Focus op webserver
Waar hackers hun virussen vroegah vooral op Windows personal computers richtten, zien we nu al geruime tijd de trend dat zij zich meer en meer op het inbreken op web servers richten. Daar liggen twee heel eenvoudige principes aan ten grondslag:
- Ten eerste is dat het steeds grotere aantal installaties van WordPress, Drupal, Joomla, etc., dat de kans vergroot tot het zetten van een succesvolle kraak.
- Ten tweede: webservers hebben een veel snellere verbinding met internet dan de gemiddelde personal computer. Heb je eenmaal een webserver gekraakt, dan kan je met veel grotere snelheid andere computers proberen te kraken dan vanaf een PC zou kunnen.
Brute Force Attack
Hackers bedienen zich van verschillende technieken, waarvan brute force één van de bekendere, en voor WordPress in ieder geval een zeer relevante is. Met een brute force attack probeert een hacker in te breken door een groot aantal log-in combinaties te proberen: men gebruikt één of enkele voor de handliggende user-ids in combinatie met een hele lijst min of meer eenvoudige wachtwoorden.
Out-of-the-box wordt WordPress geinstalleerd met user-id ‘admin’. En dat is gefundenes Fressen voor hackers; want die weten zo al 50% van de user-id / password combinatie die ze zoeken! Daarom wordt altijd geadviseerd om na de installatie van WordPress in ieder geval een andere beheer user aan te maken. Dat scheelt al vast iets.
En natuurlijk maak je gebruik van een sterk wachtwoord. Dat is sowieso een must.
Zonder verdere aanpassingen zal een hacker – of een willekeurige WordPress specialist… – nog steeds relatief eenvoudig je user-id kunnen achterhalen. Maar voor de èchte domme kracht aanvallen is dit wel degelijk een maatregel die de beveiliging in belangrijke mate verbetert.
WordFence; meer dan 1 miljoen downloads
Nadat je user-id ‘admin’ hebt vervangen door een wat moeilijker te raden naam, kun je de volgende maatregel nemen om je site beter te beveiligen tegen hackers: download WordFence en installeer deze WordPress plugin op je site. Je kunt beginnen met de gratis versie met de standaard instellingen. Of de stap maken naar de betaalde versie voor nog meer mogelijkheden en betere support.
WordFence beveiligt je site op een aantal fronten, waarvan de belangrijkste zijn:.
- inlogpogingen worden geregistreerd en na een ingesteld aantal foutieve pogingen, wordt het adres van waar de pogingen komen, tijdelijk geblokkeerd. Met de optie ‘Immediately lock out invalid usernames’ aangevinkt kun je de hackers nog sneller weren – met name dus wanneer je user-id ‘admin’ hebt verwijderd.
- je site wordt periodiek gescand op signatures van trojans, backdoors, etc., en op verschillen t.o.v. de officiele WordPress repositories. Mocht je site ondanks alle maatregelen toch gecompromiteerd worden, dan wil je dat natuurlijk wel zo snel mogelijk weten!
Ook als je geen gebruik maakt van WordFence is hun nieuwsbrief aan te raden. Je wordt dan regelmatig op de hoogte gehouden van nieuwe dreigingen en kunt zonodig daar snel op reageren. Inschrijven op de nieuwsbrief kun je onderaan de WordFence home page.
Specialisme
Natuurlijk is er nog veel meer te zeggen over de beveiliging van je WordPress website. Er zijn veel meer plugins dan alleen WordFence om je site te beveiligen (denk aan Better WP Security of Bulletproof Security). En er zijn nog heel andere manieren waarop WordPress wordt misbruikt; bijvoorbeeld comment spam (bijvoorbeeld met Akismet te voorkomen).
Ook moet je er rekening mee houden dat je site extra belast wordt wanneer je op de radar van de brute force attackers verschijnt; al die pogingen om in te loggen kunnen zelfs het effect hebben dat je reguliere gebruikers nog maar nauwelijks aan bod komen – alsof het om een ‘denail of service’ aanval zou gaan. Om dat te ondervangen kun je eens kijken naar plugins als W3 Total Cache en WP Super Cache.
Als je gebruik maakt van een zogenaamde shared host (waarbij jouw website samen met vele andere websites op één webserver is geinstalleerd) moet je er rekening mee houden dat de kwaliteit van de beveiliging van jouw site mede wordt bepaald door al die andere sites. Als daar een probleem geval tussen zit, zal jij door ook last van hebben zonder dat je er veel tegen kunt doen.
Al met al kun je zelf met enkele eenvoudige maatregelen al heel veel doen aan de beveiliging van je WordPress website. En met een beetje extra inspanning kom je nog verder. En je kunt natuurlijk ook contact opnemen met de Webbouwmeester als je nog hogere eisen aan beveiliging en prestaties van je website stelt!