Nogmaals – Je site op slot! Veiligheid en WordPress

Veiligheid en WordPress… hoe hou je het vol

Dit blogartikel is inmiddels al wat ouder. De meeste informatie genoemd in dit artikel is echter -met een kleine aanpassing van de getallen- nog steeds van toepassing. De grootste problemen bij het hebben van een veilige WordPress website zijn het niet uitvoeren van updates, geen goede backup hebben, niet weten wanneer je site offline is en niet door hebben wanneer je site is geinfecteerd. Speciaal hierom biedt WordXPression sinds 2015 het WordPress Service Contract aan. Laat je site bewaken op al deze punten.

Veiligheid en WordPressPopulariteit heeft zijn prijs. Met meer dan 20 miljoen installatiesop het Internet in 2011, is WordPress zonder enige twijfel het meest gebruikte web-software pakket ter wereld. Wanneer je als hacker een beveiligingslek weet te vinden in WordPress, heb je dus een potentieel van 20 miljoen sites om voor je eigen doeleinden te misbruiken. Laten we dus eens verder kijken over veiligheid en WordPress.

Gelukkig zit het WordPress core-team bovenop ieder potentieel beveiligingslek.  En indien ze voorkomen, worden deze vaak in no-time gedicht. Dan wordt een nieuwe update beschikbaar gesteld. Het is dus zaak regelmatig te blijven updaten, in principe zou je iedere keer als er een update beschikbaar is, deze direct moeten installeren. Vergeet echter voor de installatie niet een backup te maken… het is mij nooit overkomen, maar het is niet helemaal uitgesloten, met name als je hoster met verouderde software werkt, dat na je upgrade iets niet meer wil werken.

Trieste gevallen

Afgelopen week heb ik te maken gekregen met 3 gevallen, waarin de beveiliging van een website ernstig was gecompromitteerd. Het meest schrijnende geval was van een dame, wier website ‘gehackt’ was en waar alle links op de website doorverwezen naar websites die niet geschikt waren voor bezoekers onder de 18. Een heel genante situatie. Wat bleek het geval: De dame had ooit een thema laten ontwerpen voor haar site en omdat er tussen WordPress 2.9 en WordPress 3.0 de nodige verschillen zaten, had de ontwerper van het thema haar geadviseerd niet te upgraden. Per slot van rekening, had zij de nieuwe functies in 3.0 niet nodig. Dat er tussen 2.9 en 3.3 (de huidige versie) honderden security issues waren opgelost, vergat de ontwerper haar te vertellen.

De site was niet meer te redden, aangezien de hoster ook geen backups bleek te hebben. Ook die waren al gehackt.  Wat overigens ook betekende, dat de eigenaar zelf haar eigen site meer dan een maand niet meer had gezien. Inmiddels is de site vervangen door een redelijk standaard site draaiend onder de meest recente versie van WordPress. De eigenaar is bezig haar pagina’s opnieuw op te bouwen. Zeven maanden blog-geschiedenis was echter niet meer terug te krijgen!

Regelmatig updaten

Ik weet dat diverse van de lezers van mijn nieuwsbrief het advies hebben gekregen van hun WordPress site-bouwer om vooral niet te vaak te upgraden. Houd echter de hiervoor beschreven situatie in het achterhoofd, als je besluit het niet te doen!

De andere twee gevallen waren echter minder duidelijk hoe de site gehackt kon zijn. Natuurlijk zijn er veel oorzaken: Een te eenvoudig password, spy-ware op de desktop computer of welke andere reden dan ook. Het maakte mij echter wel allert op de veiligheid van mijn eigen site. Hoe veilig is WordXPression.com? Ik weet het nodige van beveiliging, maar ik ben beslist geen expert op dit gebied, net zo min als jij dat waarschijnlijk bent. En een ‘security scan’ door iemand die dat wel is, is leuk. Maar kost ook aardig wat en het blijft een moment opname. Bij de volgende installatie van een plugin of verandering van een thema, kan er een nieuw veiligheidsrisico worden geïntroduceerd.

Veiligheidsrisico’s ontdekken

Gelukkig heb je tegenwoordig online diensten die tegen een gering bedrag,  jouw site scannen op de meest voorkomende veiligheidsrisico’s. En dat zijn met name de ‘achterdeurtjes’ die gevonden kunnen worden in de code van de site zelf. Een bekende truck is bijvoorbeeld in een tekstveld gebruik te maken van zogenaamde ‘SQL Injectie’. Als het programma niet de nodige beveiligingschecks doet over de ingevoerde code, is het mogelijk, dat iemand SQL opdrachten ‘meegeeft’ die je database vernietigen. Of ‘Cross Site Scripting’ (XSS) een methode om een script wat op een andere server draait met de rechten van je eigen scripts dingen te laten doen, die jij niet wilt.

Regelmatig schrijf ik in deze blog over veiligheid en WordPress. Hou me  dus goed in de gaten of beter, abonneer je op de nieuwsbrief!

Wees eens aardig en deel dit met je vrienden
Enkele trefwoorden om vergelijkbare posts te vinden:

Word je website de baas. Neem vandaag nog contact op!

Contact Information

WordXPression 
Imkersdreef 525
7328DG Apeldoorn
06-10449807 (van 9:00 tot 17:00 van ma-vr)

KVK : 75580152 

Social media
Stuur een bericht

Flinke kortingen op cursussen van WordXPression.