Tips tegen hacking van WordPress-websites

Fotobron: Webaroo op Unsplash

 

Draait jouw website op WordPress? Gefeliciteerd! Je hebt, net als 20% van alle andere site-eigenaren, gekozen voor een gebruiksvriendelijk en veelzijdig CMS. Bovendien is het ook nog eens zo gratis als een wandeling op de heide. Maar helaas heb je tegelijkertijd gekozen voor een CMS dat, indien niet geüpdatet, zeer gevoelig is voor hacking. En laat het nu net zo zijn dat 49% van alle WordPress-sites op een verouderde versie draait, stelt beveiligingsbedrijf Sucuri vast in hun 2019 Website Thread Research Report. Riskant? Absoluut. Er zijn gelukkig 4 dingen die je eraan kunt doen.

Voordat we echter overgaan op de remedie van het probleem, wil ik eerst ingaan op de achtergrond van de situatie. Ik laat je zien hoe slecht (of hoe goed) WordPress volgens Sucuri op hackingsgevoeligheid scoort ten opzichte van andere CMS’en. En ik leg uit waarom dat zo is. Op die manier geef ik je voldoende kennis om de aard van het probleem te begrijpen, zodat je geen tien seconden twijfelt om mijn tips toe te passen.

 

Hoe veilig is WordPress ten opzichte van andere CMS’en?

Het antwoord op deze vraag luidt: eigenlijk helemaal niet zo slecht. Maar het hangt er wel een beetje vanaf waar je precies naar kijkt.

Als het gaat om het percentage besmette sites dat op een verouderde CMS-versie draait, dan scoort WordPress niet zo belabberd met zijn 49%. De andere grote spelers Drupal, Magento en Joomla draaien veel vaker op een verouderde versie, zo blijkt uit de percentages van respectievelijk 77%, 87% en 90%. Dit komt, zo meldt Sucuri, door een complexer update-proces. Ook het feit dat WordPress sinds versie 3.7 de optie biedt om automatische veiligheidsupdates in te schakelen, zorgt ervoor dat WordPress iets beter scoort op het up-to-date zijn. (Al zijn die automatische updates alleen veiligheidsupdates; het CMS zelf zal je nog steeds handmatig moeten updaten!) De onderstaande afbeelding uit het rapport van Sucuri laat zien hoe vaak de geïnfecteerde CMS’en up-to-date waren.

Securi geïnfecteerde CMS'en

Kijken we echter naar het totaal aantal websites dat Sucuri opschoonde, dan doet WordPress het slechter. 94,2% van alle sites die het bedrijf onder handen nam draaide op WordPress! We kunnen dus stellen dat WordPress, ook al is het vaker up-to-date dan zijn concurrenten, vatbaarder is voor hacking.

Overigens kan bij jou nu de vraag rijzen: Verdienen deze andere CMS’en geen aandacht? Zeker wel. Maar de taak om te schrijven over Drupal, Magento en Joomla ligt bij anderen. Ik ben een WordPress-kenner, dus ik schrijf over WordPress.

Maar laten we nu eens kijken waar het precies misgaat bij WordPress. Want er moet toch een reden zijn dat zoveel WordPress-sites geïnfecteerd raken?

 

Waarom wordt WordPress zo vaak gehackt?

Ik geef je drie redenen:

  1. De eerste reden is uiteraard dat eigenaren van WordPress-sites het nalaten om het CMS zelf te updaten. Het is natuurlijk begrijpelijk dat je zoiets vergeet: als site-eigenaar heb je wel andere dingen aan je hoofd, zoals het runnen van je zaak, het gelukkig houden van je vriend of vriendin en het voorlezen van voor-het-slapen-gaan-verhaaltjes aan de kleine Louise en Pim.
  2. De tweede reden (en dit is de hoofdreden) is dat op veel WordPress-sites de plug-ins niet up-to-date zijn. Dit vormt een enorme zwakte voor je website omdat het aanvallers een goede gelegenheid geeft om jouw geliefde internetportaal aan te vallen.
  3. Een derde reden (al is dit ook een grote zwakheid bij sites die op bijvoorbeeld Drupal of Joomla draaien) is de programmeertaal PHP. Veel geïnfecteerde sites draaien op kwetsbare versies van PHP. Meer dan twee derde van alle sites gebruikt een versie van PHP die aan het einde van zijn leven is en daarom niet meer geüpdatet kan worden. Dit PHP-probleem maakt het vrij makkelijk voor hackers om ongewenste content op jouw site te zetten of om jouw website door te laten sturen naar een spamsite.

Nu we hebben vastgesteld dat jouw WordPress-site misschien gevoelig is voor hacking (en ook: waarom dat zo is), kunnen we overgaan op de oplossing van het probleem.

 

Hacking van je WordPress-site voorkomen: 4 tips

Er zijn meerdere manieren om jouw WordPress-site up-to-date te houden, zodat hij minder gevoelig voor infectie wordt.

Tip 1: Update WordPress altijd naar de meest recente versie

Ik weet dat je het druk hebt met je werk, je vrouw en je kinderen, maar maak desondanks tijd om je site altijd up-to-date te houden. Vraag desnoods hulp aan een WordPress-specialist. Er zijn er talloze: kijk op Google of vraag een zakenrelatie wie voor hem zijn site update. Externe hulp is absoluut een meerwaarde voor de veiligheid van jouw site: een specialist heeft immers als doel om jouw site veilig te houden. Hij gaat regelmatig alle sites die hij beheert af en update het CMS wanneer dat moet gebeuren.

Tip 2: Update je plug-ins

Zeker bij WordPress zorgen verouderde plug-ins voor een enorm veiligheidslek. Update ze regelmatig. (Ik doe het iedere maand.) Vraag ook nu hulp aan een WordPress-specialist indien je daar nood aan hebt. Wanneer een extern persoon regelmatig jouw plug-ins update, is het telkens een snel en makkelijk werkje. En dat betekent dat het je maandelijks niet veel kost. Wacht je daarentegen twee jaar met het updaten van je plug-ins, dan ontvang je in één keer een fikse rekening.

Tip 3: Houd je PHP up-to-date

PHP is een complexe programmeertaal en het is niet voor iedereen vanzelfsprekend om het te updaten. Daarom herhaal ik ook nu mijn adagium: vraag hulp wanneer je het niet zelf kunt (of wilt) doen.

Tip 4: Installeer een beveiligingsplug-in op je website

Beveiligingsplug-ins hebben talloze voordelen. Ze beperken het aantal brute force aanvallen, ze eisen sterke wachtwoorden en keuren jouw wachtwoord op zijn kracht, en ze laten je weten wanneer de site iemand geblokkeerd heeft omdat hij te vaak foute inloggegevens heeft ingevoerd. Ook stelt een beveiligingsplug-in jou per e-mail op de hoogte van gedetecteerde veiligheidslekken bij andere plug-ins. Op die manier kun je direct actie ondernemen en erger voorkomen. iThemes Security heeft mijn persoonlijke voorkeur, maar er zijn vele andere plug-ins die goed werk leveren.

 

Tot slot

Heb je aanvullingen op mijn tips, of heb ik aspecten over het hoofd gezien bij het opnoemen van de redenen waarom WordPress vatbaar is voor hacking? Laat het mij weten, zodat we er allen van leren.

Stay safe!

Geschreven door
Dirk Verbeeck
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Over Motionmill

Motionmill is een webdesignbureau in Antwerpen. We zijn experts in WordPress. Je website is de belangrijkste bouwsteen voor je online communicatie. Wij creëren je brandingontwikkelen je website en zorgen er ten slotte voor dat je website gevonden wordt dankzij online marketing.

Grotesteenweg 91
2600 Antwerpen-Berchem

T: +32 (0)3 286 80 40

E: info@motionmill.com

Facebook Certified Media Buying Professional in Antwerpen

Motionmill