beveilig je jouw (wordpress) website?

Hoe voorkom je dat jouw website gehackt wordt? ontdek nu: hoe beveilig je jouw (wordpress) website?

Het lijkt wel of er tegenwoordig elke dag wel een grote website gehackt wordt als we het nieuws mogen geloven.

Helaas is dit niets nieuws, maar komt steeds meer voor en worden de terreinen uitgebreid naar grotere instanties, zoals banken, grote online winkels, creditcard maatschappijen etc.

Een veelgebruikte (maar niet enige) methode is daarbij een zogenaamde DDOS (Distributed Denial of Service) aanval.

Het doel van zo’n aanval is om een bepaalde dienst of server te overstelpen met (informatie) aanvragen waardoor het systeem deze massale vraag simpelweg niet aankan en vastloopt/crasht (denial of service: weigering van dienst). Deze aanval wordt niet vanaf een systeem van een hacker uitgevoerd, maar vanaf vele systemen van vaak onwetende gebruikers. Deze systemen zijn besmet geraakt met een virus of malware. Door dit virus of malware is deze hacker in staat deze systemen massaal aanvragen te versturen naar een specifieke dienst of service (Distibuted: verspreide).

Hackers willen dus hun malware of virussen op zoveel mogelijk systemen kunnen verspreiden. Naast het verspreiden van bijvoorbeeld illegale (met virus besmette) software kopieën, het versturen van spam en phishing mail, proberen zij ook websites te hacken om op die manier virussen of malware te kunnen verspreiden.

Ben je dus eigenaar van een website en niet een direct doelwit voor hackers, dan ben je alsnog interessant voor hen, omdat je bezoekers hebt waarvan een hacker maar al te graag zijn of haar computer wil hacken.

Het is dus fout om te denken dat jouw site niet interessant is voor hackers, Elke site is voor hun interessant!

Tot zover, de (nogal zwarte) inleiding. Gelukkig is er wat tegen te doen:

10 Tips om jouw (WordPress) website veilig te maken:

Hoewel je veel, heel veel, kunt doen om hackers buiten jouw virtuele deur te houden, bestaat er niets als “hacker-proof”. Afhankelijk wat jouw website aan waarde te bieden heeft, zal een hacker meer of minder moeite doen om jouw website te besmetten. Onderstaande is dus geen garantie dat jouw site absoluut veilig is: Het gaat erom dat je het zo moeilijk mogelijk maakt waardoor de meester hackers jouw site links zullen laten liggen bij een mislukte eerste poging.

1. Gebruik sterke veilige wachtwoorden

Om maar gelijk te beginnen met de meest makkelijke en eenvoudig toepasbare tip, en…

STEL DEZE GEEN MINUUT UIT!

Gebruik veilig wachtwoorden.

Niet een, maar bij voorkeur voor elke website of dienst een andere. Trap niet in de val “ik wil een wachtwoord voor al mijn websites, zodat ik deze makkelijk kan onthouden” of “mijn wachtwoord” is sterk genoeg, of “wie wil mij nu hacken”.

Gebruik je nog geen wachtwoorden met:

  • tenminste 8 tekens
  • waarvan minimaal 1 hoofdletter en 1 kleine letter
  • minimaal 1 cijfer
  • minimaal 1 leesteken (#,-&%!\
    []><}{  etc.)

dan doe je het fout!

Bij voorkeur verander je deze ook eens in de zoveel tijd.

2. Update voortdurend

Updates van WordPress of plugins zijn er niet zodat de site WordPress of die van de plugin ontwikkelaars even de aandacht van google krijgen. Natuurlijk zijn ze er om een betere gebruikerservaring te realiseren, maar ook omdat deze geupdate zijn om weerstand te bieden tegen de nieuwste methoden om jouw website te hacken.

Elke software loopt altijd achter de feiten aan: er volgt een update, deze wordt gekraakt, waardoor er weer een nieuwe update gemaakt moet worden -nadat deze “lek” ontdekt is- . Is er eenmaal een update beschikbaar dan is het ook zaak om deze zo snel mogelijk uit te voeren (immers bevatte jouw website -potentieel- al de lek sinds de laatste versie…)

3. Neem extra beveiligings-maatregelen voor het “Admin” account

Heel veel, – zo niet bijna alle- WordPress websites hebben een “admin” account, waardoor de gebruikersnaam al makkelijk te raden is. Kan ik deze niet wijzigen?

Ja natuurlijk! Kwaad kan het zeker niet. Bedenk wel dat deze in jouw site heel makkelijk is te achtehalen. Al was het alleen maar omdat je onder dat account af en toe wel eens, als niet “ALTIJD” een bericht op jouw website schrijft.

Gebruik voor het admin-account een extra sterk wachtwoord (ja…, ik verwijs je terug naar punt 1!)

Wil je extra veilig zijn, maak dan gebruik van yubikey. Naast een gebruikersnaam en wachtwoord heeft de inlogger ook nog een USB-stick nodig met daarop een digitale sleutel. Veel rompslomp?…. nee, een gerust stellende gedachte!

4. wees alert voor “brute kracht aanvallen”

Er zijn vele sites (ook deze) waar men heel vaak probeert in te loggen met verschillende gebruikersnamen en wachtwoorden.

Op deze site was in een tijd van 10 dagen al 364 x geprobeerd in te loggen. Niet schokken, zou je misschien denken. Bedenk wel dat gedurende deze 10 dagen de site nauwelijks content bevatte en nog nergens gepromoot, of bekend was…Bedenk eens wat de cijfers zullen zijn voor een site met veel naamsbekendheid…

Gelukkig kun je er wat aan doen:

  • zorg dat punten 1, 2 en 3 op orde zijn
  • een goede webhost kan je hulp bieden bij het tegengaan van veelvuldige inlogpogingen zowel bij het “tegen gaan van” als het ” traceren van”
  • installeer een plugin zoals limit login attempts. Hiermee kun je jouw site tijdelijk “op slot” voor inlog zetten na een “x” aantal mislukte inlogpogingen.

5. Houdt malware in de gaten

Het is aan te raden om een systeem te hebben dat jouw website continue in de gaten houdt en voorkomt dat er zich malware nestelt diep ergens in het “woud” van bestanden. Goede systemen zijn niet gratis (tenminste niet waarvan wij weet hebben) maar kunnen het overwegen waard zijn. een goede partij is bijvoorbeeld sucuri. Zij scannen jouw site voortdurend op server niveau.

Hoe je malware in de gaten houdt is van vitaal belang: kies voor een systeem dat tot in de verste uithoeken van jouw website installatie kan zoeken.

6. …en doe iets tegen malware!

Eenmaal gedetecteerd, moet er ook wat gebeuren met geïnfecteerde bestanden. Kun je dat zelf?…Prima! Weet je niet hoe je dat moet doen, dan kan ook sucuri jou daar bij helpen.

Bedenk wel dat downtime van een besmette website een serieus probleem kan opleveren als eigenaar van een website.

7. Kies een juiste hostingprovider

Wees er bewust van dat een betrouwbare hostingprovider een prijskaartje heeft.

Een goedkope hostingprovider, betekent vaak dat jouw website(s) in een shared hosting (gedeelde hosting) omgeving draait (-en).

Je deelt in dat geval de hardware met honderden andere websites. Neem dus alle veiligheids-criteria die je zou moeten toepassen op een website en onderhoud die 24/7 en vermenigvuldig deze met een factor van een paar honderd tot misschien wel duizenden websites.

Verwacht je een zo veilig mogelijke omgeving als mogelijk, dan is shared hosting niet jouw oplossing, maar kun je beter uitkijken naar -op zijn minst- een VPS (virtual Private Server) oplossing. Hierbij heb je 1 virtuele server geheel tot jouw beschikking alleen.

8. Beschouw jouw website als jouw keuken: Schoonmaken!

Een groot voordeel van een CMS zoals WordPress is dat je talloze thema’s en plug-ins kunt installeren. Van alle geïnstalleerde thema’s kies je er een als thema (opmaak) van jouw website. Van alle geïnstalleerde plug-ins heb je waarschijnlijk het merendeel in gebruik, maar er zullen er ook zijn die jou toch niet bevallen, of die je nog moet instellen, bekijken of testen. Het gevaar van die laatste categorie√´n is dat je deze wel geïnstalleerd laat, maar niet geactiveerd hebt. Dit is een groot beveiligingsprobleem, zeker als je deze niet voorziet van de laatste updates.

Wat niet gebruikt wordt: verwijderen, zoals vuile vaat op het aanrecht!

9. Bewaak gevoelige informatie

Verwijder je ongebruikte thema of plugins, controleer dan ook of de mappen waar deze bestanden zich bevonden ook echt leeg zijn. Een simpel “readme.txt”-bestand of “phpinfo.php”, of “i.php”-bestand levert een schat aan informatie op voor hackers. Dit kan zo ongeveer de sleutel van de kluis voor hen betekenen.

Ook database back-ups opslaan in een map van jouw website installatie is Fout, heel fout!!. Eenmaal in de handen van verkeerde personen, en zij hebben toegang tot de gegevens van jouw gebruikers-accounts.

Bedenk als website eigenaar dat je niet allen een verantwoording hebt voor jouw website, maar ook de informatie van de gebruikers!!

Schoonmaken! niet met stoffer en blik, maar op de knietjes met een tandenborstel!

10. Blijf waakzaam

Blijf alert, volg nieuws en gebruik jou gezonde verstand!

Wees niet bang voor een aankondiging op een of ander onbekend blog, waar iemand claimt godaddy neer te halen.

dit soort zaken blijken vaak niets meer dan dreigingen. Waar je meer bezorgd over moet zijn is een serieus beveiligings-probleem van bijvoorbeeld een plug-in dat veelvuldig gebruikt en niet tijdig en adequaat opgelost wordt. Wij denken alleen maar even terug aan de ellende die rond het internet rond raasde door Timthumb.php. Zeer veel websites maken gebruik van deze software, waardoor Hackers hun scripts razendsnel over heel veel site’s konden verspreiden.

(gelukkig zijn de problemen in de huidige Timthumb.php bestanden opgelost.)

Uiteindelijk komt de beveiliging van websites neer op het gezonde verstand en discipline van de website beheerder. Beveiliging is niet allen maar een belang van het geherinvesteerde om een website te laten zijn zoals het er nu is, het gaat ook om gebruikers-gegevens op deze, maar ook op andere websites en zelfs andere systemen!