Sinds het uitlekken van de Panama Papers en het daarbij horende lek in wordpress én drupal, vragen vele webeigenaars zich terecht af hoe ze hun website kunnen beschermen. Is wordpress wel zo veilig ? En hoe organiseer best je wordpress beveiliging?
Je kan daar uiteraard veel geld in steken. Maar zoals gewoonlijk helpt een praktisch lijstje van “good practices” om je wordpress site te beschermen je al een heel eind op weg.
De Panama papers en website bescherming
Vorige week werd mijn aandacht getrokken naar een artikel van Feweb over de Panama Papers. Je weet wel. Hoe de rijksten der aarde op een slinkse wijze geld aan de belastingen wisten te “onttrekken” en doorsluizen naar fiscale paradijzen.
Het advocatenkantoor Mossack Fonseca uit Panama staat centraal in dit verhaal dat als een echte misdaadroman kan gelezen worden. Maar eigenlijk is het een verhaal van slechte wordpress beveiliging.
De hack van bovenvermeld bedrijf bestond grofweg uit twee kleinere hacks.
De eerste betrof alle emails die het advocatenkantoor uitwisselde met hun klanten. Door een oude plugin (Revolution Slider) de publieke wordpress site en die als sinds 2014 niet meer geüpdatet was, zijn de hackers in de mysql database geraakt en zo (indirect) aan het master paswoord van de email server.
Een tweede hack betrof een drupal installatie die door Mossack Fonseca werd gebruikt als platform voor het uitwisselen van documenten met hun internationaal cliënteel. De drupal versie die werd gebruikt voor dit portaal was ook weer een achterhaalde versie met 23 gekende zwakheden. De cms was nooit geüpdatet tot de laatste versie. Ja kan dit hier allemaal eens nalezen bij onze vrienden van Wordfence.
Op z’n minst heeft de hetze rond de Panama Papers security weer als top-issue op de to do lijst gezet van vele bedrijven. En toch kunnen de eigenaars van wordpress’ sites door een aantal simpele ingrepen de kans op een hack zoals hierboven vermeld tot een minimum beperken. We lijsten zen even op.
4 gouden regels om je wordpress site beter te beschermen
Om je wordpress installatie tot een maximum te beveiligen, zijn er een aantal regeltjes die, mits je ze scrupuleus respecteert, de veiligheid van je website serieus verhogen.
Maar laten we wel wezen : de eerste én beste manier om je WordPress site beschermen, is en blijft het gebruik van een degelijk paswoord. En daarmee bedoel ik niet een paswoord gebaseerd op de naam van je hond of de voornaam van je oudste spruit. Of nog erger : paswoord123. Daarmee bedoel ik een combinatie van letters, cijfers en speciale tekens. Het is bijna onmogelijk die zelf te bedenken en zowel random.org als passwordsgenerator.net kunnen je hierbij helpen. Of wie liever een Nederlandstalige interface heeft : https://vpndiensten.nl/informatie/privacy/wachtwoord-generator/
Nu hoor ik wel eens dat het moeilijk is om die te memoriseren. En dat zal wel zo zijn. Tooltjes zoals Keepass en LastPass kunnen je hierbij helpen.
4.1 Update regelmatig alle plugins en thema’s van je wordpress site
Check minstens eenmaal per week of bepaalde plugins of thema’s niet moeten geüpdatet worden. Ik ben al websites tegengekomen waar versies van plugins werden gebruikt tot 2 jaar voorheen en sindsdien niet meer vernieuwd werden.
Als je bepaalde plugins of thema’s niet meer gebruikt, verwijder ze dan. Zelfs al zijn ze niet meer actief, ze zijn wel aanwezig in de wordpress installatie. Daardoor zijn ze gevoelig voor aanvallen zelfs als ze niet meer gebruikt worden of niet meer actief zijn.
Zorg er wel zeker voor dat er ook back-ups bestaan van je site. Soms kan er bij een grote update iets misgaan en dan moet je de gebruik maken van je backup.
4.2 Gebruik wordfence of een gelijkaardige wordpress security plugin
Wordfence (https://www.wordfence.com/) is een plugin die je website beschermt tegen hacker aanvallen. Deze plugin een de-facto standaard geworden in de bescherming van je website.
De installatie is makkelijk. Maar het aantal instellingen (in de tientallen !) is impressionant en kan de beginnende gebruiker afschrikken. Maar toch loont het de moeite om hier even doorheen te gaan.
Zo kan je via de “Live traffic” kijken wie zoal je website bezoekt. Met een beetje geluk zal je ook de search engine bots zoals googlebot aan te werk zien. Opgepast : de “life traffic” is interessant maar is ook gekend als een geheugen vreter. Beste is dus om deze optie gewoon af te zetten bij de algemene instellingen.
Interessanter wordt het als we gaan kijken naar “Diagnostics”. Hier zien we in een oogopslag de zwakke punten van je huidige installatie en hoe te remediëren. Ik gebruik wordfence altijd, soms samen met IP Geo Block als er veel pogingen zijn om in te loggen. Deze laatste plugin blokkeert op basis van een white list of black list de landen die wel of niet toegang hebben tot de backend van wordpress. Zo kan je bijvoorbeeld instellen dat enkel pogingen tot login toegelaten zijn in België (white list).
4.3 Gebruik nooit “admin” als login
Bij elke nieuwe wordpress installatie, wordt standaard “admin” als beheerder van de site voorgesteld. Dat is in feite geen goed idee. Door deze naam als login te gebruiken maakt je het makkelijker voor potentiële hackers om in te loggen op je backend. De helft van het vraagstuk is als het ware al opgelost.
En gebruik een sterk wordpress paswoord. Sinds de voorlaatste update van wordpress, genereert het content management systeem zelf sterke paswoorden.
En als die paswoorden moeilijk te onthouden zijn, gebruik dan een systeem zoals Lastpass of Keepass om je te helpen.
4.4 Opgepast met shared hosting
Laten we eerlijk zijn : de lage kostprijs van shared hosting platformen is uitdagend. Het is bijna onmogelijk te weerstaan aan de hosting pakket van nog geen 10 € per maand. Maar in dat laatste geval deel je je website met tientallen andere sites. Op dezelfde server.
En ook al ben je zelf goed georganiseerd en gebruik je sterke paswoorden en worden alle plugins regelmatig geüpdatet, dan is ketting van beveiliging maar zo sterk als de zwakste schakel. In dit geval de tientallen andere wordpress gebruikers op de server.
Er zijn hosting bedrijven gespecialiseerd in wordpress die extra pakketten voor security en performantie voorzien. En zijn die paar euro’s meer niet meer zo belangrijk als het om de veiligheid van je wordpress site gaat. WordPress beveiliging is immers erg belangrijk voor de vindbaarheid van je website en dus indirect voor de omzet of het aantal leads dat de wordpress site genereert.
Misschien toch de moeite om dit eens te onderzoeken. Denk maar Savvii en WP Engine.
Maar laten we eerlijk zijn. Deze maatregelen verhogen de veiligheid van je wordpress website maar zijn zeker geen garantie dat de site niet gehackt wordt. En als we kijken naar de lange lijst van grote bedrijven die het slachtoffer geworden zijn van deze praktijk, dan kan je je inderdaad afvragen of enkele tips een hacker die binnen wil geraken wel zal afweren.
Het antwoord is duidelijk : nee. Maar de hackers viseren wel de wordpress sites die een slechtere beveiliging hebben. En na enkele korte pogingen zonder succes gaan ze gewoon verder tot ze een website gevonden hebben die zwak staat in wordpress beveiliging en is jouw website gered.
