Een geavanceerde, up-to-date, doordachte strategie voor het beveiligen van WordPress is belangrijker dan ooit. Welke oplossingen voor WP beveiligen zijn het waard om als bedrijf in te investeren?
Cyberaanvallen maken kwetsbaar. Dat geldt voor alles wat van waarde is op internet. Deze cyberaanvallen verstoren de bedrijfsvoering in grote mate. Malware brengt gegevensintegriteit in gevaar en veroorzaakt financiële schade, soms zelfs onherstelbaar. Een verhogend risico daarbij is het feit dat ook cybercriminelen met hun aanvallen blijven evolueren. Online attacks worden destructiever, effectiever en verder ook steeds lastiger op te sporen. Daarom is het hebben van een geavanceerde, moderne, preventieve, goed doordachte strategie voor WordPress beveiliging belangrijker dan ooit.
Malware, webaanvallen en denial-of-service-aanvallen (DoS) zijn de belangrijkste oorzaken die leiden tot verlies van inkomsten.
Bron: Accenture
Investeren in WordPress beveiligen
Beveiligingsplug-ins voor WordPress. Back-up herstel na besmetting met malware of andere cyberaanvallen waardoor de website offline is gegaan. Het is belangrijk om daarover meer te weten. Het doel van dit artikel over WordPress beveiligen ligt echter vooral op strategisch niveau. We leggen bedrijven en hun eigenaren uit waarom het loont, of beter gezegd noodzakelijk is, om te investeren in WordPress beveiliging. Onze experts bieden oplossingen voor ondernemingen om hun eigen WordPress-beveiligingsstrategie op orde te maken.
Bovendien leiden we je langs enkele veelvoorkomende beveiligingsproblemen van WordPress. We geven inzicht in hoe hackers hiervan gebruiken kunnen maken, om toegang te krijgen tot je website. En we geven aan welke stappen je als website-eigenaar kunt nemen om deze aanvallen tijdig tegen te gaan of het effect ervan te minimaliseren.
Waarom WordPress beveiligen voor bedrijven zo belangrijk is
Het belang erkennen van het hebben van een goede WordPress beveiliging draagt uiteindelijk wezenlijk bij aan het succes van de ondernemer. Het begrijpen van de kritieke punten en welke maatregelen je hiertegen kunt of moet nemen, is de logische vervolgstap. Daarna is het daadwerkelijk nemen van deze acties en maatregelen onmisbaar voor elke succesvolle onderneming. Investeren in het beveiligen van de WordPress website loont altijd. De onderstaande voordelen van een veilige WP site liggen al redelijk voor de hand.
Zakelijke geloofwaardigheid
Het is een soms zuurverdiende troef die je als ondernemer in handen hebt: zakelijke geloofwaardigheid. Het is het resultaat van jarenlang hard werken en tegenvallers tackelen, op weg naar topkwaliteit van je producten en diensten. Je image is ook verdiend met het opbouwen van goede klantrelaties en het bieden van de beste service en support. Dit alles op basis van de normen, waarden en principes die je als ondernemer zelf stelt en naleeft. Als beloning heb je het bereikt: een zorgvuldig opgebouwd, positief bedrijfsimago!
Maar de kwetsbaarheid blijft. Want zelfs een middelgrote DDoS-aanval of Bruteforce-poging kan de geloofwaardigheid van je bedrijf, en de kwaliteit van je producten en diensten, in twijfel trekken. Ook onder de meest loyale klanten. Zij willen er immers continu op kunnen vertrouwen dat zij met jouw diensten, op hun beurt hún klanten tevreden kunnen stellen.
Je onderneming verliest geloofwaardigheid als de website is gecrasht of gecompromitteerd, zoals in het geval van een hack, malware of andere vorm van cyberaanval. Je online bedrijf kan je klanten dan tijdelijk niet van dienst zijn – of op een slechte manier, met een slechte gebruikerservaring. Na elk zo’n ervaring verliezen klanten het vertrouwen en nemen ze andere, soms laagdrempelige opties in overweging. Lees: een overstap naar de concurrent.
Voortgang van de interne bedrijfsprocessen
Is je WordPress site getroffen door een cyberaanval? Dan heeft dit méér invloed dan alleen op de bezoekerservaring. Ook de interne bedrijfsactiviteiten raken dan waarschijnlijk geraakt door inefficiëntie of erger: door uitval. Denk aan organisatiewerkzaamheden zoals orderbeheer, productbeheer en overige publicatie-updates, bijvoorbeeld in het geval van een WordPress webshop. Los van de online performance kost dat eigenaar en medewerkers veel extra tijd, oplossend vermogen en energie, leidend tot frustratie. Dit is al helemáál vervelend tijdens feestdagen, ten tijde van grote drukte of bij actuele verkoopcampagnes.
geavanceerd wordpress beveiligen voorkomt Inkomstenverlies
Inkomsten mislopen en daarmee uiteindelijk winst mislopen, wil iedere ondernemer voorkomen. Maar bij hoeveel ondernemers leeft het besef dat cyberaanvallen veelal de belangrijkste oorzaak van financiële bedrijfsschade zijn? De bedragen die hiermee gemoeid zijn, nemen bovendien jaarlijks toe. Zie in dit kader het Data Breach Report 2021 van IBM: “De kosten van datalekken stegen op jaarbasis aanzienlijk van het 2020-rapport tot het 2021-rapport, van $ 3,86 miljoen in 2020 tot $ 4,24 miljoen in 2021.”
De bovenstaande voorbeelden zullen elke online ondernemer ervan doordringen: WordPress beveiligen is urgent. Eenvoudige WordPress beveiliging is hiervoor verre van voldoende. Houd daarom de bestaande WP beveiligingsstrategie onder de loep. Overweeg serieus een upgrade naar een meer geavanceerde technologie binnen dit vakgebied. En kies voor de hulp van specialisten in de meest actuele WordPress beveiligingstechnieken.
Met die wetenschap bekijken we nu een aantal veelvoorkomende beveiligingsproblemen binnen de omgeving van WordPress.
WordPress beveiligen en veelvoorkomende problemen
Het contentmanagementsysteem WordPress heeft een enorme ontwikkeling doorgemaakt. Het is inmiddels veel méér dan een manier om op een website content te publiceren. ‘WP’ is wereldwijd hét ecosysteem van tools, plug-ins en thema’s van derden. Een fantastisch, complex systeem met oneindig veel toepassingen en mogelijkheden. WP biedt hiermee voordelen ten gunste van velen, waaronder online ondernemers. Zoals zij die werkzaam zijn binnen het MKB, e-commerce en online business rond e-learning en overige leden-sites.
WordPress is zoals gezegd opensource. Ontwikkelaars overal ter wereld kunnen bijdragen aan het succes en de evolutie ervan. Naast deze grote voordelen zijn er ook nadelen, in de zin dat hackers kunnen en zullen proberen om de opensourcecode te manipuleren. Om zo een WordPress hack te kunnen uitvoeren om de website, de eigenaar ervan en/of zijn of haar klanten te benadelen. Des te belangrijker is het om de volgende, veelvoorkomende WordPress beveiligingsproblemen en kwetsbaarheden vroegtijdig te kunnen identificeren.
Wat is Denial of Service:
Bron: Wikipedia
‘Een situatie waarin een computersysteem onbedoeld niet beschikbaar is voor dienstverlening die de gebruiker ervan verwacht.’
DDoS-aanvallen
DDoS is de afkorting van Distributed Denial of Service. Het lijkt op de al veel langer bekende DoS-aanvallen. Het verschil zit ‘m in het volgende. In plaats van één host die één site aanvalt, sturen honderden tot duizenden geïnfecteerde sites tot duizenden verzoeken per seconde naar een enkel doelwit. Dit overweldigt de serverbronnen, zodat de site plat gaat.
De reeds geïnfecteerde, veelal duizenden websites noemen we Botnets. Bij de DDoS-aanval heeft de hacker de controle over deze Botnets. Ze kunnen de site van het slachtoffer via de duizenden gelijktijdig verzonden serververzoeken compleet verlammen. DDoS valt niet altijd direct op. Soms komt zo’n aanval ‘discreet’ op de server terecht, waarna de hacker in staat is om de website resources uit te schakelen en/of om financiële schade aan te richten.
Bruteforce-aanvallen
Zogeheten Bruteforce-aanvallen komen veel voor op WordPress websites. In de meeste gevallen betreft het een poging om het WP Admin wachtwoord te achterhalen. Voor verreweg de meeste WP sites is er dezelfde plek waarop dit wachtwoord zich zal bevinden: op www.naamwebsite.nl/wp-admin. Hackers proberen verschillende combinaties uit om de juiste gebruikersnaam en wachtwoord te raden. Daarvoor gebruiken ze gespecialiseerde bots die talrijke woorden, zinnen en combinaties daarvan afvuren op de betreffende URL.
Deze Bruteforce met duizenden pogingen (zo goed als) tegelijk vertragen de site en overbelasten de serverbronnen, net als bij een DDoS-aanval. Is het de hacker gelukt toegang te krijgen? Dan kan deze stilletjes een kwaadaardig script implementeren, gegevens stelen, de gebruikerstoegang wijzigen of, bijvoorbeeld, gewoon de hele website afsluiten…
Cross Site Port Attack (XSPA)
Bij een XSPA (Cross Site Port Attack) injecteert een hacker een kwaadaardig script om informatie over TCP-poorten en IP-adressen op te halen. Met XSPA kunnen aanvallers gebruikmaken van functies zoals XMLRPC (hierover later in dit artikel meer) waarbij de meeste WordPress sites zwakheden vertonen. Daarmee kunnen ze ook een pingback-functie op de website plaatsen: die zal het IP-adres daarmee automatisch retourneren.
Cross Site Scripting (XSS)
Cross Site Scripting is een rechtstreekse aanval op de website. Bij kwetsbaarheden in het systeem injecteert een hacker hierbij een kwaadaardig script via een gebruikersformulier, zonder te hoeven valideren. Dit script heeft toegang tot cookies, sessietokens of andere gevoelige informatie. De website gebruikt deze informatie omdat het denkt dat het afkomstig is van een vertrouwde bron.
Schadelijke scripts: thema’s en plug-ins
WordPress thema’s en plug-ins zijn soms erg nuttig en/of verleidelijk om te gebruiken. Vaak zijn ze echter de belangrijkste oorzaak van een WP beveiligingslek. Dit doet zich voor als de betreffende ontwikkelaar het thema of de plug-in niet bijwerkt met de nieuwste beveiligingsupgrades. Het komt ook voor dat de website-eigenaar zélf het thema of de plug-in niet upgrade naar de nieuwste versie. Bijvoorbeeld vanuit de angst dat het thema, de plug-in en/of de website het na de upgrade niet meer goed doet. Toch is dat is géén goed idee, want het sein gaat dan op rood… Of voor de hacker juist op groen. Dankzij het verouderde thema of de verouderde plug-in kan deze de kwetsbaarheid gaan misbruiken.
DE BESTE OPTIE VOOR WORDPRESS BEVEILIGEN:
Hoe kun je je WordPress website beveiligen?
Een WordPress website goed beveiligen? Daarvoor is een geavanceerd beveiligingsmechanisme nodig, gebouwd op meerdere lagen en zonder zwakste punt. Je website heeft als het ware een veilige omheining nodig. Een robuuste bescherming rondom alles wat direct of indirect de website, inclusief database en overige inhoud ervan raakt. Voor de meeste bedrijven is het implementeren en beheren van dergelijke beveiliging rond de gehele infrastructuur technisch complex en arbeidsintensief. Hoe los je dat op?
1 Zorg voor een back-upbeleid
We adviseren het ten zeerste: maak regelmatig een back-up van de website. Op een slechte dag ben je blij dat je nog een back-up hebt. Bovendien vermindert deze preventieve kopie van de website downtime in geval van een cyberaanval. Laat je de website hosten via managed WordPress hosting van Convesio? Dan is het proces van back-ups volledig geautomatiseerd. Klanten van Convesio kunnen eenvoudig het automatische back-upbeleid instellen. Denk onder meer aan de intervallen / frequentie van de back-ups.
Een alternatief is het gebruik van een plug-in voor het maken van back-ups van je WordPress site. Hiermee kun je de back-ups laten opslaan in de cloud, zoals bij DropBox of Amazon S3. Je kunt ze ook lokaal downloaden, meestal op de eigen pc of op een aparte back-upschijf. Deze plug-ins zijn ook te gebruiken om de back-ups te herstellen, via de services in de cloud of via een FTP.
Voorbeelden van populaire WordPress back-up plug-ins zijn:
- Duplicator
- UpdraftPlus
- WP Tijdcapsule
- BlogVault
2 Zorg voor een versleutelde verbinding via het SSL-certificaat
Eveneens zeer van belang voor de WordPress website en het beveiligen ervan is SSL. Dit certificaat komt daarnaast de betrouwbaarheid van je site en daarmee het bedrijfsimago ten goede. Wat doet SSL? Het beveiligt de communicatie tussen de client en de server. Het versleutelt gevoelige gegevens. Alleen de geverifieerde bron met een geldige openbare sleutel kan deze ontgrendelen. Dit maakt het onderscheppen van gegevens onmogelijk.
SSL gebruikt HTTPS voor het creëren van een veilige verbinding tussen de browser van de gebruiker en jouw website. Dit gaat gepaard met het delen van unieke digitale sleutels, inzetbaar voor gegevenscodering en -decodering. Om HTTPS te implementeren is zoals gezegd een SSL-certificaat nodig. Dit kan tot wel een paarhonderd euro kosten. Er is echter ook een gratis oplossing beschikbaar, met Let’s Encrypt. Deze non-profitorganisatie staat websites toe om hun SSL-certificaten gratis te gebruiken. Dit vereist wel een technische integratie met de website. Klanten van Convesio krijgen HTTPS voor (elk van) hun WordPress website(s) echter automatisch aangeboden.
3 Gebruik Cloudflare voor extra wordpress beveiliging
Cloudflare is een bekend platform met goede naam. Het biedt een breed scala aan tools en services voor verhoogde website-prestaties en -beveiliging. Daaronder valt een geavanceerde, desondanks eenvoudig te configureren firewall-functie. Deze beschermt je WordPress website tegen extern kwaadaardig verkeer. Een voorbeeld: binnen de Cloudflare firewall kun je alleen bepaalde IP-adressen toegang geven tot de URL van de WP Login. Dit damt Bruteforce aanvalspogingen drastisch in. Het filtert ook het inkomende bezoekersverkeer om te beschermen tegen het gevaar van DDoS-aanvallen.
Het bovenstaande is allemaal mogelijk met de gratis versie van Cloudflare. Voor extra functionaliteiten is Cloudfare Premium nodig. Sluit je je website aan bij de WordPress hosting van Convesio? Dan zijn deze premium functies beschikbaar zonder extra kosten. Dit kunnen we aanbieden omdat ons platform nauw is geïntegreerd met Cloudflare Enterprise.
Wat is malware:
Bron: Wikipedia
Malware is software om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen.
4 Scannen op malware
Eerder in dit artikel gaven we het al aan. Malware is voor WordPress websites een veelvoorkomende dreiging. Er zijn meerdere gateways waardoor kwaadaardige scripts kunnen binnendringen. Dit is een serieus beveiligingsprobleem. Daarom pakken we bij Convesio malware aan via meerdere intelligente tools. Zoals Human Presence. Dat scant inkomend verkeer en identificeert malware en foute bots vóór ze je site bereiken.
Host je je WP site niet bij Convesio? Dan kun je zelf een beveiligingsplug-in installeren die de site kan scannen op malware. Let op: deze plug-ins richten zich alléén op het verkeer dat de website al heeft bereikt. Enkele populaire WordPress beveiligingsplug-ins zijn:
- WordFence
- iThemes-beveiliging
- Sucuri
- WP fail2ban
5 Beperk het aantal inlogpogingen
De inlogpagina van WordPress (‘www.naamwebsite.nl/wp-admin’) is een zwakke pagina als het gaat om beveiliging. Vooral als het gaat om de eerder omschreven Bruteforce-aanvallen. Er is een vrij eenvoudige manier om je tegen dergelijke aanvallen te beschermen. Namelijk door het aantal inlogpogingen te beperken en het IP-adres dat mislukte inlogpogingen doet, tijdelijk te blokkeren. De meeste WP beveiligingsplug-ins bieden ook deze functie aan. Daarbij kun je vaak zelf bepaalde instellingen wijzigen. Een van de mogelijkheden is om een selectie van interne IP-adressen automatisch goed te laten keuren.
6 Voeg tweestapsverificatie (2FA) toe
Tweestapsverificatie is een andere manier voor het beveiligen van de WordPress login-pagina. Deze tweefactorauthenticatie (2FA) is te combineren met de genoemde plug-in om het aantal inlogpogingen te beperken. Je hebt alleen een plug-in nodig die de aanmeldende bezoeker zich op twee apparaten laat identificeren. Er zijn veel opties voor het installeren van zo’n plug-in, waaronder Google Authenticator.
7 Ontneem IP’s toegang tot WP Admin
WP Admin is het operationele gebied van de WordPress site. Het is per definitie belangrijk om hieraan een extra laag van beveiliging toe te voegen, om ‘bad guys’ te weren. Dit doe je door het .htaccess-bestand te wijzigen. Let op: zorg dat je weet wat je hierbij doet!
De stappen hiervoor zijn op zich eenvoudig. Je hebt alleen het IP-adres nodig dat je (wél) toegang wilt verschaffen. Namelijk, deze regel verbiedt meteen de toegang van alle andere IP-adressen tot WP Admin. Download hiervoor je .htaccess-bestand via FTP of via Bestandsbeheer.
Waarschijnlijk kom je het .htaccess-bestand als volgt tegen, zoals hier in het Engels:
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx
</Files>
Voeg achteraan de regel ‘Allow from’ je IP-adres of IP-adressen toe, daar waar nu xx.xx.xx.xx staat. Sla het bestand op en vervang deze door de huidige. En… klaar!
8 Schakel ‘bestanden bewerken’ uit
Een andere methode die zeer efficiënt kan zijn, is het beveiligen van WordPress tegen interne (mogelijk) kwaadwillende gebruikers. Schakel de mogelijkheid uit van het bewerken van bestanden, zodat onbevoegde gebruikers thema’s en plug-ins niet kunnen wijzigen.
Hiervoor heb je toegang nodig tot het bestand wp-config.php. Let op: ook dit is een gevoelig bestand. Zorg dus vooraf dat je begrijpt hoe het werkt, alvorens je er wijzigingen in aanbrengt.
Download het bestand en zoek vervolgens naar “define(‘DISALLOW_FILE_EDIT’)” en stel deze in op ‘true’. Als volgt: define(‘DISALLOW_FILE_EDIT’, true);
9 Schakel XML-RPC uit
XML-RPC (Remote Procedure Call) is gemaakt voor platformonafhankelijke communicatie, lang vóór WP Rest API. Het idee hiervan was om WordPress te verbinden met andere platforms, via HTTP als ‘transport’ en XML als ‘encoder’. Bij XML-RPC ontbreken echter moderne beveiligingsfuncties. Daardoor is de Remote Procedure Call op grote schaal misbruikt voor cyberaanvallen zoals Bruteforce, DDoS en Cross Site Port Attacks.
Extra aandacht voor goed omgaan met XML-RPC is dan ook vereist. Waarom dit bestand niet als zodanig en volledig verwijderen? Dat lijkt een logische gedachte, maar dit heeft helaas als gevolg dat de server gaat strooien met 404-meldingen. Je kunt het bestand echter uitschakelen door simpelweg een stukje code toe te voegen aan je .htaccess-bestand.
In het Engels:
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>
Deze toevoeging schakelt het xmlrpc.php-bestand uit voor elke toepassing of service die het gebruikt. Wil je toch toegang tot je WordPress site via XMLRPC? Zet dan een bepaald IP-adres op de witte lijst. Voeg daarvoor de volgende opdracht toe:
In het Engels:
<Files xmlrpc.php>
<RequireAny>
Require ip 2.2.2.2
Require ip 2001:db8::/32
</RequireAny>
</Files>
10 Managed WordPress hosting: het beste advies voor wordpress beveiligen
Het beste advies om WordPress te beveiligen? Kies voor een hostingprovider met de garantie van een meerlaagse beveiligingsbeleid én goede support.
Managed WordPress hosting is een term die helaas te pas en te onpas wordt gebruikt. Er zijn hostingproviders die deze vorm van professionele hosting aanbieden voor een hoge prijs, maar met te weinig inhoud. Convesio neemt managed WordPress hosting echter zeer serieus.
Samengevat houdt managed WordPress hosting het volgende in:
‘Een complete service van en rondom webhosting, door een professionele provider. Voor de klant die zoveel mogelijk facetten van het beheer van zijn WP websites wil uitbesteden.’
Onze klanten bieden we de allerbeste ervaring aan op dit gebied. Daaronder vallen ook de onderstaande, zeer belangrijke functies voor WordPress beveiliging. Deze services zijn typerend voor de diensten van een echte, serieuze managed WordPress hostingprovider.
Beveiliging op zakelijk niveau
Bij Convesio is WordPress beveiliging een cruciaal onderdeel van onze core business. Deze veiligheid is dan ook vast verweven in onze infrastructuur, tot aan server- en applicatieniveau. Onze hosting architectuur is gebaseerd op Docker containers en dat speelt bij de beveiliging een wezenlijke rol. Hiermee kunnen we elke website geïsoleerd op de server plaatsen, waarmee we infectiegevaar ontlopen. Sterker nog, de containers met identieke exemplaren van de WP site kunnen we verspreiden over meerdere servers. Aanvullend hierop hebben bieden we onze zakelijke klanten bescherming via een compleet beveiligingsplan. Dit bestaat uit zowel software als menselijke expertise en live monitoring.
Nog vóór het de website bereikt, scannen en filteren we al het inkomende verkeer op malware en bots met foute bedoelingen. Hiermee detecteren we potentiële bedreigingen al in een vroeg stadium én we besparen er kostbare serverbronnen mee. Andere functies waarmee we WordPress beveiligen? Denk aan handhaving van HTTPS en aan een naadloze configuratie met toonaangevende front-endtools als Wordfence en WebARX.
Zie ook: Veiligste WordPress hosting.
Beveiliging via Patchman
Patchman is een WP tool voor het scannen van malware op serverniveau. Patchman plaatst malware automatisch en rechtstreeks in quarantaine, en geeft ons hierover direct een sein. Het is onderdeel van onze hostingdiensten en scant én repareert kwetsbaarheden zonder dat de klant hiervoor iets hoeft te doen.
Botbescherming
Automatisch botverkeer op de website is onvermijdelijk. Dit komt omdat bots veel nuttige bewerkingen uitvoeren, zoals het rangschikken van sites op zoekmachines. Maar er zwerven ook veel bots rond op het internet met kwaadaardige activiteiten. Je kunt hierbij denken aan bijvoorbeeld spambots, web scrapers (software om informatie van je website te extraheren), DDoS-netwerken en bots tegen klikfraude.
Convesio pakt kwaadaardige bots aan door proactief het inkomende verkeer hierop te scannen en te monitoren. Ook gebruiken we Human Presence om gedrag van het botverkeer te analyseren en de foute bots automatisch weg te filteren. Het beschermt je WordPress site, behalve tegen scraping, ook tegen forumopmerkingen en reviews met reclame erin.
11 Update tijdig WP, thema en plug-ins!
Het is van vitaal belang: tijdig upgraden van je WordPress versie, je WP thema en alle gebruikte plug-ins naar de nieuwste versies. Het is een voorwaarde om je WordPress website veilig te kunnen houden.
Gebruik je een plug-in of thema dat de ontwikkelaar ervan niet langer ondersteunt? Houd dan niet langer de verouderde versie aan. Zoek in plaats daarvan naar een beter alternatief. In veel gevallen zijn er genoeg andere, actuele plug-ins beschikbaar.
Ben je ietwat terughoudend met updaten, uit angst dat de site daarna niet meer goed werkt? Dan raden we aan om een testsite te gebruiken; een replica van je website. Zo kun je makkelijk terug naar de oude situatie, indien nodig of gewenst na het testen van functies.
Resumerend over WordPress beveiligen
WordPress beveiligen is van het grootste belang voor de geloofwaardigheid, het imago, de voortgang, de winstgevendheid en de groei van je online business. Als ondernemer is het noodzakelijk én lonend om hierop actie te ondernemen. Bespreek de mogelijkheden voor WordPress beveiliging met experts. Investeer in de beste oplossing voor het veilig houden van belangrijke WordPress websites.