Is jouw WordPress website veilig?

Vandaag was ik even ‘op bezoek’ bij een door mij gebouwde website. De site had vandaag een ‘aanval’ te verduren gehad. Brute force noemen ze dat. Gewoon proberen het wachtwoord te raden. Meestal geheel geautomatiseerd. Meer dan 300 inlog pogingen op een dag. En ze wisten de juiste gebruikersnaam!

Minimale beveiliging van je website

Standaard beveilig ik WordPress websites met Limit Login Attempts, een lichtgewicht plugin die bij meer dan 3 mislukte inlog pogingen de computer die probeert in te loggen blokkeert. Met die plugin dus al meer dan 300 pogingen op een dag. Zonder zo’n login-bescherming zijn ze vaak zo binnen. Ongelimiteerd proberen ze dan wachtwoorden uit. Daar hebben ze een login-naam voor nodig en een wachtwoord. En in WordPress zijn login-namen niet geheim… He? Hoezo niet? Nou, WordPress heeft die informatie standaard gewoon open staan. Username enumeration noemen ze dat. Hier kun je er meer over lezen: https://medium.com/@ahmed_elhady/wordpress-username-enumeration-techniques-2ca0510df632

Hoe zit het met de veiligheid van jouw wachtwoord? Helaas zie ik ook nog heel vaak dat gebruikers te eenvoudige wachtwoorden gebruiken. Zit je naam in je wachtwoord? Of ‘123’? Je kunt je wachtwoord checken op bijvoorbeeld https://www.security.org/how-secure-is-my-password/ . Als je dan geen login-blokker hebt geïnstalleerd, je login-naam gewoon open staat en je een zwak wachtwoord hebt, is het gewoon afwachten tot het fout gaat.

Landen waaruit de aanvallen plaats vinden (bron Limit Login Attempts)

Robots, plugins en updates

Geautomatiseerde aanvallen dus. Kleine software robots die eerst checken welke informatie ze allemaal kunnen vinden: login-namen, versie van WordPress, welk thema er is gebruikt. En ze checken met een standaard lijst bekende zwakheden van niet ge-update plugins. Zo’n botje wordt dan losgelaten als een speurhond op het internet en als ze een site binnen komen zijn er zoveel scenarios denkbaar als de fantasie maar toelaat. Er wordt bijvoorbeeld een webshop voor illegale medicijnen geïnstalleerd en vervolgens een paar miljoen spam-mailtjes de deur uit gegooid om klanten naar ‘jouw’ illegale webshop te leiden. De provider ziet (geautomatiseerd uiteraard) dat het verkeer op je website plotseling exponentieel stijgt en besluit je site uit de lucht te halen.

De kracht van WordPress zit in het plugin-systeem. Maar dit is ook tevens de zwakte. Als je je site niet altijd up-to-date houdt en je site niet goed is beveiligd, loop je gewoon risico gehackt te worden. Helaas is dit voor WordPress gebruikers geen ondenkbaar risico. Soms worden plugins gebruikt die al jaren niet meer worden onderhouden door de maker. Dan lijkt de site up-to-date, maar de deur van je site staat feitelijk gewoon helemaal open.

De-hacking

Mijn site was gehackt. Ronnie heeft hem snel en professioneel weer gefikst. Zo simpel is het! Van harte aanbevolen dus.

Imre Végh

International Trainer, Coach and Moderator at Project Wisdom

Met enige regelmaat word ik benaderd met de vraag of ik een gehackte WordPress website kan repareren. De-hacking dus. De hack ongedaan maken. En dat doe ik dan. Dat kost dan altijd wel een paar honderd euro, tenzij er nog een schone Back-up bestaat natuurlijk. In dat geval is het eenvoudiger en dus goedkoper.
Daarna de site goed dichtzetten. Maar ook weer niet zo dicht dat ie niet meer werkt… Geen website is de veiligste website.

Update angst

Veel eigenaren van WordPress websites hebben toch wel update angst. Of gewoon geen tijd of aandacht ervoor. Want ja, je hebt toch een site laten bouwen? Dan zal hij toch wel goed zijn? Bovendien staat er altijd die waarschuwing: ‘Zorg voor een goede Back-up voor je updates draait’.

Die angst is niet helemaal onterecht. Want er gaat echt wel eens iets fout. Dan werkt er iets niet meer na de update, en dan? Wie kun je bellen? Waar kun je terecht?

Service en beheer

Herken je je zelf hierin? Neem dan contact op, geheel vrijblijvend. Kan ik je uitleggen wat ik voor je kan doen en wat dat kost. Dat kan eenmalig: je updates draaien en je site beveiligen. Maar ik kan ook zorgen dat je site doorlopend goed beveiligd wordt en blijft, dat ie altijd up-to-date is, dat er Back-ups klaar staan just-in-case. En dan weet je ook wie je kunt bellen of mailen met je vragen over je site. Meer hierover kun je lezen bij Service en Beheer.

WordPress beveiligen vraagt om specifieke kennis. En specifieke tools. Kennis die ik in huis heb. Tools die ik ken en weet te gebruiken. WordPress heeft er een hele pagina aan gewijd: https://wordpress.org/support/article/hardening-wordpress/

Meer weten?

Bel of mail me gerust voor de mogelijkheden! Dan maken we telefonisch kennis. Kunnen we kijken wat ik voor jou kan betekenen. Als je het formulier invult, bel ik je binnen een werkdag terug.

Nog niet overtuigd? Kijk rustig in mijn voorbeelden of lees wat andere klanten over mij vertellen.