Vanwege de sterke groei van WordPress is het CMS een geliefde prooi voor hackers geworden. Gehackte websites worden soms gevuld met malware, ontdaan van de content (‘defaced’), en soms zelfs volledig onklaar gemaakt. Het merendeel van de hack-pogingen kan je afweren door enkele simpele handelingen. Het doel van dit artikel is om mensen met beperkte technische kennis te helpen om hun website voor 99% te beveiligen. Bovendien leggen we uit wat je kan doen als je WordPress website toch een keer gehackt wordt.
Wat is een gehackte website?
Wanneer uw site is geïnfecteerd, gebeurt dit meestal omdat een hacker via een zwakke plek het beheer over uw site heeft kunnen overnemen. De hacker kan ook de inhoud van de site wijzigen (bijvoorbeeld door spam toe te voegen) of extra pagina’s aan de site toevoegen, meestal met phishing als doel (gebruikers misleiden zodat ze persoonlijke en creditcardgegevens opgeven). De hacker kan ook schadelijke code (malware) toevoegen, bijvoorbeeld scripts of iFrames die inhoud van een andere website ophalen die probeert elke computer aan te vallen waarop de pagina wordt weergegeven.
Onder de term ‘malware’ vallen alle soorten schadelijke software die zijn bedoeld om een computer of netwerk te beschadigen. Voorbeelden van malware zijn onder andere virussen, wormen, spyware en Trojaanse paarden. Zodra een site of computer is beschadigd, kan deze worden gebruikt om schadelijke inhoud te hosten, zoals phishing-sites (sites bedoeld om gebruikers te misleiden zodat ze hun persoonlijke en creditcardgegevens opgeven). Sommige hackers kunnen zelfs het beheer over een gehackte site overnemen.
Bron: Google
Stappenplan om te voorkomen dat je WordPress website wordt gehackt
1. Veilige inlog met gebruikersnaam en wachtwoord
De meeste hackpogingen zijn valse inlogpogingen (Brute Force Attacks). Op basis van de inhoud van je website en een lijst met veel voorkomende wachtwoorden, wordt dan geprobeerd om in te loggen. Op die manier kunnen hackers in een kort tijdsbestek duizenden inlogpogingen uitvoeren. Je kan voorkomen dat hackers je wachtwoord vinden door ervoor te zorgen dat je een uniek en veilig wachtwoord gebruikt. Ook adviseren we om geen gebruik te maken van admin als gebruikersnaam.2. Update WordPress en plugins
Vaak zien we dat WordPress gebruikers liever geen updates meer uitvoeren op hun website. Om veilig te blijven moet je je website echter wél blijven updaten. Dat gaat in WordPress bovendien heel eenvoudig. En als je gebruik maakt van populaire plugins, dan gaan updates bijna altijd goed. Mocht er toch iets mis gaan, dan val je terug op je backup.3. Maak backups
In veel gevallen bewaart je hosting provider backups over een periode van zo’n 14 dagen. Maar het kan voorkomen dat je er pas later achter komt dat je website gehackt is. Wij adviseren daarom om ook zelf regelmatig een volledige backup te maken en deze minimaal een half jaar te bewaren. Een volledige backup is een backup van zowel de database als alle bestanden. Soms kan je backups downloaden via je hosting provider, maar er zijn voor WordPress ook diverse plugins die dit doen, zoals BackWPup (gratis) of BackupBuddy (betaald).4. Meld je aan bij Google Webmasters
Omdat Google jouw website met regelmaat bezoekt, kan Google soms ook herkennen dat je website is gehackt. Door je aan te melden bij Google Webmasters kan je erop vertrouwen dat je van Google een melding krijgt als er iets mis is. Ook biedt Google Webmasters de mogelijkheid om je website aan te melden voor een malwarecontrole.5. Zorg voor goede hosting
Last but not least: zorg voor goede hosting! Webhosting is een markt voor prijsvechters; voor enkele tientjes per jaar kan je een website een jaar lang laten hosten. Maar hoe minder je betaalt, des te minder ruimte de host heeft om een optimale veiligheid te garanderen. Onze Premium WordPress hosting monitort inlogpogingen, gewijzigde php-bestanden, verkeer van en naar de servers, onverwacht bezoekersgedrag, etc. Wij – en anderen die zo werken – zijn niet de goedkoopste, maar staan wel garant voor een optimale beveiliging.Wat kan je nog meer doen om je website te beveiligen?
Met bovenstaande punten kan je je website preventief beveiligen tegen hackers. Je kan nog een stap verder gaan en extra plugins installeren die je helpen om de beveiliging nog verder aan te scherpen. Hier zijn talloze plugins voor, waarvan we hier de meest populaire zullen bespreken. De plugins bevatten een scala aan functionaliteiten om je website extra te beveiligen. Je kan bijvoorbeeld de gebruikersnaam van de admin-gebruiker aanpassen, het bestand wp-login.php alleen toegankelijk maken voor specifieke IP-adressen, aanpassing doen aan de WP_-prefix in de database, etc.
- Better WP Security – Populairste gratis plugin
- WordFence – Populaire gratis plugin met premium versie
- Bulletproof Security – Populaire gratis plugin
- Hide my WP – Betaalde plugin om WordPress onherkenbaar te maken voor hackers
- Limit Login Attempts – Gratis plugin om het aantal inlogpogingen te beperken en Brute Force Attacks te voorkomen
Wat moet je doen als je website is gehackt?
A. Backup terugzetten en alles updaten.
Als je technisch bent kan je zelf kijken in welke bestanden vreemde code te vinden is, maar onze ervaring is dat het probleem zich daarmee meestal niet oplost. Malware-code wordt vaak in meerdere bestanden verwerkt en goed verstopt in de bestanden van WordPress, plugins en themes. Een volledige backup terugzetten is daarom de beste oplossing. Maar let op: nadat je je backup hebt teruggezet, is je website nog niet beschermd! Update daarna daarom direct je WordPress installatie, plugins en thema’s! En vertrouw je het toch niet helemaal? Lees dan Stap B!
B. Laat Sowmedia de gehackte website schoon maken
Sowmedia biedt de WordPress Hackvrij dienst: een dienst waarmee we websites voor een vast bedrag schoon maken van malware, defaces, achterdeurtjes en andere sporen die hackers hebben achtergelaten. Daarbij kun je kiezen voor schoonmaakacties binnen een werkdag tot binnen een werkweek. Lees meer over het schoonmaken van gehackte WordPress websites door Sowmedia.
WordPress website gehackt?