8 feb 2017
WordPress website beveiligen, is dat nu echt nodig? WordPress is toch veilig??
Hackers zijn continu bezig met het zoeken naar lekken in WordPress en plugins. En dat is helaas niet zonder resultaat!
De hackers zijn namelijk niet alleen beginnende programmeurs die te teveel tijd hebben..
Je hebt te maken met volledige teams waarbij iedere programmeur zijn kennis gebruikt om een hack te schrijven.
Plugins + Thema‘s = Een lekke site
Tussen de 48,749 plugins die gratis voor WordPress te downloaden zijn en de 40.000+ betaalde premium plugins- themes zitten 6144+ WordPress plugins & thema’s die gerapporteerde lekken bevatten waar hackers vanaf weten.
WordPress website beveiligen is dus geen luxe meer met al die lekken! Het is noodzaak geworden om je WordPress website te beveiligen.
Een gehackte WordPress website veroorzaakt de onderstaande problemen:
- Het versturen van spam (ongewenste reclame) via jouw website-adres
- Het opvangen en doorsluizen van klantinformatie
- Het vertonen van reclame (links) tussen je eigen teksten
Je WordPress website beveiligen tegen hackers
Hackers zijn niet persoonlijk betrokken bij het hacken van je WordPress website.
Hackers zetten scripts online die dag en nacht – 7 dagen per week – WordPress websites vinden via Google en testen die WordPress websites dan op lekke plugins en verouderde WordPress versies.
Het is belangrijk dat je WordPress up-to-date houdt maar vooral dat je de (hack)scripts geen kans geeft om informatie over je website te verzamelen. Hoe meer een hacker en/of script weet over de data in je website des te makkelijker is het om een lek te vinden.
Je WordPress website beveiligen tegen lekke plugins
Plugins worden door webbureau’s gemaakt en door programmeurs uit alle landen. Veel programmeurs kennen de trucs van hackers niet. Ook al maken ze briljante plugins.. die plugins zijn helaas gevoelig voor geautomatiseerde hacks.
Je WordPress website beveiligen tegen injecties
WordPress heeft diverse methodes waarmee nieuws bijgewerkt kan worden. Door middel van de APP, door middel van API’s. Het is belangrijk dat deze injecties tegengehouden worden!
Een injectie is een commando die aan je website gegeven wordt via een bepaalde url, via de navigatiebalk.
Plugins zoals de iThemes Security PRO NL houden lange commando’s tegen zodat er weinig tot geen injecties meer gedaan kunnen worden.
Je WordPress website laten beveiligen door WPbeveiligen
Wij zijn 7 dagen per week actief met het beveiligen van WordPress websites. Wij kennen de trucs van hackers en weten daardoor wat nodig is om ze tegen kunnen houden.
“6144+ WordPress plugins & thema’s die gerapporteerde lekken bevatten waar hackers vanaf weten”, dat klopt volgens mij niet. De meeste lekken worden vaak redelijk snel verholpen door een update. Het kan waar zijn als je zegt: “hebben lekken of hebben lekken gehad waarvan hackers vanaf weten of wisten.” Dat zou wel kunnen.
De lekken worden inderdaad opgelost door de plugin en thema-bouwers. Maar in de oudere versies zitten die lekken nog. Wanneer men niet update is het bekend zijn van dat lek wel een noodzaak.
Het laat zien hoe belangrijk up-to-date zijn is als het gaat om plugins en thema’s. (En WordPress)
Is het ook mogelijk dat een hacker via je website ook virussen op de computers van bezoekers zet?
Dat komt heel weinig voor, maar het gebeurt zeker. Windows en antivirus software ziet die pogingen meestal waardoor het niet vaak succesvol is maar als je bedenkt dat sommige websites door honderd tot wel duizenden bezoekers bezocht worden kun je je voorstellen dat 1-5 op de 100 bezoekers met een verouderde antivirus of zelfs geen antivirus op de pc werken waardoor zo’n windows virus gewoon ingezet wordt via de website.
Vaak is daar nog wel een handeling voor nodig van de websitebezoeker. Zoals het klikken op een javascript popup, of het akkoorderen van een download.
In het verleden zijn cryptominers in websites gebruikt om Cryptomunten te “delven” via de computer van de bezoeker. Dan zet een script de cpu/gpu van de bezoeker aan het werk.
Ook zijn er gevallen bekend van phishing, keyloggers en zelfs specifieke scripts die de inloggegevens via de pcverbinding doorstuurden of sessies kaapten middels de cookies van de pc.
@frans,
Die plugins worden veel gebruikt, en dat weten hackers ook. Die doen veel pogingen op die plugins om ze te hacken.
De plugins zijn goed maar ook een keer gehackt.
Zoek ze maar eens op in deze database:
https://wpvulndb.com
@marloes,
Zelfs in geupdate plugins zitten lekken.
Programmeurs van plugins weten vaak niet alle trucs die hackers gebruiken en maken daarom niet altijd even veilige plugins. Zelfs al zijn ze geupdate kunnen ze daarom lekken bevatten.
Wij kunnen er overigens voor zorgen dat je website snel weer online komt! We maken halen de hacks uit je website en bellen je hostingpartij op zodat ze hem weer online zetten.
Neem even contact op via ons contactformulier of vraag direct een herstel & beveiliging aan via onze site.
@Mojo,
Het hangt helemaal van de programmeurs af. Hoe die hun werk doen.
Je mag verwachten dat een programmeurd die een betaalde Premium plugin online zet zijn werk beter doet dan iemand die de plugin gratis online zet.
Maar soms wil een programmeur ook snel geld verdienen en zitten er ook lekken in Premium plugins.
Het is wat dat betreft erg belangrijk dat je WordPress website beveiligd is. Dan kunnnen er niet zo snel injecties gedaan worden en veel trucs die hackers gebruiken bij lekke plugins werken dan niet.
marloes hier. ik heb een kapperszaak en een simpele website. nu heb ik van de hoster gehoord dat ze mijn website offline gezet hebben omdat die gehackt zou zijn. ik lees hier dat het aan de plugins of themas kan liggen maar die waren allemaal geupdate
Ik heb alleen de woocommerce en visual composer in mijn site. Lijkt me redelijk safe toch. Dat zijn plugins volgens mij door velen gebruikt worden. Lijkt me sterk dat die niet goed zijn.
wat is nu eigenlijk het beste? geen plugins of alleen betaalde of..