Hoe WordPress beveiligen (2020)

WordPress is een van de meest populaire contentbeheersystemen die er zijn en terecht. Het is eenvoudig te gebruiken, er zijn duizenden thema’s en plug-ins voor beschikbaar en je kunt er elk type website mee maken. Het is dan ook geen wonder dat WordPress de kracht heeft 35,1% van alle websites op het internet.


Maar de populariteit ervan brengt kosten met zich mee. WordPress is vaak het doelwit van hackers. Volgens Sucuri, in 2018 behoorde 90% van alle aanvragen voor het opschonen van websites tot WordPress, een stijging van 7% ten opzichte van 2017.

Website Hack Trend Report 2018 - Sucuri

Als zodanig moet het beveiligen van uw WordPress-website bovenaan uw lijst staan, of u nu een persoonlijk portfolio, een zakelijke website of een online winkel heeft.

Als het gaat om WordPress-beveiliging, vallen gebruikers meestal in twee kampen: degenen die de beveiliging serieus nemen en voorzorgsmaatregelen nemen en degenen die geloven of hopen dat het hen nooit zal overkomen omdat hun site niet belangrijk genoeg is.

Bezoek de website voor een beter begrip van de ernst van beveiligingsproblemen in verband met websites Internet Live Stats-pagina soms. Daar kunt u dagelijks een exact aantal gehackte websites zien en zelfs het aantal in realtime zien stijgen.

Website in realtime gehackt

Contents

22 stappen om uw WordPress-website te beveiligen

Volg de onderstaande tips om te voorkomen dat uw site als een van de sites op Internet Live Stats wordt weergegeven en beveilig uw WordPress-website.

1. Kies voor een hostingbedrijf met beveiligingsfuncties

De eerste stap om uw WordPress-website te beveiligen, is door te investeren in een hostingbedrijf dat de juiste beveiligingsfuncties implementeert. Dit omvat ondersteuning voor de nieuwste versie van PHP, MySQL en Apache, evenals een firewall en 24/7 bewaking van de beveiliging.

Kies indien mogelijk een hostingbedrijf dat dagelijkse back-ups en regelmatige malwarescans uitvoert. U kunt zelfs hostingbedrijven vinden die verschillende DDOS-preventiemaatregelen toepassen.

Uw hostingbedrijf is meestal de eerste muurhacker die moet doorbreken om toegang te krijgen tot uw site, dus meer vooraf investeren en een duurder hostingplan kopen, loont zeker. Wij raden aan het kiezen van een beheerde WordPress-hostingprovider.

2. Gebruik sterke wachtwoorden

Zorg ervoor dat de wachtwoorden voor uw WordPress-website en uw hostingaccountgebied beide veilig zijn. Gebruik een combinatie van hoofdletters en kleine letters, cijfers en symbolen om een ​​sterk wachtwoord te bedenken. U kunt ook een wachtwoordbeheerder zoals LastPass gebruiken om veilige wachtwoorden voor u te genereren en op te slaan.

3. Sloot de gebruikersnaam van de beheerder

WordPress gebruikte de standaard gebruikersnaam als admin en de meeste gebruikers hebben nooit de moeite genomen om deze te wijzigen. Als gevolg hiervan is admin meestal de eerste gebruikersnaam die hackers proberen wanneer ze een brute force-aanval starten.

Als zodanig mag u nooit de admin-gebruikersnaam voor uw WordPress-website gebruiken. Als je onlangs je WordPress-website hebt geïnstalleerd, is de kans groot dat je je eigen gebruikersnaam hebt moeten instellen. Maar als u al lang WordPress-gebruiker bent, gebruikt u mogelijk nog steeds de gebruikersnaam van de beheerder.

Als dat het geval is, maak dan een nieuwe admin-gebruikersnaam voor uw site door naar te gaan Gebruikers> Nieuw toevoegen en het kiezen van een sterke gebruikersnaam en wachtwoord. Stel de rol in op de beheerder en klik vervolgens op Voeg een nieuwe gebruiker toe knop.

Een beheerdersaccount aanmaken

U logt dan in met die nieuwe inloggegevens en verwijdert uw oude admin-gebruiker. Vergeet niet om al uw inhoud toe te wijzen aan uw nieuwe admin-gebruiker voordat u de oude verwijdert.

4. Gebruik een Contributor- of Editor-account om op uw site te posten

Als u de bovenstaande tip nog een stap verder wilt nemen, overweeg dan om een ​​bijdrager of redacteuraccount te maken om nieuwe berichten en artikelen aan uw site toe te voegen. Als u dit wel doet, wordt het voor hackers moeilijker om schade aan te richten op uw site, aangezien bijdragers en redacteuren meestal geen beheerdersrechten hebben.

Een redacteur-account aanmaken

5. Gebruik een back-up plug-in

Als u nog geen back-up van uw website maakt, moet u meteen beginnen. Een back-upsysteem helpt u uw site te herstellen als het ergste gebeurt en uw site uiteindelijk wordt gehackt.

Gebruik een plug-in zoals UpdraftPlus om een ​​regelmatig back-upschema voor uw website te maken en vergeet niet de back-upbestanden offsite op te slaan om ervoor te zorgen dat die bestanden ook niet geïnfecteerd raken.

6. Harden The Admin Area

Als het gaat om het versterken van het admin-gebied, moet u de standaard admin-URL wijzigen en het aantal mislukte inlogpogingen beperken voordat een gebruiker wordt uitgesloten van uw site.

Standaard ziet de admin-URL voor uw website er als volgt uit: uwdomein.com/wp-admin. Hackers weten dit en zullen proberen rechtstreeks toegang te krijgen tot deze URL, zodat ze toegang tot uw site kunnen krijgen.

Je kunt deze URL wijzigen met een plug-in zoals WPS Login verbergen.

WPS Login verbergen

Wat betreft het beperken van het aantal mislukte inlogpogingen, kunt u gebruiken Login Lockdown plugin.

Inloggen LockDown

7. Houd bestanden up-to-date

Zoals we eerder hebben vermeld, vormen verouderde bestanden een beveiligingsrisico omdat ze uw site kwetsbaar maken voor andere exploits. Daarom moet je updates installeren zodra ze worden uitgebracht.

Terwijl u bezig bent, moet u regelmatig uw geïnstalleerde plug-ins doornemen en de plug-ins die u niet meer gebruikt deactiveren en verwijderen.

8. Bescherm uw computer

U vraagt ​​zich misschien af ​​wat uw computer met uw website te maken heeft. Als uw computer is geïnfecteerd met een virus en u uw site bezoekt of er bestanden naar uploadt, kunnen die geïnfecteerde bestanden ook uw website infecteren. Kortom, u wilt ervoor zorgen dat:

  • Gebruik geen openbare wifi-netwerken om toegang tot uw site te krijgen
  • Installeer antivirussoftware en zorg ervoor dat deze up-to-date is

9. Wijzig uw databasevoorvoegsel

Een ander feit dat bekend is bij WordPress-hackers, is dat uw database-prefix is ​​ingesteld op wp. Dit feit maakt het voor hen gemakkelijk om het tabelvoorvoegsel te raden en geautomatiseerde SQL-injecties te gebruiken om toegang tot uw site te krijgen.

Het wijzigen van uw databasevoorvoegsel is een handmatig proces waarbij u uw wp-config.php bestand en verander de tabelnamen met phpMyAdmin. Maak voordat u de wijziging aanbrengt een back-up van uw site als preventieve maatregel.

Wp-config bewerken

U moet inloggen op uw hostingaccount en toegang krijgen tot uw cPanel of welk configuratiescherm uw host ook gebruikt. Ga vervolgens naar Bestandsbeheer en zoek uw wp-config.php bestand in de WordPress-directory.

Zoek de regel voor het tabelvoorvoegsel die er als volgt uitziet: $ table_prefix gevolgd door een = -teken en het tabelvoorvoegsel zelf. Vervang de standaardstring door uw eigen voorvoegsel door een combinatie van cijfers, onderstrepingstekens en letters als volgt te gebruiken:

$ table_prefix = ‘hgwp_3456_’;

Als je klaar bent met het bewerken van de wp-config.php bestand, sluit u Bestandsbeheer af en opent u de phpMyAdmin, zodat u alle tabelnamen kunt wijzigen. Dit handmatig doen kan vervelend zijn omdat er in totaal 11 tabellen zijn die u moet bewerken. In plaats daarvan kunt u een SQL-query invoeren door naar het SQL-tabblad te gaan

een SQL-query uitvoeren

Voer dit dan in:

RENAME tabel `wp_commentmeta` NAAR` hgwp_3456_commentmeta`;

RENAME tabel `wp_comments` NAAR` hgwp_3456_comments`;

RENAME tabel `wp_links` NAAR` hgwp_3456_links`;

RENAME tabel `wp_options` NAAR` hgwp_3456_options`;

RENAME tabel `wp_postmeta` NAAR` hgwp_3456_postmeta`;

RENAME tabel `wp_posts` NAAR` hgwp_3456_posts`;

RENAME tabel `wp_terms` NAAR` hgwp_3456_terms`;

RENAME tabel `wp_termmeta` NAAR` wp_a123456_termmeta`;

RENAME tabel `wp_term_relationships` NAAR` hgwp_3456_term_relationships`;

RENAME tabel `wp_term_taxonomy` NAAR` hgwp_3456_term_taxonomy`;

RENAME tabel `wp_usermeta` NAAR` hgwp_3456_usermeta`;

RENAME tabel `wp_users` NAAR` hgwp_3456_users`;

Hoewel de bovenstaande query uw databasevoorvoegsel overal moet wijzigen, is het een goed idee om nog een zoekopdracht uit te voeren om ervoor te zorgen dat andere bestanden die het oude databasevoorvoegsel gebruiken, worden bijgewerkt:

SELECT * VAN `hgwp_3456_options` WHERE` option_name` LIKE '% wp_%'

U wilt ook zoeken naar theusermeta en eventuele overgebleven oude voorvoegsels vervangen door de nieuwe:

SELECT * VAN `hgwp_3456_usermeta` WAAR` meta_key` ZOALS '% wp_%'

10. Versterk uw .htaccess- en wp-config.php-bestanden

.htaccess en wp-config.php zijn de belangrijkste bestanden in uw WordPress-installatie. Als zodanig moet u ervoor zorgen dat ze veilig en beschermd zijn.

Voeg eenvoudig de onderstaande codes toe aan uw .htaccess-bestand, buiten de # BEGIN WordPress- en # END WordPress-tags om ervoor te zorgen dat de wijzigingen niet worden overschreven bij elke nieuwe update.



bestelling toestaan, ontkennen

van alles ontkennen





bestelling toestaan, ontkennen

van alles ontkennen





bestelling weigeren, toestaan

Ontken iedereen

# toegang toestaan ​​vanaf mijn IP-adres

toestaan ​​vanaf 192.168.1.1

De bovenstaande fragmenten beschermen uw wp-config en .htaccess en beperken de toegang tot de wp-login.php scherm.

Voeg ten slotte het onderstaande fragment toe om de uitvoering van PHP-bestanden te voorkomen:



van alles ontkennen

11. Controleer en wijzig de bestandsrechten

Als u klaar bent met het beveiligen van uw .htaccess en wp-config.php bestand, blijf iets langer in uw cPanel en controleer de bestandsrechten voor de bestanden en mappen op uw WordPress-website.

Bestandsrechten

Volgens de WordPress codex, de rechten moeten als volgt worden ingesteld:

  • Alle mappen moeten 755 of 750 zijn
  • Alle bestanden moeten 644 of 640 zijn
  • wp-config.php moet 600 zijn

Als uw instellingen anders zijn, kunnen hackers de inhoud gemakkelijk lezen en de inhoud van de bestanden en mappen wijzigen, wat ertoe kan leiden dat uw site wordt gehackt en dat andere sites op dezelfde server worden gehackt.

12. Gebruik authenticatie in twee stappen

Overweeg om een ​​plug-in te gebruiken zoals Google Authenticator om authenticatie in twee stappen in te stellen voor uw site. Dit betekent dat u naast het invoeren van uw wachtwoord ook een code moet invoeren die door een mobiele app is gegenereerd om in te loggen op uw site. Dit kan aanvallen met brute kracht stoppen, dus het is een goed idee om het nu in te stellen.

Google Authenticator

13. Schakel XML-RPC uit

Met XML-RPC kan uw site verbinding maken met mobiele WordPress-apps en plug-ins zoals Jetpack. Helaas is het ook een favoriet van WordPress-hackers omdat ze dit protocol kunnen misbruiken om meerdere opdrachten tegelijk uit te voeren en toegang te krijgen tot uw site. Gebruik een plug-in zoals Schakel XML-RPC-plug-in uit om deze functie uit te schakelen.

Schakel XML-RPC uit

14. Gebruik HTTPS en SSL

Het internet gonst van blogposts en artikelen over het belang van het HTTPS-protocol en het al geruime tijd toevoegen van SSL-beveiligingscertificaten aan uw site.

HTTPS staat voor Hypertext Transfer Protocol Secure, terwijl SSL staat voor Secure Socket Layers. Kortom, met HTTPS kan de browser van de bezoeker een veilige verbinding tot stand brengen met uw hostserver (en dus uw site). Het HTTPS-protocol is beveiligd via SSL. Samen zorgen HTTPS en SSL ervoor dat alle informatie tussen de browser van een bezoeker en uw site wordt versleuteld.

Door beide op uw site te gebruiken, vergroot u niet alleen de veiligheid van uw site, maar profiteert u ook van de positie van uw zoekmachine, krijgt u vertrouwen in uw bezoekers en verbeter uw conversieratio.

Praat met uw hostingprovider en vraag naar de mogelijkheid om een ​​SSL-certificaat te verkrijgen of om u te wijzen in de richting van een gerenommeerd bedrijf waar u er een kunt kopen.

15. Schakel het bewerken van thema’s en plug-ins uit via uw WordPress-dashboard

De mogelijkheid om uw thema- en plug-inbestanden rechtstreeks in uw WordPress-dashboard te bewerken, is handig wanneer u snel een regel code moet toevoegen. Maar het betekent ook dat iedereen die inlogt op uw site toegang heeft tot die bestanden.

Schakel deze functie uit door de volgende code aan uw toe te voegen wp-config.php het dossier:

// Niet toestaan ​​dat bestanden worden bewerkt

definiëren ('DISALLOW_FILE_EDIT', waar);

16. Verplaats het wp-config.php-bestand naar een niet-WWW-directory

Zoals eerder vermeld, de wp-config.php bestand is een van de belangrijkste bestanden in uw WordPress-installatie. Maak het moeilijker om toegang te krijgen door het van de hoofdmap naar een niet-www toegankelijke map te verplaatsen.

  1. Kopieer om te beginnen de inhoud van uw wp-config.php bestand in een nieuw bestand en sla het op als wp-config.php.
  1. Ga terug naar je oude wp-config.php bestand en voeg de regel hieronder toe:
  1. Upload en bewaar het nieuwe wp-config.php bestand naar een andere map.

17. Wijzig uw WordPress-beveiligingssleutels

WordPress-beveiligingssleutels zijn verantwoordelijk voor het versleutelen van de informatie die is opgeslagen in de cookies van de gebruiker. Ze bevinden zich in de wp-config.php bestand en ziet er als volgt uit:

define ('AUTH_KEY', 'plaats hier uw unieke zin');

define ('SECURE_AUTH_KEY', 'plaats hier uw unieke zin');

define ('LOGGED_IN_KEY', 'plaats hier uw unieke zin');

define ('NONCE_KEY', 'plaats hier uw unieke zin');

define ('AUTH_SALT', 'plaats hier uw unieke zin');

define ('SECURE_AUTH_SALT', 'plaats hier uw unieke zin');

define ('LOGGED_IN_SALT', 'plaats hier uw unieke zin');

define ('NONCE_SALT', 'plaats hier uw unieke zin');

Gebruik de WordPress Salts Key Generator om ze te wijzigen en uw site veiliger te maken.

18. Schakel Foutrapportage uit

Foutrapportage is handig voor het oplossen van problemen en om te bepalen welke specifieke plug-in of thema een fout veroorzaakt op uw WordPress-website. Zodra het systeem echter een fout meldt, wordt ook uw serverpad weergegeven. Onnodig te zeggen dat dit een perfecte gelegenheid is voor hackers om te ontdekken hoe en waar ze kunnen profiteren van kwetsbaarheden in uw site.

U kunt dit uitschakelen door onderstaande code aan uw toe te voegen wp-config.php het dossier:

error_reporting (0);

@ini_set (‘display_errors’, 0);

19. Verwijder het WordPress versienummer

Iedereen die een kijkje neemt in de broncode van uw website, kan zien welke versie van WordPress u gebruikt. Aangezien elke WordPress-versie openbare wijzigingslogs heeft met een gedetailleerde lijst van bugs en beveiligingspatches, kunnen ze gemakkelijk bepalen van welke beveiligingslekken ze kunnen profiteren.

WordPress-versie

Gelukkig is er een gemakkelijke oplossing. U kunt het versienummer van WordPress verwijderen door het functies.php-bestand van uw thema te bewerken en het volgende toe te voegen:

remove_action ('wp_head', 'wp_generator');

20. Gebruik beveiligingskoppen

Een andere manier om uw WordPress-website te beveiligen, is door beveiligingskoppen te implementeren. Meestal worden ze op serverniveau ingesteld om hackaanvallen te voorkomen en het aantal exploits van beveiligingslekken te verminderen. Je kunt ze zelf toevoegen door je thema's aan te passen functies.php het dossier.

Beveiliging Headers

Cross-scripting-aanvallen

Voeg de volgende code toe om toegestane inhoud, scripts, stijlen en andere inhoudsbronnen op de witte lijst te zetten:

header ('Content-Security-Policy: default-src https:');

Dit voorkomt dat de browser schadelijke bestanden laadt.

Iframe clickjacking

Voeg de onderstaande regel toe om de browser te instrueren een pagina niet in een frame weer te geven: header (‘X-Frame-Options: SAMEORIGIN’);

X-XSS-bescherming en X-content-type-opties

Voeg de volgende regels toe om XSS-aanvallen te voorkomen en vertel Internet Explorer om geen mime-typen te ruiken

header ('X-XSS-Protection: 1; mode = block');

header ('X-Content-Type-Options: nosniff');

Dwing HTTPS af

Voeg de onderstaande code toe om de browser te instrueren om alleen HTTPS te gebruiken:

header ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload');

Cookie met HTTPOnly en veilige vlag in WordPress 

Laat de browser alleen de door de server ingestelde cookie vertrouwen en dat de cookie beschikbaar is via SSL-kanalen door het volgende toe te voegen:

@ini_set ('session.cookie_httponly', waar);

@ini_set ('session.cookie_secure', waar);

@ini_set ('session.use_only_cookies', waar);

Als je deze headers niet handmatig wilt toevoegen, overweeg dan om een ​​plug-in te gebruiken zoals Beveiliging Headers. Ongeacht welke methode u kiest om de beveiligingskoppen te implementeren, test ze met behulp van https://securityheaders.io website en voer de URL van uw site in.

21. Voorkom hotlinking

Hotlinking is niet per se een inbreuk op de beveiliging, maar aangezien het verwijst naar een andere website die de URL van uw site gebruikt om rechtstreeks naar een afbeelding of een ander mediabestand te verwijzen, wordt het beschouwd als diefstal. Als zodanig kan hotlinking tot onverwachte kosten leiden, niet alleen omdat u te maken krijgt met juridische gevolgen, maar ook omdat uw hostingrekening door het dak kan gaan als de site die uw afbeelding heeft gestolen veel verkeer ontvangt.

Voeg de onderstaande code toe aan uw .htaccess-bestand als u de Apache-server gebruikt en vervang het dummy-domein door uw echte domeinnaam:

RewriteEngine aan

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Als alternatief, als u NGINX-servers gebruikt, wilt u uw configuratiebestand als volgt wijzigen:

locatie ~. (gif | png | jpe? g) $ {

valid_referers none geblokkeerd ~ .google. ~ .bing. ~ .yahoo uwdomein.com * .uwdomein.com;

if ($ invalid_referer) {

retour 403;

}

}

22. Afmelden Niet-actieve gebruikers

De laatste tip in deze handleiding voor het verhogen van de beveiliging van uw site is om inactieve gebruikers uit te loggen na een periode van inactiviteit. Je kunt een plug-in gebruiken Inactieve afmelding om inactieve sessies automatisch te beëindigen.

Inactieve afmelding

Dit is nodig omdat als u inlogt op uw website om een ​​nieuwe blogpost toe te voegen en u wordt afgeleid door een andere taak, uw sessie kan worden gekaapt en hackers de situatie kunnen misbruiken om uw site te infecteren. Het is nog belangrijker om inactieve sessies te beëindigen als u meerdere gebruikers op uw site heeft.

Hoe te herstellen van een hack

De bovenstaande beveiligingsmaatregelen zijn een geweldige manier om uw site te beveiligen. Maar wat als uw site toch wordt gehackt? Hier volgen enkele stappen die u kunt volgen als uw website is gehackt.

1. Bevestig de hack en wijzig uw wachtwoord

Als je site gehackt is, raak dan eerst niet in paniek. Dit helpt je niet en de daad is gedaan, dus het is belangrijk om snel te handelen. Controleer eerst je site en kijk of je kunt inloggen op je dashboard. Controleer of uw site doorverwijst naar een andere site of dat u verdachte of vreemde links of advertenties ziet.

Wijzig uw wachtwoord onmiddellijk en ga verder met de volgende stap.

2. Neem contact op met uw hostingbedrijf

Neem contact op met uw host en laat hen weten dat uw site is gehackt. Ze kunnen u helpen de bron van de hack te achterhalen. Sommige hosts zullen ook uw site opschonen en de schadelijke code en bestanden verwijderen.

Gebruik een back-up om uw site te herstellen

Als u ijverig bent geweest in het maken van een back-up van uw site, zoek dan een back-up van vóór de hack en gebruik deze om uw site te herstellen. Hoewel u mogelijk een deel van de inhoud verliest, kunt u uw site weer aan de praat krijgen zoals deze was voordat de aanval plaatsvond.

3. Scan uw site op malware

Gebruik de gratis scanner van Sucuri om uw site op malware te scannen en de aangetaste bestanden te identificeren. U kunt ook kiezen voor hun site-opschoonservice als u niet weet hoe u de malware zelf kunt verwijderen.

4. Controleer uw sitegebruikers

Log in op uw WordPress-website en ga naar Gebruikers> Alle gebruikers. Zorg ervoor dat er geen gebruikers zijn die er niet zouden moeten zijn en verwijder ze indien nodig.

5. Wijzig uw geheime sleutels

Gebruik de bovengenoemde WordPress Salts Key Generator om nieuwe beveiligingssleutels te genereren en deze toe te voegen aan uw wp-config.php-bestand. Aangezien deze sleutels uw wachtwoord versleutelen, blijven de hackers aangemeld totdat hun cookies ongeldig worden gemaakt. Nieuwe beveiligingssleutels zullen precies dat doen en de hacker uit uw site dwingen.

6. Huur een professional in

Huur ten slotte een professional in om de hack op te ruimen en de malware van uw site te verwijderen. Houd er rekening mee dat hackers schadelijke code in meerdere bestanden kunnen verbergen, dus als u geen ervaring heeft met het verwijderen van malware, kunt u gemakkelijk een geïnfecteerd bestand missen. Dit maakt het voor hackers gemakkelijk om uw site opnieuw te hacken, dus het wordt ten zeerste aanbevolen om een ​​professional in te huren.

7 meest voorkomende soorten WordPress-kwetsbaarheden

Voordat we verder gaan met dit artikel, laten we de olifant in de kamer aanspreken: is WordPress veilig? Het antwoord op die vraag is ja. De kern van WordPress-software is veilig en het bedrijf achter WordPress neemt beveiliging serieus.

Hun beveiligingsteam heeft 50 experts aan boord, waaronder hoofdontwikkelaars en beveiligingsonderzoekers die achter de schermen werken om ervoor te zorgen dat WordPress veilig is.

In feite zijn de meeste beveiligingsincidenten en -risico's het gevolg van menselijke fouten in combinatie met de aanwezigheid van een beveiligingslek.

Er zijn zeven soorten WordPress-kwetsbaarheden waarvan u op de hoogte moet zijn:

  • Verouderde WordPress-bestanden
  • Achterdeur exploits
  • Pharma-hacks
  • Zwakke wachtwoorden
  • Schadelijke omleidingen
  • Kwetsbaarheden in het hostingplatform
  • Denial of service-aanvallen

Laten we ze bespreken en uitleggen wat ze precies zijn.

1. Verouderde WordPress-bestanden

Verouderde WordPress-bestanden verwijzen naar de WordPress-versie, het thema en de plug-inbestanden. Ze vormen een veiligheidsrisico omdat ze uw site blootstellen aan andere kwetsbaarheden zoals exploits in de achterdeur en farmahacks.

Als zodanig moet je ervoor zorgen dat je WordPress-installatie up-to-date is, evenals je thema en plug-ins. U moet proactief updates toepassen wanneer ze worden uitgebracht, omdat ze niet alleen nieuwe functies bevatten, maar ook verschillende beveiligings- en bugfixes bevatten.

2. Exploits van achterdeuren

Als het gaat om backdoor-exploits, profiteren hackers van de verouderde WordPress-bestanden om toegang te krijgen tot uw site. Afgezien van verouderde bestanden, kunnen ze ook toegang krijgen tot uw site via SFTP, FTP en dergelijke.

Zodra ze toegang hebben tot uw site, infecteren ze uw site en kunnen ze ook andere sites infecteren die zich op dezelfde server als uw site bevinden. Backdoor-injecties zien eruit als gewone WordPress-bestanden voor de onervaren gebruiker. Maar achter de schermen profiteren ze van bugs in de verouderde bestanden om toegang te krijgen tot uw database en grote schade aan te richten op uw site en duizenden andere websites.

3. Pharma-hacks

Pharma-hacks verwijzen naar misbruik van kwetsbaarheden in verouderde WordPress-bestanden waarbij een hacker code in die bestanden invoegt. Zodra de code is ingevoegd, geven de zoekmachines advertenties voor farmaceutische producten weer in plaats van uw website. Dit kan ertoe leiden dat zoekmachines uw website als spam markeren.

4. Zwakke wachtwoorden

Zwakke wachtwoorden zijn misschien gemakkelijk te onthouden, maar ze maken het ook voor hackers gemakkelijk om toegang tot uw site te krijgen via een brute force-aanval. Een brute force-aanval vindt plaats wanneer een hacker geautomatiseerde scripts gebruikt die op de achtergrond worden uitgevoerd om verschillende combinaties van gebruikersnaam en wachtwoord te proberen totdat ze een werkende combinatie vinden.

5. Schadelijke omleidingen

Net als bij het gebruik van verouderde bestanden en FTP- of SFTP-protocol om code te injecteren die resulteert in een farmahack of een backdoor-exploit, gebruiken hackers het .htaccess-bestand in uw WordPress-installatie om uw bezoekers om te leiden naar een kwaadaardige website.

Uw bezoekers kunnen dan een virus oplopen of ten prooi vallen aan phishing.

6. Kwetsbaarheden in het hostingplatform

Soms kan de beveiliging van uw website in gevaar komen omdat u een hostingbedrijf gebruikt dat geen beveiligingsfuncties heeft, zoals een firewall of bestandsmonitoring. Dit is meestal het geval bij goedkopere hostingproviders, wat betekent dat het kiezen van een goedkopere host u ironisch genoeg meer zal kosten als uw site wordt gehackt.

Houd er rekening mee dat goedkopere hostingplatforms ook een hoger beveiligingsrisico vormen omdat uw site geïnfecteerd of gehackt kan raken als gevolg van hackers die kwetsbaarheden misbruiken op een andere website die op dezelfde server wordt gehost.

7. Denial of Service-aanvallen

Denial of Service-aanvallen of DDOS-aanvallen zijn een van de gevaarlijkste bedreigingen voor elke website-eigenaar. Bij een DDOS-aanval misbruikt een hacker bugs en fouten in de code, waardoor het geheugen van het besturingssysteem van uw site overbelast raakt. DDOS-aanvallen zullen meestal een groot aantal sites met een specifiek platform, zoals WordPress, naar beneden halen.

Nu u weet wat de meest voorkomende kwetsbaarheden zijn die verband houden met WordPress, gaan we verder met de tips, best practices en beveiligingsaanbevelingen waarmee u uw WordPress-site kunt beveiligen.

Afsluiten

WordPress is een krachtig en populair CMS waarmee iedereen gemakkelijk een website kan maken. Maar omdat het zo populair is, is het ook een favoriet doelwit voor hackers. Gelukkig zijn er een aantal stappen die je kunt nemen om je WordPress-site te beschermen en als je de tips in dit artikel volgt, ben je goed op weg naar een veilige WordPress-website.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map