Regelmatig krijgen wij de vraag : ‘Hoe beveilig ik mijn WP?’ of ‘Help, mijn WordPress is gehackt! Wat nu?’
Als je gehackt bent dan zijn er een paar oorzaken aan te wijzen: je hebt je WordPress, je plugins en je themes niet bijgewerkt, je hebt premium plugins of themes van een torrent geplukt of van een vage website gedownload, of je admin-wachtwoord was te gemakkelijk.
Oud en kwetsbaar
Vaak wordt aangenomen dat hackers alleen maar op je site willen rotzooien. Helaas is dat een misverstand, het gaat ze uiteindelijk om de kroonjuwelen: toegang tot de server, het besturingssysteem. Om dat voor elkaar te krijgen gaan ze op 2 manieren te werk: systematisch servers scannen op verouderde versies van WordPress (staat vaak in de broncode van de site, maar de readme.html geeft ook veel informatie. Zet maar eens /readme.html achter je domeinnaam als je WP draait), maar nog veel interessanter verouderde plugins en themes. Sommige themes en plugins zijn al meer dan een jaar oud en hebben sindsdien geen enkele update gehad. Ook die kunnen kwetsbaar zijn.
Hacker dashboards
Echter het systematisch scannen van servers kost veel tijd. Het is veel gemakkelijker om populaire plugins en themes te infecteren met een paar regels code die verdere besmetting van je website mogelijk maken. Het lijkt allemaal zo leuk: een gratis versie van die plugin. Even proberen en zonder dat je het weet heeft die plugin allemaal extra software naar binnen gehaald. Je zult die extra software niet zo snel terug kunnen vinden, omdat het zichzelf goed weet te camoufleren. En nog belangrijker: de hacker heeft nu volledige toegang tot je site en server, maar helemaal buiten WordPress om! Er zijn dus geen extra gebruikersaccounts op je WordPress geïnstalleerd, want zijn hackers dashboard biedt veel meer mogelijkheden.
De beveiligingsexperts bij Wordfence hebben een mooie video gemaakt waarin ze laten zien hoe dat allemaal werkt en wat er allemaal mogelijk is.
Wat kun je zelf doen om je WordPress schoon te houden?
- Zorg ervoor dat alle plugins, themes (dus ook de standaard twenty-fifteen, twenty-sixteen) en WordPress zelf bijgewerkt zijn naar de meest recente versie
- Gebruik je een plugin of theme niet meer: verwijder ze
- Maak na de installatie een nieuw account (gebruik niet weer de naam admin of beheerder, maar iets als opperhoofd, baas, ….) aan met beheerdersrechten en verwijder het oorspronkelijke account admin
- Gebruik een complex wachtwoord. Voor alle accounts. Als je dat lastig vindt, maak dan gebruik van een wachtwoordmanager (1password, Keepass, Lastpass), die hebben plugins die complexe wachtwoorden voor je kunnen genereren en de wachtwoorden automatisch voor je invullen bij het inloggen.
- Geen illegale plugins en themes installeren. Ze bevatten nagenoeg altijd achterdeurtjes.
- Installeer op z’n minst een paar beveiligingsplugins:
– WP Limit Login Attempts gecombineerd met een van de onderste twee:
– Wordfence Security
– iThemes Security
Overigens gaan dit soort plugins wel ten koste van je laadsnelheid van je site.
Sommigen adviseren om de wp-login.php en wp-admin hernoemen, maar dat is ‘security through obscurity‘ en heeft weinig zin.
Twee-weg authenticatie zal binnenkort standaard deel uitmaken van WordPress maar tot die tijd kun je nog gebruik maken van plugins die hetzelfde doen (clef, yubikey)… Het is een optie maar totaal nutteloos als je de bovenstaande 5 punten niet voor elkaar hebt.
Je zou nog wat foutmeldingen bij de login onzichtbaar kunnen maken, maar een scriptkid kijkt daar niet eens naar.
Beveiliging door je webhoster
Daarnaast raad ik je aan te kiezen voor een webhoster die ook op serverniveau de nodige beveiliging voor je heeft, zoals aanpassingen in de php.ini (bv. safe_mode), een malware scanner laat draaien, een actief ipfilter (geoblock, ipfw) heeft, alsmede een proactief en reactief intrusion detection system… Vraag je eigen hoster naar de mogelijkheden, of neem contact op met Vertizio.
Tenslotte: je eigen computer
Wat kun je zelf verder nog doen? Kijk ook naar je eigen computer: is die nog steeds schoon? Je kunt ook gehackt worden doordat er een sniffer op je computer zit en die alle wachtwoorden doorsluist.