Is WordPress veilig?


[lwptoc]
Is WordPress veilig?

WordPress is één van de meest populaire content management systemen in de wereld. Volgens de cijfers zou meer dan een derde van alle websites in de wereld draaien op dit open source CMS. Dagelijks worden er bijna duizend WordPress websites gelanceerd! Echter heeft het grote succes van WordPress heeft ook een keerzijde. Door de populariteit van dit systeem heeft WordPress ook een grote aantrekkingskracht op hackers en andere kwaadwillende. Genoeg reden dus om jezelf de vraag te stellen: is WordPress veilig?

Wanneer is WordPress niet veilig?

Er zijn diverse oorzaken waarom een WordPress website kan worden gehackt en daardoor dus kwetsbaar is. Wat zijn nu de drie meest voordehandliggende oorzaken voor kwetsbaarheden in WordPress en wat kun jij er zelf aan doen om WordPress veilig te houden. Hieronder volgt een overzicht.

1. Verouderde WordPress core

Beveiligingsbedrijf Sucuri heeft onderzoek gedaan naar de reden waarom sites gehackt worden. In dit rapport is er een duidelijke uitkomst. Bij een gehackte WordPress was er in bijna 40 procent sprake van verouderde WordPress software. Veel problemen kunnen dus worden voorkomen door te zorgen dat je altijd de laatste versie van WordPress gebruikt. Jammer genoeg kunnen we in de statistieken van WordPress zien dat veel webmasters nog altijd nalaten om hun software up-to-date te houden.

2. Plugins niet up-to-date

WordPress is een ontzettend veelzijdig CMS. Met bijna 58.000 plugins in de WordPress Plugin Directory kan dit systeem volledig naar wens worden aangepast. Hoewel dit natuurlijk een grote troef van dit systeem is, zorgt het ook direct voor een groter risico. Iedere plugin zorgt voor een mogelijke extra ingang voor een kwaadwillende. De meeste ontwikkelaars doen enorm hun best om veilige software voor WordPress te schrijven en deze up-to-date te houden, toch zijn er enkele risico’s:

  • Een WordPress plugin of thema kan een beveiligings-issue hebben, maar omdat de plugin of thema door een klein team onderhouden wordt, blijft het bestaan van de kwetsbaarheid bij de ontwikkelaars onbekend.
  • De ontwikkeling van de plugin kan zijn gestopt, maar deze wordt nog wel gebruikt.
  • De ontwikkelaar heeft het probleem verholpen, maar gebruikers werken hun software niet bij.
Updaten verouderde plugins
Plugins moeten regelmatig ge-update worden!

In een enquête gehouden onder eigenaren van een gehackte website, werd gevraagd wat de oorzaak van de hack was. In de gevallen dat de oorzaak bekend was, bleek dit in bijna 60 procent te komen door foute en/of verouderde plugins.

3. Gehackte wachtwoorden

Natuurlijk geen fout van WordPress, maar een groot deel van de hacks is een gevolg van bemachtigde WordPress inloggegevens of logins van je hostingprovider. Bij ongeveer 16% van de gehackte websites bleken de inloggegevens bemachtigd te zijn door Brute Force aanvallen. Ook phishing, wachtwoord diefstal en ftp hacks zijn een risico.

Te makkelijke WordPress Logingegevens

De website kan nog zo goed beveiligd zijn, zodra het wachtwoord in handen komt van kwaadwillenden is het einde verhaal. Neem dus voldoende maatregelen om je wachtwoorden te beschermen. Gebruik complexe wachtwoorden, sla je wachtwoorden niet onbeschermd op en beperk het aantal inlogpogingen om je te beschermen tegen Brut Force aanvallen.

Checklist WordPress veiligheid

Zoals ik eerder schreef kun je zelf veel doen aan de beveiliging van je WordPress website. Ik heb een WordPress beveiligingschecklist voor je gemaakt zodat je zelf kunt checken of op dit moment je website veilig is. Kun je alle punten van de onderstaande checklist afvinken dan is WordPress veilig!

WordPress login beveiliging

  • Schakel je loginpagina automatisch uit indien er te vaak foutief wordt ingelogd.
  • Activeer 2 factor authenticatie (Google Authentication).
  • Gebruik je e-mailadres om in te loggen en niet een gebruikersnaam.
  • Gebruik een sterk wachtwoord.
  • Verander je wachtwoord regelmatig.
  • Verwijder links naar je loginpagina uit je website.
  • Verander de standaard WordPress login url.
  • Schakel de WP REST API uit, indien je deze niet gebruikt.

Veilige WordPress template

  • Update je WordPress template zodra er updates zijn.
  • Verwijder ongebruikte templates.
  • Download templates alleen van betrouwbare aanbieders. Doe dus research!
  • Verwijder de WordPress versie uit je template. Hier bestaan overigens plugins voor.

Database veiliger maken

  • Verander de standaard wp_ prefix.
  • Gebruik een moeilijk te achterhalen wachtwoord voor je database en gebruik bij voorkeur hoofdletters, kleine letters en getallen.
  • Maak een wekelijkse back-up van je database

Beveiliging Hosting

  • Zorg voor betrouwbare WordPress hosting.
  • Zorg dat je website uitsluitend te benaderen is via HTTPS (secure server)
  • Zet directory listing uit via .htacccess.
  • Zet directory listing uit.
  • Zorg dat je wp-config.php niet benaderbaar is.

Samenvattend – is WordPress veilig?

Geen enkel content management systeem is voor 100% veilig. De meeste risico’s zijn echter een direct gevolg van het niet toepassen van de basisbeginselen om WordPress veilig te houden. De WordPress veiligheid is dus afhankelijk van gedegen WordPress onderhoud! Doorloop de WordPress beveiligingschecklist en houd je WordPress core en gebruikte plugins up-to-date en zorg voor een goed wachtwoordbeheer en je kunt je WordPress website veilig houden.

Als freelance webdesigner en WordPress specialist help ik je graag met het ontwerpen, ontwikkelen en onderhouden van je WordPress website
Informeer mij direct