevoegd. Nee, er worden ook lekken gedicht.
Kwaadwillende maken juist misbruik van alle lekken die worden gedicht. Zodra een lek gedicht is, wordt namelijk door de maker bekendgemaakt dat er een lek gedicht is en ook wat voor soort lek dit was.
Oude versies hebben daarom simpel gezegd een bekende kwetsbaarheid. Dit is natuurlijk super handig voor kwaadwillende. Het is alsof ze een stap voor stap handleiding krijgen hoe een website binnengedrongen kan worden.
Wat mij betreft is dit een veel minder leuke stap voor stap handleiding dan mijn handleiding over hoe je een website kunt maken met WordPress.
Hoe voorkom je dat je kwetsbare plugins en thema’s gebruikt?
De oplossing voor dit probleem is simpel. Zorg er altijd voor dat je WordPress, plugins en thema’s goed up-to-date houdt.
#7 Plugins en thema’s van onbetrouwbare bronnen installeren
We houden allemaal van gratis of niet te dure plugins en thema’s. We zoeken daarom vaak als eerst op WordPress.org naar een plugin. Dit is de beste bron die je kunt gebruiken om naar een gratis plugin of thema te zoeken.
Wanneer we hier uitgezocht zijn zoeken we al snel verder via Google en dan kan het heel goed zijn dat we bij een premium plugin of thema uitkomen, omdat dit precies is wat wij zoeken.
Wat blijkt… Het is net wat duurder dan je verwacht. Je zoekt eigenlijk precies dezelfde plugin of thema, maar dan gratis of voor een laag bedrag.
Dit is waar het vaak fout gaat. Er zijn zogenoemde “Nulled” versies van betaalde plugins en thema’s te vinden. Deze kun je gratis of voor een super goedkoop tarief downloaden.
Het is echter zo dat deze plugins en thema’s vaak kwaadaardige code bevatten. Dat is de grote truc waar je dan intrapt.
Het maakt dan niet meer uit hoe je jouw WordPress website dicht probeert te gooien met allerlei “beveiliging”. Je hebt jouw website al lek gemaakt met de plugin of thema.
Hoe voorkom je dat je software via onbetrouwbare bronnen binnenhaalt?
Wanneer je op zoek bent naar plugins of thema’s kun je het best starten op WordPress.org, goed bekende commerciële marktplaatsen als WooCommerce, Themeforest en CodeCanyon of je kunt het direct bij een gerespecteerde ontwikkelaar downloaden.
Kom je op een website terecht waar je software kunt vinden van andere websites voor een veel goedkopere prijs of zelfs gratis? Begin er niet aan. Stuur desnoods om zeker te weten of het klopt een mail naar de ontwikkelaar.
Conclusie
Zoals je hierboven hebt kunnen lezen zijn er best wat beveiligingsfouten die gemaakt kunnen worden. Gelukkig heb je bijna alles zelf volledig in eigen hand.
Probeer dus altijd moeite te doen om jouw WordPress website goed te onderhouden, want dan heb je het ook op beveiligingsgebied een stuk beter op orde.
Mocht je meer willen leren hoe je jouw website op een goede manier kunt onderhouden, dan kun je de WordPress onderhoud training volgen.
5 reacties
Bedankt voor het delen van deze tips om beveiligingsfouten te kunnen vermijden. Zelf zou ik ook graag een website willen bouwen en ben mij nu aan het verdiepen in plugins. Ik ga ervoor zorgen dat ik betrouwbare bronnen gebruik en mijn website regelmatig update.
Hai Maikel, wij zien veel hackerspogingen op onze gebruikers nu heb ik wel de door jou geadviseerde plugin ingesteld zodat er een maximum aan zit en tot nu toe werkt dat. Maar ze moeten dan toch ergens de gebruikersnamen vandaan gehaald hebben enig id hoe dat kan en wat ik er verder nog aan kan doen? groeten frans
Gebruikersnamen zijn vrij eenvoudig te achterhalen, zeker als je de auteursarchieven aan hebt staan (wat op je website is). Met een plugin als Yoast SEO kun je deze archieven uitschakelen.
Wat een interessant artikel Maikel. Tegelijkertijd brengt het mij bij een vraag. Ik heb namelijk een oude versie van wordpress (4.8.15) omdat ik destijds begreep dat bij een update veel zou gaan verschuiven in mijn thema colorlib.
Weet jij of dat inmiddels nog zo is?
Edith
Hoe langer je wacht, hoe meer veranderingen er kunnen zijn en dingen fout kunnen gaan. Het kan dus zomaar erger zijn dan eerder.