Geschatte leestijd: 8 minuten
Het is frustrerend als jouw WordPress website gehacked is. In dit artikel, zal ik de meest voorkomende redenen delen waarom WordPress websites gehacked worden, zodat jij dit kan voorkomen en jouw website kan beveiligen.
Waarom worden WordPress websites vaak gehacked?
Allereerst, het is niet alleen WordPress. Alle website op het internet zijn kwetsbaar voor aanvallen van hackers.
De reden waarom WordPress vaak het doelwit zijn is omdat het het meest populaire CMS systeem is. Ruim 30% van alle websites wereldwijd zijn gebouwd op WordPress. Dit betekent honderden miljoenen websites rond de wereld.
Omdat het zo populair is is het makkelijk voor hackers websites te vinden die minder goed beveiligd zijn. Zodat ze hier gebruik van kunnen maken.
Hackers hebben verschillende motieven om een website te hacken, sommige zijn beginners en starten net met het leren van het kraken van minder goed beveiligde websites. Anderen hebben kwaadwillende intenties zoals het distribueren van malware, het gebruiken van een website om andere websites aan te vallen of het spammen van het internet.
Dit gezegd te hebben, laten we gaan kijken wat de meestvoorkomende redenen zijn waarom WordPress websites gehacked worden. En hoe je dit kan voorkomen.
Inhoudsopgave
- 1. Onveilige webhosting
- 2. Zwakke wachtwoorden gebruiken
- 3. Niet beveiligde toegang tot de WordPress admin (De wp-admin map)
- 4. Onjuiste bestandspermissies
- 5. WordPress niet updaten
- 6. Plugins en thema’s niet updaten
- 7. Platte FTP gebruiken in plaats van SFTP/SSH
- 8. Admin gebruiken als gebruikersnaam
- 9. Gratis betaalde thema’s en plugins gebruiken
- 10. Het WordPress configuratie bestand (wp-config.php) niet beveiligen
- 11. De WordPress database table prefix niet wijzigen
1. Onveilige webhosting
Zoals alle websites, WordPress websites zijn gehost op een webserver. Er zijn hosting bedrijven die hun platform niet goed beveiligen. Dit zorgt ervoor dat alle websites die gehost worden door zon bedrijf kwetsbaar zijn voor aanvallen van hackers.
Dit kan simpel opgelost worden door het kiezen van een goede hosting. Een goede hosting kan veel voorkomende aanvallen van hackers tegenhouden. Wil je een veilige hosting? Dan betaal je daar vaak wel iets meer voor, maar als je het mij vraagt is dit het wel waard. Want hoeveel is het je waard om minder snel gehackt te kunnen worden.
Wil je het helemaal goed doen, ga dan voor een managed WordPress hosting bedrijf. Zij zorgen voor een veilige hosting die ook nog is gespecialiseerd om WordPress te draaien. Een win-win situatie.
2. Zwakke wachtwoorden gebruiken
Wachtwoorden zijn de sleutel tot jouw WordPress website. Zorg ervoor dat jij sterke en unieke wachtwoorden gebruikt voor de volgende accounts want deze kunnen een hacker allemaal toegang geven tot jouw website.
- Jouw WordPress administrator account
- Het webhosting controle paneel account
- De FTP accounts
- De MySQL database die wordt gebruikt voor jouw website
- De e-mail accunts die worden gebruikt voor WordPress of het hosting account.
Al deze accounts worden beveiligd met wachtwoorden. Het gebruik van zwakke wachtwoorden maakt het voor een hacker makkelijker om deze te kraken met een basic hacking tool.
Je kan dit eenvoudig verhelpen door unieke en sterke wachtwoorden te gebruiken voor alle accounts.
3. Niet beveiligde toegang tot de WordPress admin (De wp-admin map)
De WordPress administrator omgeving geeft een gebruiker toegang om verschillende acties te ondernemen op jouw WordPress website. Het is tevens de meest voorkomende plek via waar jouw WordPress website gehacked wordt.
De WordPress admin onbeveiligd laten geeft hackers de mogelijkheid om verschillende manieren te proberen om jouw website te kraken. Je kan het ze moeilijker maken door verschillende lagen van authenticatie toe te voegen voor ze in jouw admin map komen.
Allereerst kun je jouw WordPress administrator omgeving beveiligen met een wachtwoord. Dit zorgt ervoor dat hackers een extra wachtwoord moeten kraken voor ze überhaupt bij het inlog scherm komen.
Ten tweede is het aan te raden two-factor-authentication te gebruiken. Dit voegt weer een extra laag beveiliging toe waardoor het praktisch onmogelijk wordt voor hackers om binnen te komen.
4. Onjuiste bestandspermissies
Bestandspermissies zijn een groep regels die worden gebruikt door jouw webserver. Deze permissies helpen jouw webserver de controle te behouden over de toegang tot de bestanden op jouw website. Onjuiste bestandspermissies kunnen een hacker toegang geven om bestanden aan te passen en hiermee toegang te krijgen tot jouw website.
Alle WordPress bestanden zouden 644 als bestandspermissie moeten hebben en alle mappen op de webserver zouden 755 als bestandspermissie moeten hebben.
5. WordPress niet updaten
Sommige WordPress gebruikers zijn bang om hun WordPress website te updaten. Ze zijn bang dat er iets kapot gaat nadat zij hun website hebben geüpdate.
Elke nieuwe versie van WordPress fixed fouten en beveiligingskwetsbaarheden. Als je WordPress niet update is jouw website extra kwetsbaar voor aanvallen van hackers.
Als je bang bent dat er na een update iets kapot gaat aan jouw website is het verstandig eerst een back-up te maken voor je gaat updaten. (dit is sowieso altijd aan te raden). Als er dan iets mis gaat bij het updaten kan je dit eenvoudig weer terugdraaien.
6. Plugins en thema’s niet updaten
Net als de WordPress core, is het updaten van je thema en/of plugins heel belangrijk. Plugins en thema’s die lang niet geüpdate zijn maken jouw WordPress website kwetsbaar voor aanvallen van hackers.
Beveiligingsfouten en bugs worden vaak ontdekt in WordPress plugins en thema’s. Gewoonlijk zijn de auteurs van thema’s en plugins snel om deze bugs op te lossen. Als een gebruiker zijn thema of plugin echter niet bijwerkt, kan de auteur hier verder vrij weinig aan doen.
Zorg ervoor dat jij jouw thema’s en plugins altijd op tijd update om kwetsbaarheden te voorkomen.
7. Platte FTP gebruiken in plaats van SFTP/SSH
FTP-accounts worden gebruikt om bestanden naar uw webserver te uploaden met behulp van een FTP-programma. De meeste hostingproviders ondersteunen FTP-verbindingen met verschillende protocollen. U kunt verbinding maken via platte FTP, SFTP of SSH.
Wanneer je via platte FTP verbinding maakt met jouw website, wordt je wachtwoord ongecodeerd naar de server verzonden. Het kan worden bespioneerd en gemakkelijk worden gestolen. In plaats van FTP te gebruiken, moet je altijd SFTP of SSH gebruiken.
Je hoeft niet direct van FTP-programma. De meeste FTP-programma’s kunnen verbinding maken met je website op SFTP en ook op SSH. Je hoeft alleen het protocol te wijzigen in ‘SFTP – SSH’ wanneer je verbinding maakt met je website.
8. Admin gebruiken als gebruikersnaam
Het gebruik van ‘admin’ als jouw WordPress-gebruikersnaam wordt niet aanbevolen. Dit is ook één van de meest voorkomende redenen dat jouw WordPress website eenvoudig gehacked kan worden. Als jouw beheerders-gebruikersnaam admin is, moet je dat onmiddellijk wijzigen in een andere, minder voorspelbare, gebruikersnaam.
9. Gratis betaalde thema’s en plugins gebruiken
Er zijn veel websites op internet die betaalde WordPress plugins en thema’s gratis verspreiden. Soms is het gemakkelijk om in de verleiding te komen om die plugins en thema’s op je website te gebruiken.
Het downloaden van WordPress thema’s en plugins van onbetrouwbare bronnen is zeer gevaarlijk. Niet alleen kunnen ze de veiligheid van jouw website in gevaar brengen, maar ze kunnen ook worden gebruikt om gevoelige informatie te stelen.
Download altijd WordPress plugins en thema’s van betrouwbare bronnen, zoals de website van plugins of thema-ontwikkelaars of de officiële WordPress-repositorie.
Als je geen premium plugin of thema kan of wil kopen, zijn er altijd gratis alternatieven beschikbaar voor die functionaliteiten. Deze gratis plugins zijn misschien niet zo goed als hun betaalde tegenhangers, maar ze zullen de klus klaren en, wat nog belangrijker is, jouw website veilig houden.
10. Het WordPress configuratie bestand (wp-config.php) niet beveiligen
Het WordPress-configuratiebestand wp-config.php bevat jouw login-gegevens voor de WordPress-databases. Als het in gevaar wordt gebracht, zal het informatie onthullen die een hacker volledige toegang tot jouw website zou kunnen geven.
Je kunt een extra beveiligingslaag toevoegen door toegang tot het wp-config-bestand te weigeren met .htaccess. Voeg eenvoudig deze kleine code toe aan uw .htaccess-bestand.
| 1 2 3 4 | <files wp-config.php>order allow,denydeny from all</files> |
11. De WordPress database table prefix niet wijzigen
Veel experts raden aan dat je het standaard voorvoegsel van WordPress-tabellen wijzigt. WordPress gebruikt standaard wp_ als een voorvoegsel voor de tabellen die het in jouw database maakt. Je krijgt een optie om het tijdens de installatie te wijzigen.
Het wordt aanbevolen dat je een voorvoegsel gebruikt dat iets lastiger is. Dit maakt het moeilijker voor hackers om uw database tabel namen te raden.
Heb je nog vragen over dit artikel, laat hieronder een reactie achter en we zullen je vraag zo snel mogelijk beantwoorden.
Vond je dit artikel waardevol? Deel het op social media zodat wij meer mensen kunnen helpen met het beveiligen van hun WordPress website.
