Feiten & fabels over het beveiligen van WordPress

16 dec 2015

2 reacties

Er zijn veel WordPress gebruikers en zelfs website programmeurs, en zelfs hosting bedrijven die dit nog niet weten:

Feit: Het terugzetten van een oude backup is GEEN blijvende oplossing bij een gehackte website

Dit lijkt voor velen de oplossing, de redenatie is vaak dat het hackbestand van de server af is. Velen zijn verbaast als er binnen 1-7 dagen weer tekenen zijn dat de site gehackt is. Hoe kan dat?

Vaak is alleen het bestand wat spam of gegevens verstuurt is weg. Het lek is er nog, dit kan een oude versie van WordPress zijn, een thema of een plugin.

Wat je moet doen

Na het terugzetten van de backup kun je niet achterover leunen, dan begint het pas!

1. Alle plugins updaten/vernieuwen
2. WordPress updaten/vernieuwen
3. Kijken of er een theme update beschikbaar is
4. De website beveiligen
5. De server beveiligen
6. Wachtwoorden van de database, gebruikers veranderen

Feit: Het updaten van plugins lost de hack niet op

Als je op update klikt in je WordPress plugin area zullen (op moment van schrijven) alleen de bestanden ge-update worden en niet de gehele plugin.

Kortom hack bestanden blijven er nog in staan en worden niet verwijderd.

Fabel: Eens beveiligd is altijd beveiligd

Was het maar zo. Hoe goed je de website nu ook beveiligt, de plugins die je nu gebruikt worden door veel hackers getest op mogelijkheden om te misbruiken. Wanneer ze een lek gevonden hebben wat de regels van WordPress kan omzeilen, is er geen beveiliging die dat kan tegenhouden. Simpelweg omdat een plugin, administrator rechten heeft die het toelaten om bestanden te schrijven in mappen die daarvoor bedoeld zijn.

Fabel: Er zit een bekende of ingehuurde hacker die persoonlijk bezig is om mijn site te hacken

Nee, er is niemand bezig met je website. Tenminste in 99% van de gevallen niet. Tenzij je Porsche, Nike, of de koning bent.

Het zijn programma’s die duizenden WordPress sites uitproberen en binnen komen bij de WordPress sites die niet goed beveiligd zijn of niet up-to-date zijn.

Hoe komt het dan dat mijn WordPress website gehackt is?

Iemand heeft een tijd geleden een script geschreven wat WordPress websites opzoekt en daar reclame op plaatst door de bekende lekken te gebruiken.

Feit: Een hacker kan de website manipuleren, hoe dicht de server ook zit

De hacker hoeft geen bestanden op de server te zetten of aan te passen om de website te hacken.

Ook al staat je gehele server geblokkeerd zodat elk bestand alleen maar leesbaar is en niet aan te passen..

De hacker geeft bestaande bestanden opdrachten via lekke formulieren (XSS) of via de navigatie balk van je website. Op die manieren kan hij informatie in de database zetten waardoor je site open komt te staan of waardoor er ongewenste teksten & links in je website komen te staan.

Fabel: Een dure hosting provider biedt meer garantie op een veilige website

Je kunt het zien als een Ferrari dealer, hoe goed de auto ook ontwikkeld en onderhouden wordt.. ze hebben geen invloed op de manier hoe je ermee rijdt en kunnen geen ongeluk of diefstal voorkomen.

Fabel: Betaalde premium plugins zijn veiliger dan gratis plugins

Wij maken veel mee dat juist betaalde plugins gehackt worden, dit zijn plugins die namelijk veel gebruikt worden omdat ze op diverse sites betaald/gesponsord  worden en onder de aandacht gebracht worden bij grote doelgroepen.

Tevens hebben makers van betaalde plugins het vaak net zo druk of zelfs drukker dan de hobby-ist die een plugin maakt. Wat betekent dat veiligheidsupdates op zich laten wachten.

Fabel: Meer geregistreerde leden, betekent meer risico om gehackt te worden.

Elk extra lid is een extra regel in de database, maar leden met de rol abonnee, schrijver of editor hebben bepaalde rechten en beperkingen waardoor ze geen toegang hebben tot plugins of instellingen.