WordPress is ontzettend populair. Veel WordPress gebruikers delen online hun ervaring met het platform. Online beveiliging is hier een hot-topic. Wat natuurlijk ook een erg belangrijk onderwerp is. Website-eigenaren willen immers dat hun website goed beveiligd is tegen hackers.
De gebruikers bedoelen het heel goed en willen anderen graag helpen, maar hierdoor zijn er wel WordPress mythes rondom de security ontstaan.
Dit zijn de 7 WordPress mythes die jouw website helemaal niet beter beveiligen.
Force attacks komen voor als kwaadaardige bots die steeds weer jouw gebruikersnaam en wachtwoord proberen te raden om toegang tot de backend van je website te krijgen. Van daaruit kunnen ze jou vergrendelen, jouw gegevens in gevaar brengen en de website afbreken. Vaak proberen zij gebruikersnamen zoals admin met duizenden wachtwoorden in de hoop dat iets zal werken.
Omdat de bots de login pagina aanvallen, is het voor veel gebruikers een logische stap om hun wp-admin folder te verstoppen of in ieder geval hun login pagina te verplaatsen. Er zijn veel plugins die dit mogelijk maken. Toch is dit niet de oplossing om verschillende redenen:
1. Veel plugins en features zijn afhankelijk van de wp-admin folder op de plek waar die staat. Als er iets aan die folder verandert, kan een plugin of feature kapotgaan. Daarom raden wij aan om een de wp-login.php pagina alleen te veranderen of een wachtwoordbeveiliging te gebruiken als het écht noodzakelijk is.
2. “Security through obscurity”. Met deze aanpak verhoog je de veiligheid van je data door een toegangspunt te verbergen. Afhankelijk zijn van een verborgen pagina op je site, is over het algemeen niet de beste aanpak voor online security. Elke hacker kan met de juiste tools inbreken op jouw website en alsnog heel makkelijk vinden waar jouw login pagina is verborgen. Het maakt niet uit waar je deze hebt verborgen. Het is niet echt een effectieve manier en kan voor meer problemen zorgen dan dat het uiteindelijk een oplossing is.
3. De meerderheid van de aanvallen zijn niet op de loginpagina. Ze proberen vaak in te loggen via XMLRPC, zo loggen andere applicaties in om te communiceren met jouw website.
Een paar jaar geleden werd dit idee ineens heel populair. Dit zou SQL-injection aanvallen op je website voorkomen, waarbij de aanvaller een beveiligingslek in jouw WordPress plugins of thema’s gebruikt om toegang te krijgen tot jouw database. Door je voorspelbare database table prefix en “wp_” in iets anders te veranderen, zou je deze aanvallen op een of andere manier kunnen voorkomen.
Er is echter geen reden om te geloven dat dit waar is. Het kan je website zelfs in gevaar brengen. De beste beveiliging tegen SQL injection attacks, is een driedelige benadering met een krachtige Web Application Firewall. Deze firewall controleert jouw website continu tegen malware en houdt jouw plugins, thema’s en core files up-to-date.
Natuurlijk is een sterk wachtwoord en een unieke gebruikersnaam een belangrijk onderdeel van de beveiliging van jouw website. Een van de basistechnieken van hacker bots is immers om duizenden wachtwoorden te proberen met de standaard WordPress gebruikersnaam “admin”. Door je admin gebruikersnaam te veranderen, loop je al een stap voor. Zeker in combinatie met een wachtwoord die bestaat uit hoofdletters, kleine letters, cijfers en speciale tekens.
Maar zelfs als je dit hebt, vinden hackers nog wel andere manieren om jouw website te hacken. Bijvoorbeeld via beveiligingslekken in verouderde plugins, gegevens breuken of phishing. Beveiligde gebruikersnamen en wachtwoorden kunnen niet je enige strategie zijn om jouw website te beschermen. Een extra authenticatie, bijvoorbeeld via je telefoon, is een cruciale beveiligingslaag om jouw login gegevens te beveiligen. Zo wordt het lastiger voor hackers om in te breken.
Veel website eigenaren zijn van mening dat hun website niet interessant genoeg is voor hackers. Zij geloven dat hackers zich slechts op bepaalde bedrijven richten in plaats van op kleine of onbelangrijke bedrijven.
Helaas is dit niet waar. Volgens een onderzoek in 2014 was 60% van alle website attacks op kleine tot middelgrote bedrijven. Juist omdat kleinere bedrijven simpelweg de benodigdheden en beveiliging niet hebben om deze aanvallen te voorkomen. Kleinere bedrijven zijn hierdoor makkelijker en interessanter om te hacken dan grotere, robuuste websites. Een ander onderzoek toont aan dat 60% van deze kleine bedrijven door de cyberattack binnen een jaar hun deuren moesten sluiten.
Jouw website hoeft helemaal geen hoog profiel of miljoenen bezoekers te hebben om interessant te zijn voor een hacker. Zodra ze toegang hebben tot de beheerdersfuncties en de back-end van de website kunnen ze alles beschadigen, spam versturen naar mensen of je website compleet vernietigen.
Geen website is te klein om gehackt te worden. Als websitebeheerder moet je altijd alle voorzorgsmaatregelen nemen om je gegevens te beschermen tegen hackers en cyber aanvallen.
Een SSL (Secure Socket Layer) certificaat voegt inderdaad een extra beveiligingslaag toe aan de communicatie tussen jouw website en bezoekers. Dit is zeker belangrijk als bezoekers persoonlijke gegevens delen, zoals een creditcardnummer. Een SSL certificaat zorgt ervoor dat deze gegevens gecodeerd worden en niet in gewone tekst bekeken kunnen worden als er een gegevensbreuk plaatsvindt.
Meer lezen over een SSL certificaat? Lees onze vorige blog >>
Het beschermt dus de informatie van jouw bezoekers, maar zeker niet de data van de website zelf. Zonder een Firewall voor webtoepassingen, up-to-date plugins, software en andere beveiligingsmaatregelen blijft jouw website toegankelijk voor hackers en lopen ook de gegevens van klanten een risico.
Content delivery networks (CDN’s) en cloud firewall providers bieden veiligheid voor jouw website door het verkeer via hun server te leiden en te filteren op basis van firewall regels. Vervolgens sturen ze dan alleen het verkeer dat aan deze regels voldoet, door naar jouw website. De verwachting is dat deze route jouw actuele login van de website verbergt, omdat elke bezoeker automatisch doorgestuurd wordt naar de cloud firewall provider server in plaats van naar die van jou.
In de realiteit is het vrijwel voor iedereen super makkelijk om de cloud firewall te omzeilen en achter het oorspronkelijke IP-adres van jouw website te komen en de website direct aan te vallen. Jouw oorspronkelijke IP-adres geheimhouden is zeer moeilijk, en vrijwel onmogelijk. Dit is dan ook een bekend probleem met cloud firewall-oplossingen. Wordfence ondersteunt de bescherming van jouw gegevens het beste tegen mogelijke aanvallen op de originele plek.
WordPress is op dit moment de meest populaire content management software. Daarom heeft WordPress de afgelopen jaren een aantal beveiliging make-overs ondergaan. Maar een zwakke plek in WordPress zou een risico betekenen voor een heel groot aantal websites. Daarom veroordelen sommige mensen WordPress tot een onveilig platform. Maar dit is alles behalve waar.
Natuurlijk heeft WordPress meer kans op aanvallen dan minder populaire content management systemen (omdat het meer gebruikt wordt), maar dat maakt WordPress niet minder veilig. Juist omdat WordPress miljoenen websites heeft, heeft ze een actief team ontwikkelaars die 24/7/365 samenwerken om eventuele beveiligingsrisico’s te vinden en te voorkomen. Er is geen enkel CMS die zodra een bedreiging is geïdentificeerd direct een oplossing heeft.
80% van de hackingincidenten ontstaan door verouderde software en / of door een zwakke gebruikersnaam en wachtwoordcombinatie of een beveiligingslek die niet op tijd gerepareerd is, maar geen fout in de software zelf.
De veiligheid van jouw website behouden en optimaliseren lijkt een ingewikkelde taak. Als website eigenaar kun je moeite hebben om alle informatie en adviezen op te volgen. Maar met een goede firewall, een beveiligde gebruikersnaam en wachtwoord met een 2-factor authenticatie en de meest actuele software, maak je het hackers zo moeilijk mogelijk!
Meer weten over het beveiligen van jouw WordPress website?
Neem contact op met ons webteam!
