Heb je een WordPress website? Je bent niet de enige. De populariteit van het open source CMS is ongekend. Wereldwijd gebruiken 455 miljoen websites WordPress om content op het web te publiceren. Dat is 35% van alle websites. 62% van de websites die een CMS gebruiken worden door WordPress geleverd. 400 miljoen mensen bezoeken maandelijks een WordPress website.
Ook hackers weten dat WordPress zo populair is. Dus als iemand klantgegevens wilt stelen dan is het lucratiever om een lek in WordPress uit te buiten dan in een willekeurig ander CMS.
Waarom worden websites gehackt?
Wellicht denk je dat het voor jou niet relevant is om je website te beveiligen. Via je contactformulier verzamel je wel klantgegevens maar voor de rest valt er niet zoveel te halen, toch?
Niets is minder waar. Websites worden voor allerhande zaken misbruikt:
- Verkeer naar een andere (malafide) website of webshop te routeren
- Content op een website aan te passen en zo een ander product te promoten
- Het verspreiden van malware
- Voor phishingdoeleinden om klantgegevens te ontfutselen
- SEO Spam:
- Verborgen backlinks te plaatsen op high quality websites die linken naar websites om (tijdelijk) een hogere zoekmachineranking te verkrijgen
- Verborgen backlinks te plaatsen op low quality websites die linken naar websites om een lagere zoekmachineranking te verkrijgen. Bijvoorbeeld om concurrerende websites, of websites van klanten te pesten.
- Voor de lol. Uit verveling. Omdat het kan. Voor het verwerven van status op hackers forums. Om te leren hoe hacking werkt.
Is een WordPress website veilig?
Een WordPress website is in essentie veilig mits je de juiste veiligheidsmaatregelen en basisprincipes toepast. De belangrijkste redenen dat WordPress websites worden aangetast is omdat de WordPress core en geïnstalleerde plugins verouderd en niet up-to-date zijn.
Wat kun je doen om je WordPress website te beveiligen?
Als hackers het specifiek op jouw hebben gemunt dan is het waarschijnlijk onmogelijk om ze buiten de deur te houden. Word je net als de meeste website eigenaren geautomatiseerd aangevallen dan zijn er veel mogelijkheden om je WordPress website beter te beveiligen en het hackers moeilijker te maken. Er bestaat echter geen standaard checklist die je af kunt vinken om vervolgens 100% beveiligd te zijn. Hackers ontwikkelen steeds nieuwe manieren om je website te kapen en vinden altijd weer nieuwe achterdeurtjes dus je moet waakzaam blijven.
- Leer medewerkers dat websitebeveiliging, en IT beveiliging in het algemeen, belangrijk is
- Host je website of webshop bij een gerenommeerde hostingprovider
- Installeer en activeer een SSL certificaat (https) op je website
- Zorg ervoor dat de php versie up to date is
- Scan je website met patchman en detecteer en patch automatisch gaten in het CMS
- Houd WordPress, de themes en alle plugins up-to-date
- Verwijder de ‘admin’ gebruiker
- Gebruik complexe en lange wachtwoorden voor gebruikers (en databases)
- Verwijder thema’s die je niet gebruikt
- Verwijder inactieve plugins
- Pas de standaard voorvoegsel van de databasetabel (wp_) aan
- Maak gebruik van een website application firewall (Wordfence, Cloudflare)
- Draai regelmatig back-ups van je website
- Limiteer het aantal keer dat men mag proberen in te loggen
- Activeer twee staps verificatie bij het inloggen
- Zorg ervoor dat het bewerken van bestanden (zoals thema’s en plugins) niet is toegestaan
- Herbenoem de standaard inlogpagina’s: /admin/ /wp-admin /wp-login.php
- Log gebruikers automatisch uit nadat ze een tijdje inactief zijn
- Verwijder accounts van gebruikers die niet meer bij, of voor je werken
Bewustwording rondom websitebeveiliging bij medewerkers
De medewerker komt in dienst en krijgt al snel de sleutels van de zaak en de instructies om bij het sluiten het alarm aan te zetten. Maar hoe zit dat met de veiligheid van de website?
- Mag iedereen die aan de website werkt zomaar vage en slecht bijgehouden plugins installeren?
- Heeft iedereen echt inzicht nodig in de klantgegevens verzameld via het contactformulier?
- Wie is er eigenlijk verantwoordelijk voor het updaten van de website?
Het bedrijfspand is zichtbaar en tastbaar. De website en digitaal opgeslagen gegevens zijn dat niet. Dat neemt niet weg dat dit ook een waarde vertegenwoordigt. Denk ook aan de reputatieschade die kan ontstaan als persoonlijke gegevens in de verkeerde handen komen of hoe het overkomt als je via de website malware verspreidt.
Vergeet de medewerkers bij het beveiligen van de website dan ook niet. Iedereen die aan de website werkt heeft een mate van verantwoordelijkheid als het om de beveiliging gaat. Al is het alleen maar om te signaleren.
Conclusie
WordPress websites zijn in essentie veilig maar blijven dit niet. Je moet de website actief onderhouden en er zijn talloze mogelijkheden om het hackers moeilijker te maken. Daarnaast zijn medewerkers en personen die toegang tot de website hebben een veiligheidsrisico maar ook belangrijk als het gaat om het veilig houden van de online omgeving.
Remix Marketing ontwikkelt websites voor MKB-bedrijven en bij het MKB staat website beveiliging niet altijd op de eerste plaats. Je hoeft als ondernemer ook echt niet dezelfde veiligheidsmaatregelen als corporates of overheidsinstelling te nemen. Wat je wel kunt doen is het maximale wat in je mogelijkheden ligt en in relatie tot het risico dat je loopt.
Hulp nodig bij het beveiligen van je WordPress website? Wil jij de kans verkleinen dat je WordPress website wordt gehackt? Neem contact op en we bestuderen graag jouw situatie.
Unsplash
