WordPress websites veilig houden

panickedwoman
Zij doet het dus verkeerd!

WordPress is momenteel een zeer gewild doelwit, en websites worden continue aangevallen. Als je site niet goed up-to-date is loop je hierdoor een groot risico op problemen.

Dit artikel bevat algemene informatie over malware infecties op WordPress websites, en een stappenplan (deel 2) om reeds gehackte websites op te schonen.

In deel 1 leggen we uit hoe de meeste websites besmet raken, vervolgens hoe je kunt voorkomen dat jouw website besmet raakt.

Ben je hier omdat je je website al gehackt is en heb je haast? Lees dan deel 2 van deze blog; stappenplan nadat je gehacked bent, en kom later terug om de achtergrond te lezen en hoe je dit in de toekomst kunt voorkomen.

Hoe worden websites besmet met malware?

De meeste besmettingen vinden plaats doordat software niet up-to-date is, en een (bekend) lek bevat waardoor aanvallers toegang verkrijgen tot de website. Ook zwakke gebruikersnamen (admin) en wachtwoord (wachtwoord123) combinaties zijn vaak de boosdoener, of het downloaden van bestanden waarin virussen zijn verstopt (zoals illegale plugins).

Het overgrote deel van de aanvallen wordt tegenwoordig (semi) automatisch uitgevoerd, vaak vanuit zogeheten “Botnets”. Die speuren het hele internet af naar onder andere WordPress sites die nog een oude versie draaien, of simpele wachtwoorden gebruiken.

Wat zijn de gevolgen van een besmetting?

De gevolgen zijn vaak zeer ernstig, onderschat deze niet. Malware bestanden worden met name op je site gezet om:

  • Bezoekers van jouw website te infecteren met virussen, en andere malware
  • Sites te hosten voor phishing (het stelen van b.v. bankgegevens, wachtwoorden, creditcard informatie etc). Dit leid vaak tot directe afsluiting van je website vanwege de ernst
  • Spam e-mail te versturen via jouw website
  • Aanvallen op andere websites uit te voeren via jouw site
  • Hoewel dit minder vaak voor komt; het lekken van gegevens zoals klant databases of andere gevoelige informatie

Virus DetectedAl deze vormen misbruik hebben zeer negatieve gevolgen voor de reputatie van je domeinnaam op internet. Malware infecties kunnen in het ergste geval tot jarenlange problemen leiden. Je domeinnaam komt bijvoorbeeld op blacklists te staan en wordt door zoekmachines en browsers geblokkeerd. Je SEO ranking zal, ook na het oplossen van het probleem, vaak flink gedaald zijn. Daarnaast kan aflevering van je e-mail problematisch worden omdat deze niet meer wordt geaccepteerd of in spam folders terecht komt.  Ook je (bedrijfs)naam kan reputatieschade leiden, zowel online als offline.

Hoe voorkom je malware infecties?

Updaten

Houd WordPress, plugins en thema’s up-to-date. Dit kunnen we niet genoeg benadrukken. Veelgehoorde argumenten om niet up-te-daten zijn “geen budget”, “niet belangrijk”, of “het thema wordt niet meer ondersteund”.

Een WordPress website moet onderhouden worden, net als bijvoorbeeld je huis of auto. Als je dat lang niet doet, gaat er uiteindelijk gegarandeerd iets mis waardoor je veel meer tijd en geld kwijt bent met het herstellen of zelfs helemaal opnieuw moet beginnen met je website, nog afgezien van mogelijke langdurige reputatieschade en andere gevolgen.

Als plugins of thema’s niet meer compatible zijn en onderhouden worden, dan is er geen andere keus dan over te stappen op alternatieven. Dat kan soms een heel karwei zijn, maar je draait immers ook geen Windows 95 meer met een goede reden.

Plugins die meegeleverd worden met je thema

Tegenwoordig leveren veel (betaalde) thema’s plugins gratis mee die voor het thema nodig zijn. Dat is handig natuurlijk, maar doordat je geen eigen licentie op die plugins hebt, ben je afhankelijk van updates van het thema om ook die plugins up te daten. Mits het thema goed ondersteund wordt, en je zelf die thema updates ook installeert is dat geen probleem. Als het thema echter niet meer ondersteund wordt, is het noodzakelijk dat je die plugins zelf onderhoud, of waarschijnlijk beter, overstapt op een nieuw thema met ondersteuning.

Wachtwoorden

Gebruik sterke wachtwoorden, en niet standaard gebruikersnamen  zoals admin. Een sterk wachtwoord is minimaal 10 karakters, bevat geen gehele woorden die je in het woordenboek terugvindt en geen namen zoals je website of eigen (bedrijfs)naam, en bevat een combinatie van hoofd letters, kleine letters en leestekens. Een wachtwoord zin is ook sterk en makkelijker te onthouden, bijvoorbeeld “SlaEenWordPressUpdateN00itOver!”

Illegale software

Gebruik nooit illegale versies van betaalde plugins of thema’s, deze bevatten vaak malware. Dat geldt ook voor software op je eigen PC, want ook op die manier kan malware op je website belanden.

Reacties

Tenzij je het nodig hebt, raden we aan reacties op blog posts uit te zetten onder Instellingen->Reacties (Settings->Discussion).

Zet het vinkje uit bij “Sta toe dat bezoekers kunnen reageren op nieuwe artikelen”

Als je wel wil dat bezoekers reacties kunnen plaatsen zet dan aan “De reactiemogelijkheid automatisch uitschakelen bij berichten ouder dan 14 dag(en)”. Dit voorkom dat je oude blogposts worden gespammed, en zorg dat de plugin Akismet (standaard geinstalleerd) geconfigureerd is, door de plugin te activeren en dan te configureren. Je moet hierbij een API sleutel verkrijgen

Nieuwe gebruikers

Tenzij je het echt nodig heb, zorg dat de instelling “Iedereen kan registreren” uit staat (standaard). Dit kun je vinden onder Instellingen->Algemeen (Settings->General)

Beveiligings plugins

Installeer een malware scanner zoals Wordfence voor extra beveiliging.

Geavanceerde tips

Bij installatie kun je de prefix van je WordPress tabel wijzigen, in plaats van wp_ maak je er bijvoorbeeld wpef8_ van. Dat kan helpen tegen SQL injection aanvallen.

Zet de mogelijkheid uit om via het wp-admin/ panel bestanden aan te passen door onderstaande in wp-config.php te plaatsen:

define('DISALLOW_FILE_EDIT', true);

Wil je nog meer tips, kijk dan op https://codex.wordpress.org/Hardening_WordPress

Wat als je website al gehacked is?

Gehacked en op zoek naar een oplossing? Lees dan deel 2 van deze blog; stappenplan nadat je gehacked bent.

Update Service

Onze WordPress Update Service is een dienst waarbij wij jouw WordPress site, plugins en thema veilig en up-to-date houden. Ook jouw website zorgeloos online?