WordPress is wereldwijd het meest toegepaste Content Management Systeem (CMS) voor websites. Door gebruik te maken van WordPress wordt het mogelijk om de inhoud van een website te muteren, zonder dat de gebruiker hiervoor direct wijzigingen in de broncode van de website hoeft aan te brengen. Kortom, middels WordPress kunnen ook niet-programmeurs content op een website toevoegen of aanpassen.
Aangezien WordPress zogeheten ‘open source software’ betreft, is de broncode achter dit systeem (met alle voor- en nadelen van dien) vrijgegeven voor iedere webdeveloper. Zij kunnen daardoor zelf programmatische aanpassingen doorvoeren aan het Content Management Systeem. Dit, in tegenstelling tot ‘closed source software’, waarbij enkel de eigenaar c.q. ontwikkelaar van het (vaak zelf ontwikkelde) systeem programmatische aanpassingen kan doorvoeren.
“Een belangrijke keerzijde van de populariteit en het open source karakter van WordPress is dat kwaadwillenden kwetsbaarheden in het CMS proberen uit te buiten.”
Doordat enerzijds het aantal websites dat is opgebouwd met behulp van WordPress de afgelopen jaren enorm is toegenomen en door anderzijds de open source structuur van WordPress, is het systeem een geliefd doelwit geworden voor kwaadwillenden. Lukt het om de kwetsbaarheden in het CMS uit te buiten, dan zou de website in kwestie kunnen worden gehackt. In dit artikel geven wij u een viertal praktische tips waarmee u de kans op een geslaagde hack van uw WordPress website drastisch kunt reduceren.
Tip 1 – Beveilig uw WordPress inlogpagina
Wie bekend is met WordPress, weet dat het inloggen in het CMS zich normaliter afspeelt op de pagina www.uwwebsite.nl/wp-admin/. En, dit weten hackers ook! Door geautomatiseerd grote aantallen aan combinaties van veelvoorkomende gebruikersnamen en wachtwoorden in te voeren op een WordPress inlogpagina proberen zij zich toegang te verschaffen tot een website. Met behulp van een aantal simpele aanpassingen kunt u voorkomen dat zij slagen in hun opzet.
Zo raden wij u aan om uw inlogpagina te verplaatsen naar een andere URL. Denk bijvoorbeeld aan de URL www.mijnwebsite.nl/mijn-inlogpagina/. Hierdoor zullen de geautomatiseerde scripts van hackers uw inlogpagina niet meer kunnen vinden en deze opvolgend niet langer kunnen bestoken met vele inlogpogingen.
Daarnaast kunt u het inlogproces beveiligen met behulp van twee-factor-authenticatie. Bij deze vorm van authenticatie wordt, naast een gebruikersnaam en een wachtwoord, om een tweede beveiligingskenmerk gevraagd. Dit tweede beveiligingskenmerk kan ter illustratie een code zijn die kan worden gegenereerd door een beperkte set aan smartphones (die van u en van uw collega’s).
Tevens kunt u overwegen om een IP-restrictie op de betreffende pagina te plaatsen, waardoor uw inlogpagina enkel te bereiken is vanaf een vastgesteld aantal IP-adressen. Inlogpogingen door hackers vanaf onbekende IP-adressen zullen als zodanig falen.
Tip 2 – Beveilig de database van uw WordPress website
Veel data van een WordPress website wordt opgeslagen in een SQL-database. Omdat deze database normaliter automatisch wordt aangemaakt op een locatie die voor alle WordPress websites overeenkomstig is, maakt dit de database kwetsbaar voor aanvallen van hackers. Hackers kunnen zichzelf bijvoorbeeld toegang proberen te verschaffen tot uw website met behulp van een zogeheten ‘SQL-injection’ aanval. Om het risico op een dergelijke succesvolle aanval te beperken, is het verstandig om de standaardlocatie van uw WordPress database te wijzigingen. Vergeet overigens niet om eerst een back-up van uw website te maken voordat u een dergelijke actie onderneemt! Uw webdeveloper kan u hierbij helpen.
“Veel websitegegevens worden weggeschreven in een online database, waardoor het beveiligen van een dergelijke database een absolute noodzakelijkheid is.”
Tip 3 – Beveilig uw WordPress installatie
Zodra er een bug of kwetsbaarheid in WordPress wordt ontdekt, zal er door de WordPress community (wereldwijd miljoenen programmeurs en gebruikers) worden getracht om deze zo spoedig mogelijk te verhelpen. Over de ontdekte problemen en de (mogelijke) oplossingen wordt door de community uitgebreid gecommuniceerd op diverse fora. Het gebruik van fora stimuleert natuurlijk het delen van kennis om zo snel mogelijk tot een oplossing te komen. Echter, het maakt ook aan kwaadwillenden inzichtelijk waar zich op dat moment kwetsbaarheden bevinden in de software.
Om ervoor te zorgen dat kwaadwillenden de kwetsbaarheden niet kunnen uitbuiten, worden er zeer regelmatig updates uitgebracht voor het CMS WordPress, voor de beschikbare WordPress thema’s en voor de beschikbare WordPress plug-ins. Als vanzelfsprekend is het dan ook verstandig om de beschikbaar gestelde updates uit te voeren en hiermee te voorkomen dat hackers via de bekende kwetsbaarheden zich toegang tot uw website kunnen verschaffen.
Om het hackers zo moeilijk mogelijk te maken, adviseren wij tevens het versienummer van uw WordPress installatie uit de broncode van uw website te laten verwijderen. Het versienummer kan namelijk worden gebruikt om vast te stellen welke kwetsbaarheden uw website bevat.
LET OP! Wanneer uw webdeveloper programmatische aanpassingen heeft doorgevoerd aan de installatie van uw WordPress website, dan is het verstandig om niet zomaar over te gaan tot updaten. Gedurende een update zouden immers de door uw webdeveloper ontwikkelde aanpassingen verloren kunnen gaan. Informeer om die reden dan ook te allen tijde uw webdeveloper alvorens u uw WordPress website, WordPress thema’s of WordPress plug-ins update!
Tip 4 – Beveilig uw webruimte
Na het succesvol doorvoeren van het voornoemde drietal tips bent u er helaas nog niet. Want, er bestaat nog een vierde eenvoudige manier om de beveiliging van uw WordPress website op te schroeven. Ook de webruimte op de server die wordt gebruikt om uw website te hosten kan namelijk op een kwetsbare manier zijn ingericht. Voor het bewerkstelligen van een goed beveiligde WordPress website is het dan ook essentieel om een aantal instellingen van uw webhosting te controleren en zo nodig te veranderen.
Zo dient de ‘directory listing’ te zijn uitgeschakeld. Wanneer dit niet het geval is, dan kunnen bezoekers gemakkelijk de complete inhoud van (delen van) uw website opvragen. U schakelt de directory listing uit door het stukje code “Options All – Indexes” toe te voegen aan het bestand .htaccess op uw webruimte.
Daarnaast dient u zich ervan te verzekeren dat de permissies op uw webruimte correct zijn ingesteld. Deze permissies bepalen namelijk welke gebruikers rechten hebben om bestanden en mappen in te zien, te wijzigen en te verwijderen. Het spreekt voor zich dat u wilt voorkomen dat een hacker de mogelijkheid krijgt om een stukje schadelijke software op uw webruimte uit te voeren! De juiste permissies kunt u het beste laten bepalen en laten instellen door uw webdeveloper.
Uw website beveiligen? yndenz helpt!
Bent u benieuwd of de beveiliging van uw website op orde is? Vraag dan geheel vrijblijvend de experts van yndenz om hulp. Aangezien zij dagelijks voor vele klanten websites ontwikkelen, optimaliseren en beheren, zijn zij als geen ander op de hoogte van de laatste noviteiten op beveiligingsgebied. Bovendien hebben de webdevelopers van yndenz uitgebreide ervaring met een groot aantal Content Management Systemen (waaronder WordPress, Magento, Joomla, Drupal, et cetera), waardoor zij u snel en adequaat van advies kunnen voorzien en opvolgend op uw verzoek de gewenste aanpassingen kunnen implementeren.
Voorkomen is beter dan genezen. Wacht dan ook niet met het doorvoeren van de benodigde beveiligingsmaatregelen tot het moment dat kwaadwillenden uw website hebben gehackt, maar neem vandaag nog contact op met online marketingbureau yndenz. Stuur een bericht via onze website of bel ons op telefoonnummer 010-7370738.
Graag tot snel!