preloader
Blog - WordPress beveiliging

Zo beveilig je jouw WordPress omgeving

Hoeveel zeggen termen en afkortingen als ‘WP Hacking’, ‘SSH’, ‘SFTP’ en ‘TLS’ jou? Als je geen idee hebt waar ik het over heb, raad ik je vooral aan om door te lezen. In deze blog vertel ik je namelijk meer over WordPress beveiliging en geef ik je waardevolle adviezen over het veiliger (laten) maken van jouw WordPress omgeving.

Laatst besteedde mijn collega Barry tijdens zijn ontbijtsessie* aandacht aan WordPress Security. Als je nou net als Barry een ervaren Developer bent, is zo’n technisch onderwerp gesneden koek. Voor mij, als Online Marketeer en Copywriter, staat dit wat verder van me af. Juist doordat hier voor mij nog enige ontwikkelruimte lag, kreeg ik de vraag om over dit onderwerp te schrijven. Het resultaat is een blog waarin ik je uitleg wat WordPress Security inhoudt en wat het voor jou als WordPress-gebruiker betekent. In toegankelijke taal.

WP Hacking

Laten we bij het begin beginnen: bij WordPress zelf. Het WordPress CMS is open source, wat inhoudt dat het voor iedereen beschikbaar is. Het gebruik ervan is laagdrempelig en de werking van WordPress is openbaar bekend. Je kunt hierdoor kosteloos een standaard WordPress website maken op basis van een gratis template. Het is daarnaast ook nog eens makkelijk in gebruik en wereldwijd bekend. Met zoveel voordelen op een rijtje is het overbodig om te vertellen dat het WordPress CMS ontzettend populair is.

Het marktaandeel van WordPress neemt nog steeds toe. Het is inmiddels het meest populaire CMS voor websites en webshops. Maar liefst 37,8% van alle websites ter wereld draait op WordPress. Daarmee is WordPress, zonder enige twijfel, de meest gebruikte manier om een website te bouwen.

w3techs 2020

Juist doordat WordPress zo eenvoudig werkt, is het ook makkelijk in te zetten door degenen die minder verstand hebben van websites, de beveiliging ervan en de bijbehorende veiligheidsrisico’s. En dat is waar het af en toe mis kan gaan. Voor het gemak vergelijk ik het zelf altijd met een standaard nieuwbouwplan. Als je precies hetzelfde huis laat bouwen als dat van je buren en op precies dezelfde plek je extra setje huissleutels verstopt, kunnen inbrekers dus ook op precies dezelfde wijze bij jullie binnenkomen. Ze hoeven maar één keer te ontdekken wat de zwakke plek is en kunnen vervolgens in het hele huizenrijtje toeslaan. 

Zo werkt het ook bij de een standaard WordPress website. De basis van deze inrichting is zo algemeen dat hackers in feite maar één hackprogramma hoeven te ontwikkelen om vervolgens duizenden van die exact dezelfde websites te kunnen hacken. Dat is dan ook precies waarom wij zoveel waarde hechten aan maatwerk WordPress websites. Door het standaard template te vervangen door een maatwerkoplossing en specifieke beveiligingsmaatregelen te nemen, komt de lat voor het hacken van je website een stuk hoger te liggen.

Wat doet een hacker?

Er zijn verschillende redenen om een website te hacken. Het kan voor hackers interessant zijn om de contactgegevens van je bezoekers te achterhalen. Bijvoorbeeld als je een webshop hebt met een groot klantenbestand of een optie hebt waarmee bezoekers zich kunnen inschrijven voor de nieuwsbrief. Deze contactgegevens kan een hacker verkopen aan een derde partij of zelf gebruiken om spam mails te versturen. 

Het kan ook voorkomen dat een hacker een platform zoekt om een boodschap uit te dragen. Ze misbruiken dan in feite het bereik van jouw website door rechtstreeks in contact te komen met je bezoekers. 

Een hacker kan je website ook ‘kidnappen’ door in te breken en de inloggegevens te veranderen, waardoor je zelf geen toegang meer hebt. Als je ‘losgeld’ betaalt, kun je uiteindelijk je website weer terugkrijgen.

Waar komen die hacks vandaan?

Wanneer je begrijpt waar zo’n hack vandaan kan komen, weet je ook hoe je jezelf ertegen kunt beveiligen. Er zijn simpele oorzaken die je eigenhandig kunt voorkomen en waar je direct mee aan de slag kunt gaan. Voor aanpassingen in de code schakel je de hulp van een developer in.

Slecht beveiligde webhosting

Goede hosting is essentieel voor de beveiliging van jouw WordPress omgeving. Een veilige server zorgt voor een betrouwbare basis van je website of webshop.  

Dit is niet alleen belangrijk voor je bezoekers, maar de veiligheid van je site heeft ook impact op je score binnen de zoekmachine rankings. Google beoordeelt de zoekresultaten onder andere op veiligheid, waardoor je met een goed beveiligde website een streepje voor hebt op de concurrent met een onbetrouwbare server.

Concrete vervolgactie 
Zorg voor webhosting op niveau. Wij verzorgen bijvoorbeeld maatwerk hosting voor onze opdrachtgevers. Dit is een hosting oplossing die wij op maat inrichten voor WordPress websites en webshops. Juist doordat we deze webhosting speciaal afstemmen op WordPress zorgt dit voor de optimale beveiliging.   

Zwakke wachtwoorden en gebruikersnamen

We kunnen het niet vaak genoeg zeggen: gebruik sterke wachtwoorden. Als jij je wachtwoord makkelijk kunt onthouden, kunnen hackers het waarschijnlijk ook makkelijker kraken. Gebruik daarom hoofdletters, kleine letters, leestekens en cijfers én vermijd logica. Hackers worden steeds slimmer, net als hun software, dus gebruikersnamen als ‘Admin’ en wachtwoorden als ‘Welkom123’ kunnen écht niet meer. 

Concrete vervolgactie
Een handige oplossing is een wachtwoordgenerator, met name wanneer je deze in combinatie met een online wachtwoordenkluis. We gebruiken zelf een browser extensie die de url herkent en vervolgens een gebruikersnaam en wachtwoord invult op de inlogpagina. Nadat we hebben ingelogd met ons hoofdwachtwoord, natuurlijk.

Niet beveiligde wp-config file

Iedere WordPress website of webshop heeft een database met persoonsgegevens en deze database heeft een configuratiebestand. Het configuratiebestand met de WordPress database is het wp-config.php bestand. Hierin staan bijvoorbeeld de gegevens van de database opgeslagen. 

Om te voorkomen dat deze gegevens in de verkeerde handen vallen, zorgen wij ervoor dat deze gegevens nooit in versiebeheer terecht komen en dat de file permissions goed ingesteld staan. 

Ongewijzigde table prefix (wp_)

Even voor degenen met mijn kennisniveau: de url van de WordPress database begint standaard met ‘wp_’. Dat stukje noem je de prefix; het vaste voorvoegsel. 

Wanneer je hier de standaard prefix laat staan, wordt de WordPress database een makkelijker doelwit voor hackers. Wij raden daarom altijd aan om tijdens de bouw van de website of webshop de prefix aan te (laten) passen door er een gepersonaliseerde code van te maken. Dit zorgt er natuurlijk niet voor dat je website in één keer waterdicht is, maar in combinatie met de andere tips zorg je wel voor een veel betere beveiliging van je site. 

Goed om te weten: Het is vooral zaak om dit direct goed te doen bij het aanmaken van de database. Het is zeker mogelijk om de prefix in een later stadium te wijzigen, maar het is wel foutgevoeliger wanneer er al data in opgeslagen is. Bij We Brand Creative verzorgen we dit standaard al tijdens de technische realisatie van de website of webshop, zodat dit meteen bij livegang goed ingesteld staat. 

Niet of niet frequent updaten van WordPress en plugins

WordPress is continu bezig met doorontwikkeling. De software wordt steeds beter, veiliger en sneller. Ook plugins van externe partijen werken doorlopend aan de optimale werking van hun product. Net als de apps op je telefoon moet je daardoor regelmatig een update (laten) uitvoeren waarmee WordPress en de plugins van de nieuwste, en best beveiligde, versie worden voorzien. 

Concrete vervolgactie
De vervolgactie is simpel: zorg dat WordPress en de plugins regelmatig een update krijgen. Let er alleen wel op dat je updates niet zomaar in werking zet. Er kan altijd iets misgaan in de software, waardoor de update juist voor een beschadiging van je WordPress CMS kan zorgen. Een voorbeeld is een betalingsmodule die na de update niet meer werkt, waardoor klanten niet meer kunnen afrekenen. Of een plugin met een custom toevoeging die na de update niet meer communiceert met de maatwerk code die erbij hoort. Dit soort updates brengen veel herstelwerkzaamheden met zich mee.

Wij verzorgen zelf proactief onderhoud voor onze vaste opdrachtgevers en zorgen ervoor dat updates vooraf gecheckt en, indien nodig, getest worden in een veilige omgeving. Dit houdt in dat wij ons inlezen over nieuwe updates, de kwaliteit ervan testen en uiteindelijk de keuze maken om de update wel/niet in werking te zetten. Wij zijn hierdoor verantwoordelijk voor de technische gezondheid van deze websites.  

Wat doet We Brand aan WordPress beveiliging?

In de losse items hierboven ben je al verschillende maatregelen tegengekomen die wij standaard nemen om het beveiligingsniveau van het WordPress CMS van onze opdrachtgevers te verhogen. Naast de WordPress hosting, de beveiliging van het wp-config.php bestand, het hernoemen de prefix en het proactieve onderhoud nemen we diverse aanvullende maatregelen. 

Zo hebben we alle WordPress oplossingen bijvoorbeeld voorzien van iThemes Security. Deze beveiligingsplugin maakt het verplicht om sterke wachtwoorden te gebruiken, biedt de mogelijkheid tot tweestapsverificatie en houdt de acties per gebruiker bij. Daarnaast zorgt iThemes Security voor een beveiliging tegen ‘brute force’ aanvallen. Dit zijn hackpogingen waarbij er massaal wordt geprobeerd in te loggen via de ‘Wachtwoord vergeten?’-functie. De iThemes Security plugin registreert deze inlogpogingen en markeert ze als verdacht, waardoor deze gebruikers geblokkeerd worden en niet meer kunnen proberen om in te loggen. 

Verder hebben we alle file permissions, letterlijk: de toegangsrechten tot bestanden, standaard op beveiligd staan. Ook zorgen we voor beveiligde SSH / SFTP verbindingen, waardoor gevoelige informatie versleuteld verzonden wordt van WordPress naar de browser. De precieze werking daarvan is mij alleen nèt iets te technisch.  

Wil je meer weten over onze WordPress security of heb je meer vakkennis dan ik en wil je graag dieper op dit onderwerp ingaan? Onze developers kunnen je meer over dit onderwerp vertellen en adviseren je graag.

De ontbijtsessie van Barry over WordPress beveiliging
De ontbijtsessie van Barry over WordPress beveiliging

* Wat is een ontbijtsessie?

We organiseren iedere maand een ontbijtsessie: een sessie waarin één van onze teamleden het ontbijt verzorgt én een presentatie geeft over belangrijke updates en interessante ontwikkelingen uit zijn of haar vakgebied. 

Als fullservice internetbureau hebben we binnen ons team van zes natuurlijk allemaal onze eigen expertises. Aan de hand van deze ontbijtsessies houden we elkaar op de hoogte en maken we per vakgebied een vertaalslag naar het effect van deze ontwikkeling. Iedere maand een andere collega en dus ook een totaal ander onderwerp, maar wel op zo’n manier dat het voor ieder teamlid van toepassing is.

Reageren op dit bericht