Vandaag was ik even ‘op bezoek’ bij een door mij gebouwde website. De site had vandaag een ‘aanval’ te verduren gehad. Brute force noemen ze dat. Gewoon proberen het wachtwoord te raden. Meestal geheel geautomatiseerd. Meer dan 300 inlog pogingen op 1 dag. En ze wisten de juiste gebruikersnaam!
Minimale beveiliging van je website
Standaard beveilig ik WordPress websites met Limit Login Attempts, een lichtgewicht plugin die bij meer dan 3 mislukte login pogingen de computer die probeert in te loggen blokkeert. Zonder zo’n login-bescherming zijn ze vaak zo binnen. Ze hebben een login-naam nodig, en een wachtwoord. En in WordPress zijn login-namen niet geheim… He? Hoe zo niet? Nou, WordPress heeft die informatie standaard gewoon open staan. Username enumeration noemen ze dat. Hier kun je er meer over lezen: https://medium.com/@ahmed_elhady/wordpress-username-enumeration-techniques-2ca0510df632
En hoe zit het met de veiligheid van jouw wachtwoord? Helaas zie ik ook nog heel vaak dat gebruikers te eenvoudige wachtwoorden gebruiken. Zit je naam in je wachtwoord? Of ‘123’? Je kunt je wachtwoord checken op bijvoorbeeld https://www.security.org/how-secure-is-my-password/ . Als je dan geen login-blokker hebt geïnstalleerd, je login-naam gewoon open staat en je een zwak wachtwoord hebt, is het gewoon afwachten tot het fout gaat.
Robots, plugins en updates
Geautomatiseerde aanvallen dus. Kleine software robots die eerst checken welke informatie ze allemaal kunnen vinden: login-namen, versie van WordPress, welk thema er is gebruikt. En ze checken met een standaard lijst bekende zwakheden van niet ge-update plugins. Zo’n botje wordt dan los gelaten als een speurhond op het internet, en als ze een site binnen komen zijn er zoveel scenario’s denkbaar als de fantasie maar toelaat. Er wordt bijvoorbeeld een webshop voor illegale medicijnen geïnstalleerd, en vervolgens een paar miljoen spam-mailtjes de deur uit gegooid om klanten naar ‘jouw’ illegale webshop te leiden. De provider ziet (geautomatiseerd uiteraard) dat het verkeer op je website plotseling exponentieel stijgt, en besluit je site uit de lucht te halen.
De kracht van WordPress zit in het plugin-systeem. Maar dit is ook tevens de zwakte. Als je je site niet altijd up-to-date houdt, en je site niet goed is beveiligd, loop je gewoon risico gehackt te worden. En helaas is dit voor WordPress gebruikers geen ondenkbaar risico. Soms worden plugins gebruikt die al jaren niet meer worden onderhouden door de maker. Dan lijkt de site up-to-date, maar de deur van je site staat feitelijk gewoon helemaal open.
De-hacking
[testimonial pageid=128]
Soms word ik benaderd met de vraag of ik een gehackte WordPress website kan repareren. De-hacking dus. De hack ongedaan maken. En dat doe ik dan. Dat kost dan altijd wel een paar honderd euro, tenzij er nog een schone backup bestaat natuurlijk. In dat geval is het simpeler.
Daarna de site goed dichtzetten. Maar ook weer niet zo dicht dat ie niet meer werkt 🙂 Geen website is de veiligste website.
Update angst
Veel eigenaren van WordPress websites hebben toch wel update angst. Of gewoon geen tijd of aandacht ervoor. Want ja, je hebt toch een site laten bouwen? Dan zal hij toch wel goed zijn? En dan staat er altijd die waarschuwing: ‘Zorg voor een goede backup voor je updates draait’.
En die angst is niet helemaal onterecht. Want er gaat echt wel eens iets fout. Dan werkt er iets niet meer na de update, en dan? Wie kun je bellen? Waar kun je terecht?
Service en beheer
Herken je je zelf hierin? Neem dan contact op, geheel vrijblijvend. Kan ik je uitleggen wat ik voor je kan doen, en wat dat kost. Dat kan eenmalig: je updates draaien en je site beveiligen. Of doorlopend. Dan zorg ik dat je site goed beveiligd wordt en blijft, dat ie altijd up-to-date is, dat er backups klaar staan just-in-case. En dan weet je ook wie je kunt bellen of mailen met je vragen over je site. Meer hierover kun je lezen bij Service en Beheer.
WordPress beveiligen vraagt om specifieke kennis. En specifieke tools. Kennis die ik in huis heb. Tools die ik ken en weet te gebruiken. WordPress heeft er een hele pagina aan gewijd: https://wordpress.org/support/article/hardening-wordpress/
Meer weten?
Bel of mail me gerust voor de mogelijkheden! Dan maken we telefonisch kennis. Kunnen we kijken wat ik voor jou kan betekenen. Als je het formulier invult, bel ik je binnen een werkdag terug.
[wpforms id=”408″ title=”false”]
Nog niet overtuigd? Kijk rustig in mijn voorbeelden of lees wat andere klanten over mij vertellen.