WordPress beveiliging

Beveiliging van WordPress: alles over de recente hacks, veiligheidsrisico’s en updates

Martijn Schipper

De laatste tijd is er veel te doen geweest rondom de veiligheid van WordPress en bijbehorende plugins. Er werden verschillende lekken gevonden in de WordPress core en veel grote plugins zoals Jetpack, WordPress SEO, Gravity Forms en Ninja Forms bleken niet helemaal waterdicht te zijn. Waar komen deze lekken vandaan, wat zijn de risico’s van deze lekken en hoe kun je je ertegen wapenen?

Open source systeem met miljoenen gebruikers

WordPress is een open source CMS (content management systeem); dit betekent dat de code van WordPress openbaar is en dat iedereen vrij is om deze te kopiëren en aan te passen. Dit brengt zowel voordelen als nadelen met zich mee. Een groot voordeel van open source is bijvoorbeeld dat er regelmatig nieuwe features en updates vrijkomen, omdat iedereen aanpassingen of verbeteringen kan aanbieden voor WordPress.

Door deze snelle updates en features is WordPress inmiddels uitgegroeid tot een zeer compleet en gebruiksvriendelijk CMS. Dit heeft ertoe geleid dat inmiddels ruim 48% van de sites met een CMS en een kleine 19% van alle websites in totaal gebruikt maakt van WordPress.

Populair doelwit

De populariteit in combinatie met de openbaarheid van de code maakt het voor kwaadwillenden erg aantrekkelijk om WordPress als aanvalsdoel te kiezen; zo is de kans op de meeste slachtoffers namelijk het grootst. Daarnaast worden er door het grote gebruik en de openbaarheid van code ook simpelweg meer kwetsbaarheden gevonden. Elke applicatie of website bevat namelijk altijd wel, afhankelijk van de grootte, één of meerdere zwaktes. Het is alleen de vraag of deze eerder gevonden worden door de ‘good guys’ of de ‘bad guys’.

Dit is ook de reden dat bedrijven als Google en Microsoft beloningen van tienduizenden dollars uitloven voor het melden van een lek in plaats van het openbaar te maken.

Infographic: recente WordPress hacks

WordPress hacks in begin 2015Updaten, updaten en nog eens updaten!

Veel kwetsbaarheden worden dus gevonden door goedaardige hackers en de WordPress community zorgt ervoor dat deze kwetsbaarheden vrijwel gelijk gedicht worden. Dit is tegelijkertijd ook het moment waarop het vaak fout gaat; de kwetsbaarheid is namelijk openbaar. Omdat veel sites niet gelijk geüpdatet zijn door laksheid of onwetendheid van websitebeheerders, blijft die kwetsbaarheid in de website zitten en wordt een site gevoelig voor een kwaadaardige hack.

Bij Elephant houden wij alle berichten rondom kwetsbaarheden scherp in de gaten, monitoren wij onze servers op onregelmatigheden en voeren wij regelmatig en wanneer nodig updates uit. Op die manier zijn wij sterk bestand tegen hackers en kunnen wij snel ingrijpen wanneer het toch fout mocht gaan.

Als een websitebeheerder met wat minder tijd en kennis is het natuurlijk een stuk lastiger om je op dit niveau te weren tegen hackers. Toch is het dan nog steeds mogelijk om je goed te wapenen tegen de grootste risico’s. Zo voert WordPress tegenwoordig automatische beveiligingsupdates uit; daar hoef je dus zelf niks voor te doen. Voor plugins geldt dit helaas nog niet en daarvoor is het dan ook belangrijk om deze regelmatig te updaten.

iThemes Security zorgt voor extra beveiligingsmogelijkheden in WordPressNaast het regelmatig updaten zijn er ook verschillende plugins en services die ondersteunen bij de veiligheid van je WordPress site. Een voorbeeld hiervan is iThemes Security. Deze plugin heeft verschillende functies om de veiligheid van je website te vergroten. Daarnaast biedt de plugin ook een lichte vorm van monitoring.

De risico’s: wat kan er gebeuren bij een hack?

Hoewel de woorden kwetsbaarheid, veiligheidsrisico of lek over het algemeen een grote lading hebben, betekent dat niet dat met iedere kwetsbaarheid gelijk je volledige site gehackt kan worden. Voor veel kwetsbaarheden is bijvoorbeeld nodig dat iemand die ingelogd is op een link klikt (klik daarom bijvoorbeeld nooit op een onbekende link met daar in ‘/wp-admin’) of soms is er simpelweg maar heel weinig mogelijk met een bepaalde zwakte in de website.

Af en toe gebeurt het echter toch dat er grotere lekken worden gevonden en kan het je overkomen dat je site gehackt wordt. In dat geval zijn er verschillende scenario’s mogelijk.

Zo kunnen hackers een heel andere site voorschotelen aan je gebruiker, kunnen ze gebruikersgegevens downloaden of zouden ze virussen en malware kunnen geven aan je bezoekers. Het laatste scenario is meteen het gevaarlijkst, aangezien je daarbij vaak niet gelijk door hebt dat je site gehackt is en je dus mogelijk niet direct actie onderneemt om de site op te schonen.

Conclusie: monitoren en updaten t.b.v. risicobeperking

Voor de veiligheid van je WordPress website is het dus essentieel dat je op de hoogte bent en blijft van kwetsbaarheden in je site en op je server. Door dit goed te monitoren en regelmatig te updaten, beperk je de risico’s zo veel mogelijk en blijf je grote hacks als het goed is voor.

In een volgend, technischer artikel ga ik in op de verschillende soorten kwetsbaarheden die mogelijk zijn en hoe deze gewaardeerd kunnen worden op basis van het veiligheidsrisico.