06-53836281
Maandag t/m Vrijdag 8:30 - 17:00
Zaterdag 8:30 tot 13:00

8 snelle en eenvoudige reparaties voor WordPress beveiligingslekken

Het zou mooi zijn als WordPress sites niet kwetsbaar waren voor hackers. Alles was veilig en beveiligd, meteen uit de doos. Helaas is dat niet het geval met WordPress, of met welke website dan ook.

Maar...vrees niet, met deze tips is je Wordpress website snel weer veilig.

De meeste veiligheidsproblemen zijn niet te wijten aan kernkwetsbaarheden van WordPress. Het is meestal omdat iemand geen eenvoudige preventieve maatregelen nam.

Zoals je in dit artikel zult zien, is het verhelpen van kwetsbaarheden in WordPress, voor het grootste deel, eenvoudig en gemakkelijk te doen. Het vereist alleen de nodige discipline van jouw kant om te zorgen dat hackers je site niet kunnen benaderen en binnen kunnen komen. Wil je de beveiliging van Wordpress uitbesteden?
We hebben hier een kant en klare oplossing voor: Wordpress Managed Hosting. We ontzorgen je volledig en beveiligen je website optimaal.

Met de hulp van plugins kun je heel wat kwetsbaarheden automatisch verhelpen. De meeste veiligheidsinstellingen kunt je met een onze Defender beveiligingsplugin voor Wordpress instellen. In dit artikel leggen we uit wat je zelf kunt doen om je website beter te beveiligen.


Download Defender

In dit artikel nemen we onder de loep:

WAAROM WORDPRESS KWETSBAAR IS:

8 veel voorkomende WordPress beveiligingslekken en oplossingen.

  1. Verouderde Plugins of Thema's
  2. Je WordPress is niet geüpgraded naar de nieuwste versie
  3. Slechte hosting omgeving
  4. Gebruikers onnodige privileges geven
  5. Zwak wachtwoord
  6. Het standaard inloggebied van WordPress gebruiken
  7. Geen SSL/HTTPS gebruiken
  8. Web Application Firewall (WAF)
pc

Met dat gezegd te hebben, laten we eens kijken waarom WordPress kwetsbaar is voor hackers en ook naar zeven veelvoorkomende WordPress beveiligingsproblemen - en hoe je ze kunt verhelpen.

WAAROM WORDPRESS KWETSBAAR IS

Het is de moeite waard te herhalen dat niet alleen WordPress sites kwetsbaar zijn voor hackers. Alle websites zijn dat.

WordPress is veruit de populairste CMS, 35% van alle websites in de wereld zijn gemaakt met Wordpress. WordPress sites een veelvuldig doelwit zijn van kwaadaardige aanvallen door hackers en bots, deels omdat er zoveel sites zijn. Het is voor hackers ook gemakkelijker om kwetsbaarheden in WordPress op te sporen. En, wel, dat leidt tot WordPress beveiligingsproblemen.

Het goede nieuws is dat WordPress niet kwetsbaar hoeft te zijn!

Vaker wel dan niet zijn WordPress kwetsbaarheden te wijten aan admins die eenvoudige taken verwaarlozen (bv. WordPress bij de tijd houden en sterke wachtwoorden gebruiken). Als er voorzorgsmaatregelen genomen worden, is de kans groter dat je site veilig blijft.

Je kunt ook andere dingen doen, zoals goede hosting hebben, verouderde plugins verwijderen, en meer. We gaan zo meteen in op al het essentiële.

WORDPRESS BEVEILIGINGSUPDATES

Het beveiligingsteam van WordPress bestaat uit meer dan 50 professionals. En om er zeker van te zijn dat problemen goed aangepakt worden, werkt het team soms samen met andere beveiligingsprofessionals om problemen in gemeenschappelijke afhankelijkheden aan te pakken.

In een notendop zijn de sites die niet bijgewerkt zijn, goed onderhouden worden, en waar geen beveiligingsmaatregelen genomen zijn, de meest kwetsbare.

Laten we dus eens kijken naar de meest voorkomende WordPress beveiligingskwetsbaarheden en hoe je ze kunt verhelpen als deze maatregelen nog niet op je site zijn geïmplementeerd.

ACHT VEEL VOORKOMENDE WORDPRESS BEVEILIGINGSLEKKEN EN OPLOSSINGEN

We bekijken zeven van de meest voorkomende en zien hoe je elk probleem zo eenvoudig mogelijk kunt verhelpen.


1. VEROUDERDE PLUGINS OF THEMA

WordPress biedt verschillende plugins en thema's om aan je behoeften te voldoen, zoals je je waarschijnlijk wel bewust bent. Het is geweldig dat je over alle mogelijkheden kunt beschikken; maar elke uitbreiding kan een potentiële ingang voor hackers zijn.

Je site wordt kwetsbaar als een plugin of thema verouderd is of niet bijgewerkt wordt.

De reden waarom een plugin of thema niet meer onderhouden wordt is omdat ofwel de ontwikkelaar het in de steek liet, ofwel de beheerder het niet bijwerkte.

Het is van vitaal belang om je plugins en thema bijgewerkt te houden. Doe je dat niet, dan is een verouderde plugin of thema kwetsbaar voor beveiligingslekken. Dat komt meestal omdat niemand het controleert, en kwetsbaarheden onopgemerkt blijven.

Bovendien moet je om te beginnen geen verouderde plugins of thema's downloaden. Je kunt hier zien waar je op moet letten.

De oplossing
Je kunt plugins en thema's eenvoudig bijwerken vanuit het WordPress admin panel. Van hieruit wordt het aantal beschikbare updates aangegeven.

local-seo

In dit geval is er één update beschikbaar.
Je kunt je WordPress versie, plugins, en thema's van hieruit handmatig bijwerken. Plus, de auto-update functie van WordPress kan automatisch core, plugins en thema's bijwerken, dus je hoeft er niet eens over na te denken.

2. JE WORDPRESS IS NIET GEÜPGRADED NAAR DE NIEUWSTE VERSIE

Wacht - gebruik je nog steeds versie 4.3? Dat is een probleem...

WordPress heeft kernupdates om bugs te verhelpen en de veiligheid te verhogen. Als je een verouderde versie gebruikt, nodig je onwelkome kwetsbaarheden uit. Alleen al het hebben van de nieuwste versie van WordPress kan een heleboel problemen voorkomen.

Niet iedereen doet het echter. Bij de laatste blik op welke WordPress versie gebruikers hebben, gebruikt slechts 27.1% 5.6 - de meest recente versie op het moment van dit schrijven.

local-seo

Zoals je ziet, gebruikt 27.1% 5.6. Dat betekent dat de meerderheid van de gebruikers een verouderde versie gebruikt. (Bron: WordPress.org). Het kan gemakkelijk zijn om te vergeten je WordPress site bij te werken, vooral als je hem niet vaak gebruikt of niet goed oplet.

De oplossing
Gelukkig is het uiterst eenvoudig om te upgraden naar de nieuwste versie van WordPress om ervoor te zorgen dat je site niet meer zo kwetsbaar is voor de WordPress kern kwetsbaarheden.

Als je bij ons je Wordpress website host, ontzorgen wij je volledig. Er wordt dagelijks een back-up van je website gemaakt, de laatste updates worden automatisch geïnstalleerd, inclusief het updaten van je thema.

3. SLECHTE HOSTING OMGEVING

Je hosting omgeving kan een rol spelen in de beveiliging van je WordPress site. Een goed voorbeeld is welke PHP versie je hosting biedt. De beveiligingsondersteuning van PHP vervalt in oudere versies, waardoor je kwetsbaarheden oploopt, dus je PHP moet up-to-date gehouden worden.

Net als met verouderde WordPress versies, gebruiken veel gebruikers geen bijgewerkt PHP.

local-seo

Zoals je kunt zien zijn er veel WordPress gebruikers die verouderde PHP versies gebruiken. (Bron: WordPress.org). Je kunt controleren welke PHP versie je site gebruikt vanuit het WordPress dashboard.

Ga eerst gewoon naar Extra > Site health.

Als het aangeraden is je PHP bij te werken, staat dat in de Aanbevolen Verbeteringen. Als je PHP in goede staat is, staat dat in het gebied Geslaagd voor test. Het geeft ook aan welke versie van PHP je draait.

local-seo

Zoals je kunt zien, gebruikt deze site 8.0.0.
Als je bij ons host, kun je je PHP versie controleren door naar Hosting te gaan en dan naar het Overzicht Gedeelte. Je kunt hier eenvoudig de PHP-versie aanpassen naar de laatste versie.

Waar je je PHP versie kunt controleren?
Deze draait op 8.0. Hier kun je ook zien welke WordPress versie je hebt.
Van hieruit kun je veranderen welke PHP versie je draait om zeker te zijn dat die bij de tijd is.

local-seo

PHP is maar één aspect van het hebben van een goede hosting omgeving. Goede hosting bedrijven zouden je WordPress site veilig en automatisch moeten bijwerken, zodat je altijd de nieuwste software draait.

4. GEBRUIKERS ONNODIGE PRIVILEGES GEVEN

Gebruikers toegang geven tot bepaalde rollen kan riskant zijn, vooral als ze toegang hebben tot wachtwoorden, betalingsgateways, en het bewerken van je WordPress site.
WordPress heeft zes verschillende gebruikersrollen die voor verschillende toestemmingen verleend kunnen worden. Het zijn:

  • Beheerder
  • Redacteur
  • Auteur
  • Bijdrager
  • Abonnee

Je kunt nieuwe rollen toekennen en toevoegen in het gebruikersgedeelte in het admin gedeelte van WordPress.Van al deze rollen zijn beheerders het belangrijkst. Ze hebben onbeperkte toegang tot de hele website.

Helaas staan sommige websites toe dat praktisch al hun gebruikers admin toegang hebben.

Als er één rotte appel is (en dan hebben we het niet over het type MacBook), kan dat een ravage aanrichten. Het geeft ze de mogelijkheid om dingen te doen, zoals het aanmaken van ghost admin accounts en achterdeurtjes, zodat ze weer toegang kunnen krijgen als je ooit hun account verwijdert.

Bovendien kunnen ze je gegevens wissen, betalingsgateways aan een andere account koppelen, en nog veel meer. Vrijwel alles wat denkbaar is kan gebeuren bij het verwoesten van je WordPress als de verkeerde persoon de controle krijgt.

De oplossing
Het is meestal het beste om geen beheerderstoegang af te staan, tenzij het om een sleutelpartner of uiterst betrouwbare persoon gaat. Dit hangt af van de behoeften van personen die voor zaken volledige toegang nodig hebben, en het is van vitaal belang dat je de juiste machtigingen toekent.

Als je een bedrijf runt dat gebruikers in je WordPress account of site toelaat, en ze worden ontslagen of opgezegd, zorg er dan voor dat je hun toegang beperkt of hun accounts verwijdert.

Stel dat je bij toeval ontdekt dat je niet meer in je account kunt komen, en dat je beheerdersrechten zijn ingetrokken. In dat geval moet je misschien een nieuwe admin account aanmaken via je database met phpMyAdmin of door contact op te nemen met je CMS beheerder. Anders dan bij andere hosting aanbieders, kunnen we je helpen weer op je site te komen en het probleem te verhelpen.

Situaties variëren, dus de oplossing kan van alles zijn, van het bellen van een professional om wat slechte code op te ruimen tot het gewoon verwijderen van de probleemmaker zodra een situatie wordt opgemerkt.

Wat het geval ook is, het is het beste om te proberen het vanaf het begin te voorkomen door de admin toegang te beperken.

5. ZWAK WACHTWOORD

Een sterk wachtwoord wordt bijna altijd aanbevolen, of het nu voor WordPress is of voor een andere online site. Toch komen zwakke wachtwoorden nog steeds vaak voor. Hackers ontwerpen bots die als enig doel hebben je inloggegevens te achterhalen. Ze proberen honderden gebruikersnamen en wachtwoorden uit - allemaal in een paar minuten. Dit staat bekend als een brute kracht aanval (brute force attack).

Als er honderden inlogpogingen op je site zijn, kan dat een tol eisen van je server. Dit kan je WordPress site vertragen, en je site kan crashen door een overbelasting van het systeem.

De oplossing
We splitsen dit op in twee afzonderlijke oplossingen.

Eerst en vooral is een sterk wachtwoord een gemakkelijke oplossing. Je kunt een wachtwoord veranderen en aanmaken in het WordPress admin onder Gebruikers > Profiel.

WordPress zal een sterk wachtwoord voor je genereren en aanbevelen. Of je kunt er zelf een maken.

local-seo

Het aanbevolen wachtwoord van WordPress heeft alles wat je nodig hebt voor beveiliging, en je kunt het het beste gebruiken, of iets dergelijks als je er zelf een maakt.

Aan brute kracht aanvallen kun je een halt toeroepen met onze gratis beveiligingsplugin, Defender Pro, en zijn sterke firewall.

Defender staat klaar om brute kracht aanvallen tegen te houden met zijn firewall.
Defender blokkeert gebruikers na een mislukt aantal inlogpogingen.

local-seo

Je kunt de drempel veranderen van hoeveel inlogpogingen toegestaan zijn voor een lockout, de lockout duur en een aangepast bericht aan de gebruiker maken om hem te laten weten wat er gebeurd is. De firewall bevat ook 404 Detectie en IP Banning. Plus, als je je inlogbeveiliging echt wilt opvoeren, heeft Defender ook 2-factor authenticatie.

6. WORDPRESS'S STANDAARD INLOGGEDEELTE GEBRUIKEN

WordPress heeft standaard slugs van wp-admin en wp-login. Hackers en bots zijn hiervan op de hoogte, en het is waar ze heen zullen gaan om te proberen op je site in te loggen.

De oplossing
Maak het ze moeilijk om je login URL te vinden.

Je kunt helpen voorkomen dat hackers en bots je login kunnen vinden door met Defender een aangepast login gebied te maken. Ga eenvoudig naar Geavanceerde gereedschappen, en je kunt met één klik aan de slag.

local-seo

Waarbij je het gemaskeerde inloggebied activeert. Defender is er klaar voor als je een gemaskeerd inloggebied wilt instellen. Eenmaal geactiveerd kun je een aangepaste URL slug maken die de standaard van WordPress vervangt. Ook heb je de mogelijkheid om verkeer om te leiden naar een specifieke pagina of aangepaste URL om 404's te vermijden.

local-seo

Voeg hier een nieuwe login URL slug toe die je zou willen.
Het hebben van een gemaskeerd inloggebied is een prima manier om inlogkwetsbaarheden te verhelpen en te voorkomen dat je gehackt wordt.

7. GEEN SSL/HTTPS GEBRUIKEN

SSL/HTTPS is een versleutelingsmethode voor je WordPress site. Het beveiligt de verbinding tussen de browsers van gebruikers en je hostingserver voor WordPress. Als een SSL Certificaat met succes geïnstalleerd is, verandert het toepassingsprotocol (b.v. HTTP) in HTTPS. De 'S' betekent 'veilig'. Het resultaat is dat het voor hackers moeilijker wordt om in je verbinding te komen.

Zonder een SSL/HTTPS ingeschakelde site kan je site kwetsbaar zijn voor hackers.

8. WEB APPLICATIE FIREWALL (WAF)

Een Web Application Firewall (WAF) is een specifiek soort firewall die je web-applicaties beschermt tegen kwaadaardige applicatie-gebaseerde aanvallen. In lekentaal fungeert een WAF als de tussenpersoon of beveiliger voor je WordPress site.

Het helpt web applicaties te beschermen tegen aanvallen als cross-site scripting (XSS), cookie poisoning, SQL injectie, cross-site vervalsing, en meer. WAFs staan op wacht tussen het internet en je web applicaties, terwijl ze het HTTP verkeer dat op je server wil komen bewaken en filteren. Lees hoe je kunt voorkomen dat cybercriminelen je website hacken met behulp van WAF.

De oplossing
Het is gewoon een kwestie van SSL/HTTPS aan je website toevoegen. Gelukkig is een SSL/HTTPS eenvoudig te verkrijgen en in te stellen.

Bij de meeste hosting providers zijn ze inbegrepen. Als je bijvoorbeeld hosting via ons hebt, is het automatisch inbegrepen bij al je websites. We gebruiken Let's Encrypt voor al onze SSL certificaten. Bovendien bieden we gratis Wildcard SSL voor Multisite subdomeinen.

BESCHERM JE WORDPRESS WEBSITE

Met alles wat we hebben doorgenomen zou je WordPress veel minder kwetsbaar moeten zijn voor hackers en bots. Deze eenvoudige aanpassingen kunnen je site veilig houden en soepel laten lopen. Met de hulp van een plugin als Defender Pro, Web Application Firewall (WAF) en een goede hosting is het makkelijk om deze verbeteringen vandaag nog door te voeren.

De belangrijke kwetsbaarheden die je WordPress site kun je eenvoudig verwijderen door vandaag nog over te stappen naar Managed Wordpress Hosting. Wij verhuizen uw website, configureren de server én stelen de beveiliging goed in.

Bent u gehacked? Wijhelpen je om de website op te schonen zodat je snel weer online bent.

our case
Defender Pro: De beste Wordpress beveiligingsplugin

Defender Pro is de beste WordPress beveiligingsplugin, met een paar klikken beveilig je je website (Gratis bij Managed Wordpress hosting).

Meer informatie
our case
ONTDEK OF JE WORDPRESS WEBSITE GEHACKT IS.

Het opsporen van verdachte code binnen een site is niet altijd even eenvoudig en kan gemakkelijk onopgemerkt blijven.

Meer informatie
our case
VOORKOM DAT CYBERCRIMINELEN JE WEBSITE HACKEN

Een Web Application Firewall (WAF) is een specifiek soort firewall die je webapplicaties beschermt tegen kwaadaardige applicatie-gebaseerde aanvallen.

Meer informatie