Laat je WordPress site niet hacken!
WordPress is een populair systeem voor websites en blogs, wat maakt dat het ook een populair doelwit is voor hackers.
Ik beperk me in dit artikel tot WordPress tips, maar in grote lijnen gelden dezelfde tips ook voor andere systemen.
Waarom zouden ze mijn site hacken?
Jouw kleine site of hobby-blog in een klein kikkerland als Nederland. Waarom zouden hackers die uitkiezen voor een hack? Kunnen ze toch beter een grotere kiezen? Dat is een belangrijk misverstand. Ten eerste maakt het hackers geen snars uit welke website ze hacken. Als ze maar krijgen wat ze nodig hebben om hun doel te realiseren. Daarover later meer.
Bovendien is het zo dat websites van (grotere) bedrijven, juist vanwege de belangen, beter beveiligd zijn waardoor het lastiger is om zo’n website te hacken. Vergelijk het met een voordeur van een woning: in een portiek met vier voordeuren waarvan er drie voorzien zijn van een dubbel slot en anti-inbraakstrip, zal de voordeur zonder de extra beveiliging waarschijnlijk voorrang krijgen bij een inbraak. Zo is het met websites ook. Hoe eerder en gemakkelijker men in een website kan inbreken hoe liever.
Waarom worden websites gehackt?
In de regel gaat het direct of indirect om geld. Er bestaan verschillende hacks maar linksom of rechtsom is het de hacker eraan gelegen dat hij of zij er financieel van profiteert. Ik noem een paar voorbeelden:
1. Er wordt nadat in de website is ingebroken een script op je hostingserver toegevoegd waarmee veel e-mails worden verzonden met misleidende links: reclame of phishing links. Doel is om de ontvangers van de mails wat te laten kopen of in te laten loggen waarbij de logingegevens worden gekaapt (phishing). Deze hacks kom ik het meest tegen.
2. De website waarop is ingebroken bevat veel persoonsgegevens (mailadressen, bankgegevens, BSN’s, creditcard gegevens) die op de ‘marktplaats voor criminelen’ te koop worden aangeboden.
3. De website die is gehackt wordt geïnjecteerd: jouw (blog)bericht- en paginatitels en de omschrijvingen (meta descriptions) worden vervangen door andere, waardoor reclame wordt gemaakt voor bijvoorbeeld illegale medicijnen. Dergelijke hacks zijn vervelend omdat je zoekmachine-teksten worden geruïneerd, en dat zijn onderdelen die je niet snel hebt hersteld als de hack uit je website is verwijderd. Tenslotte duurt het een tijd voor zoekmachines als Google alles weer hebben geïndexeerd naar de juiste omschrijvingen.
Hoe worden websites gehackt?
Een hacker kan op verschillende manieren binnenkomen in je website:
1. Een ‘backdoor’ in je programmatuur. Dat houdt in dat je website (WordPress thema of plugin) een kwetsbaarheid bevat (een achterdeurtje). Dergelijke hacks komen vaak voor bij achterstallig onderhoud.
2. Je gebruikt login ‘admin’. Gelukkig zie ik dit niet vaak meer. In het verleden was ‘admin’ de standaard login en dan hoeft een hacker alleen het wachtwoord nog maar te achterhalen. Beter is het om een andere, minder makkelijk te raden login te gebruiken.
3. Je wachtwoord is gekaapt. Dit kan verschillende oorzaken hebben:
o Je wachtwoord kon worden ‘afgeluisterd’ omdat je gebruik maakt(e) van een onbeveiligd WiFi-netwerk
o Te gemakkelijk/kort wachtwoord
o Je gebruikt hetzelfde wachtwoord ook voor andere logins en die logingegevens zijn eerder gelekt bij een andere hack
o In WordPress maken meerdere gebruikers gebruik van dezelfde logingegevens en bij een van deze gebruikers is iets mis gegaan.
4. Je hosting(pakket) draait op een server die niet veilig is: de server gebruikt bijvoorbeeld nog een oude onveilige PHP-versie. Het gaat voor dit artikel te ver om uit te leggen hoe je dit checkt. Wil je een check? Stuur me een bericht
Hoe voorkom je een hack?
1. Zeer belangrijk: werk regelmatig je WordPress updates bij, ook plugins en thema(‘s). Als er een kwetsbaarheid is ontdekt, wordt dat publiek kenbaar gemaakt op het moment dat de update voor het betreffende onderdeel beschikbaar komt. Hackers lezen ook mee, dus wachten met updaten is een serieus risico.
2. Kies een goede loginnaam en een sterk wachtwoord.
3. Maak liefst voor iedere gebruiker een eigen login met eigen rechten. Niet alle gebruikers hebben beheerdersrechten nodig.
4. Gebruik geen onbeveiligd WiFi-netwerk.
5. Bonus: beveilig je website met (gratis) beveiligingsplugins als Wordfence en/of iThemes.
6. Zorg dat je een goede backup-routine hebt: maak regelmatig backups op een andere locatie dan waar je website staat en bewaar ook enkele oudere backups (2-3 maanden oud).
Wat als je WordPress site gehackt is?
Ik hoor nogal eens: “Oh, dat is een verloren zaak, daar is niks meer aan te doen.” Mocht je dat te horen krijgen: vraag elders een second opinion. Ik heb al vele hacks verholpen en ik heb nog nooit een website af hoeven schrijven. Heb je geen partij om je te helpen vraag het mij: MissHack. Gebruik je een ander systeem dan WordPress en is je website gehackt? Ook dan kun je me contacten, ik geef je een betrouwbaar contact uit mijn eigen netwerk. Tip: ik blog veel: DHZ-tips voor WordPress-gebruikers.
Gastblog van Petra Blankwaard, indigowebstudio.nl.
Foto komt uit de collectie van André Brockbernd.
Mijn bio op twitter is aardig volledig:
Kritisch, Nieuwsgierig, Moeder, Behulpzaam, Humor, Gehuwd, Regelaar, Spontaan, Flapuit, Creatieve geest, Ideeënbrein, Blogger, #twittertaalgids en oh ja ook nog: a-technisch ben ik.
