hoe WordPress websites worden gehackt
Omdat WordPress een wijdverbreid populair CMS is, is het ook een populair doelwit voor hackers.
Hackingaanvallen zijn meestal eerder opportunistisch dan doelgericht (hoewel grote merkwebsites wel specifiek doelwit kunnen zijn). De meeste aanvallen zijn geautomatiseerd, waarbij bots hoog en laag over het internet zoeken naar zwakke plekken in de beveiliging om uit te buiten.
Aanvallen vinden vaak plaats via:
- Onveilige website-hosting
- Inloggegevens – bijvoorbeeld door meerdere willekeurige combinaties van gebruikersnaam en wachtwoord te proberen
- Slechte beveiliging in CMS-, plugin- of themasoftware – meestal wanneer deze niet is bijgewerkt
Hackers hebben uiteenlopende motieven, maar vaak gaat het om winst. Het hacken van sites om malware te verspreiden, gebruikersgegevens te bemachtigen, spam-e-mails te versturen of websitebezoekers om te leiden, kan uiterst lucratief zijn.
Dergelijke inbreuken op de beveiliging kunnen een enorm negatief effect hebben op uw website en uw bedrijf – het ondermijnen van het vertrouwen van de gebruiker, het veroorzaken van wettelijke overtredingen en mogelijk het kosten van duizenden ponden. Het is dus van vitaal belang om uw WordPress website te beschermen tegen hacking.
is mijn WordPress site kwetsbaar voor hacking?
Beginners met WordPress en eigenaren van kleine sites denken vaak dat ze zich geen zorgen hoeven te maken over beveiliging. Zij gaan ervan uit dat hun site te klein en onbeduidend is om hackers te interesseren.
Deze veronderstelling is onjuist.
WordPress-sites van elke omvang worden gehackt. Hackers gebruiken geautomatiseerde bots om het internet af te speuren naar sites met zwakke plekken in de beveiliging en zullen overal hacken waar de gelegenheid zich voordoet.
Een ander belangrijk punt dat u zich moet realiseren, is dat u zich er misschien niet eens van bewust bent wanneer hackers proberen op uw site in te breken. Tenzij u regelmatig beveiligingsmeldingen krijgt over hackpogingen, komt u er waarschijnlijk pas achter wanneer een hack slaagt en er iets misgaat op uw website.
De boodschap die u hieruit kunt trekken, is dat alle sites kwetsbaar zijn voor hacking – en voorkomen is beter dan genezen. Zorg ervoor dat u een beveiligingsplugin installeert en andere preventieve beveiligingsmaatregelen neemt om uw site veilig te houden.
hoe de WordPress-hackers te verslaan
We delen nu de top 10 manieren om uw WordPress-website veilig te houden en te voorkomen dat deze wordt gehackt.
1) Kies een veilige hostingprovider
Alle goede hostingproviders zullen beveiligingsbeveiliging bevatten om ervoor te zorgen dat uw website-informatie veilig wordt bewaard op hun servers.
Bij het kiezen van een hosting provider, zorg ervoor om te controleren welke veiligheidsmaatregelen ze hebben (zoals firewalls en beveiligde FTP), hoe ze hun server netwerk te bewaken, en hoe ze reageren op eventuele inbreuken op de beveiliging.
Uw WordPress site kan bijzonder kwetsbaar zijn voor hacking als u een shared hosting plan heeft, omdat hackers mogelijk andere sites op dezelfde server kunnen gebruiken om toegang te krijgen tot die van u.
De meest veilige – maar ook de meest kostbare – hosting optie is een dedicated server. Dit is het overwegen waard als u bijzonder veel verkeer of gevoelige gegevens op uw site.
2) Krijg een beveiliging plugin
Het hebben van een hoge kwaliteit beveiliging plugin is een must-have om te voorkomen dat uw WordPress site wordt gehackt.
Beveiligingsplugin’s omvatten over het algemeen:
- een firewall om verdacht verkeer te blokkeren
- brute-force bescherming tegen meerdere willekeurige inlogpogingen
- een scanner die uw bestanden, thema’s en plugins controleert op beveiligingsproblemen
- regelmatige beveiligingsmeldingen
Wij raden Wordfence aan – een uitstekende, gratis beveiligingsplugin. Eenmaal geïnstalleerd, zal ‘Wordfence’ verschijnen in het linkermenu van uw WordPress dashboard. U kunt hier op elk gewenst moment op klikken om uw site te scannen, de laatste meldingen te bekijken en aanbevelingen te krijgen om de beveiliging van uw site te verbeteren.
3) Kies een veilig thema
Het kiezen van het juiste thema voor uw site is van cruciaal belang. Natuurlijk moet het de juiste uitstraling en functies hebben voor uw organisatie. Maar het moet ook robuust en veilig zijn.
Een veilig thema:
- Wordt regelmatig bijgewerkt en gepatcht
- Volgt goede coderingsstandaarden
- Wordt niet geassocieerd met bugs of compatibiliteitsfouten
Er zijn meer dan 7.000 WordPress-thema’s beschikbaar, het kan lastig zijn om te weten waar te beginnen!
De beste manier om een veilig thema te kiezen is door te kijken op WordPress.org. Daar kunt u themabeoordelingen bekijken, controleren hoeveel installaties een thema heeft gehad en zien wanneer het thema voor het laatst is bijgewerkt – allemaal goede aanwijzingen voor de veiligheid.
U kunt uw WordPress-bureau ook vragen om thema-aanbevelingen die voldoen aan de behoeften van uw specifieke website en organisatie.
4) WordPress up-to-date houden
Het up-to-date houden van WordPress is een andere belangrijke beveiligingsmaatregel. WordPress software-updates worden regelmatig uitgevoerd om de prestaties te optimaliseren en eventuele beveiligingsproblemen te patchen als ze worden ontdekt.
Het is mogelijk om automatische updates toe te passen voor de meeste WordPress core releases, zodat uw site op de achtergrond wordt bijgewerkt zonder dat u iets hoeft te doen. Grotere releases moet u echter nog steeds handmatig uitvoeren – zorg ervoor dat u eerst een back-up van uw site maakt!
Update berichten verschijnen op uw WordPress dashboard zodra ze beschikbaar zijn. Klik er gewoon op om actie te ondernemen. Het is een goed idee om plugins en thema’s ook regelmatig te updaten.
5) Gebruik veilige inloggegevens
Zoals hierboven vermeld, is een van de belangrijkste manieren waarop hackers toegang kunnen krijgen tot uw WordPress site via geautomatiseerde ‘geraden’ inlogpogingen. Hoe voor de hand liggender uw gebruikersnaam en wachtwoord, hoe groter de kans dat deze pogingen slagen.
Om hacken te voorkomen, dient u een atypische gebruikersnaam te kiezen. Dit betekent in feite dat u geen ‘admin’ gebruikt, wat zo gebruikelijk is dat het meestal de eerste gebruikersnaam is die hackers proberen.
Ten tweede: kies een veilig wachtwoord met een mix van letters, symbolen en cijfers. Voor maximale veiligheid moet dit wachtwoord uit ten minste 12 tekens bestaan en geen woordenboekwoorden bevatten.
Naast het beveiligen van uw WordPress dashboard login, moet u ook veilige gebruikersnamen en wachtwoorden kiezen voor uw andere website-gerelateerde accounts, zoals uw aangepaste e-mailadres. Anders kunnen deze ook worden gebruikt om uw site te hacken.
6) Voeg twee-factor authenticatie toe
U kunt uw WordPress login nog verder versterken door twee-factor authenticatie in te schakelen. Dit is vooral handig als u meerdere gebruikers hebt die inloggen op de back-end van uw site.
Met twee-factor authenticatie loggen gebruikers in twee fasen in. Eerst voeren ze hun gebruikersnaam en wachtwoord in. Daarna moeten ze een eenmalige toegangscode invoeren om hun identiteit te verifiëren.
Met de Wordfence beveiligingsplugin die we hierboven hebben aanbevolen, is twee-factor authenticatie eenvoudig in te schakelen. Het maakt gebruik van een authenticator app om passcodes voor gebruikers te genereren.
Om dingen in te stellen, ga naar Wordfence > Login Security in uw WordPress dashboard, en kopieer de gegeven sleutel. Download vervolgens Google Authenticator (of een andere authenticator app), en voer deze sleutel.
Op dit punt, zal de app een zes-cijferige code. Voer deze gewoon weer in op uw WordPress dashboard en klik op ‘Activeren’.
Twee-factor authenticatie zal nu worden ingeschakeld. Dit betekent dat elke keer dat u probeert in te loggen op WordPress, u wordt gevraagd om naar uw authenticator app te gaan en een passcode te verzamelen.
7) Bestandsbewerking uitschakelen
WordPress heeft een code-editor waarmee u uw sitebestanden via uw dashboard kunt bewerken. Hoewel dit natuurlijk een handige functie is, is het ook een enorme verplichting in termen van hacken. Wij raden u daarom aan deze functie uit te schakelen.
Een andere manier om het bewerken van bestanden te voorkomen is het uitschakelen van PHP-bestandsuitvoering in uw /wp-content/uploads/ mappen. Open hiervoor Notepad – of een vergelijkbare teksteditor – en plak het volgende:
<Files *.php>
deny from all
</Files>
Als u dit opslaat als .htaccess opslaat en het bestand uploadt naar de mappen /wp-content/uploads/ op uw website, voorkomt u ook dat hackers backdoor-aanvallen uitvoeren op uw PHP-uitvoering.
8) Scan uw website en computer
Het is belangrijk om uw website regelmatig te scannen om te controleren op malware, virussen en verdachte code. Als u de Wordfence-plugin gebruikt, kunt u dit doen door naar Wordfence > Scan te gaan en op ‘Start nieuwe scan’ te klikken.
Als er problemen zijn, zal Wordfence voorstellen doen om ze te verhelpen en uw site weer veilig te maken. Wij raden u aan ten minste eenmaal per maand te scannen – als u het vaker kunt doen, nog beter!
Het heeft echter geen zin te vertrouwen op een veilige site als de computer van waaruit u de site bedient is afgeluisterd of geïnfecteerd. Zorg er dus voor dat u uw computer of apparaat ook regelmatig scant.
U moet een goede antivirussoftware op uw apparaat gebruiken, en ervoor zorgen dat u uw systeem regelmatig bijwerkt. We raden u ook aan de privacyinstellingen van uw browser te controleren om te voorkomen dat u wordt gehackt terwijl u op internet surft.
9) Gebruik HTTPS
Het hebben van een HTTPS-site betekent dat de communicatie tussen uw website en de browsers van gebruikers wordt versleuteld. Dit is dus een andere belangrijke manier om hacking te voorkomen.
Als u nog geen HTTPS-site hebt, is het heel eenvoudig om deze over te zetten. U hoeft alleen maar een SSL-certificaat (Secure Sockets Layer) aan te schaffen, dat gratis beschikbaar is voor alle websites, bij Let’s Encrypt.
Als u al een SSL-certificaat hebt, zorg er dan voor dat u een kalenderherinnering instelt om het elke twee jaar te vernieuwen. Anders is het gemakkelijk om het te vergeten en de HTTPS-status van uw site – en goede beveiligingsgegevens – te laten vervallen.
10) Back-up, back-up, back-up!
Hoewel onze laatste tip hacking niet echt voorkomt, is het waarschijnlijk de belangrijkste stap om te nemen voor het geval uw site ooit wordt gehackt.
Door regelmatig back-ups van uw site te maken, kunt u uw site weer snel herstellen als dat ooit nodig is. Zonder back-ups, kon je staan om alles wat je ooit hebt ontworpen, geplaatst of geschreven op uw site te verliezen.
Hoe u een back-up van uw WordPress site zal afhangen van het type hosting dat u hebt. Zorg ervoor dat u met uw hostingprovider spreekt; ze kunnen back-ups opnemen als onderdeel van uw hostingpakket.
Als alternatief, praat met uw WordPress-bureau of installeer een back-up plugin. Hoe u het ook doet, zorg ervoor dat u regelmatig een back-up maakt van uw WordPress-site en bewaar uw back-upbestanden veilig, zodat u weet dat ze er zijn als u ze ooit nodig hebt.