WordPress Gehackt
WordPress gehackt? WordPress hacks uiten zich op allerlei manieren. Een website eigenaar belde deze week met de klacht dat de homepage was vervangen door een ''angstaanjagende'' afbeelding van het hackersteam. De oorspronkelijk website was niet meer zichtbaar.
Bij malware-injectie in de WordPress Core merk je het soms pas wat later. De website draait dan vaak nog wel, maar inloggen op het WordPress Dashboard om een pagina aan te maken of post aan te passen werkt niet meer. En zo zijn er vele manieren waarop een site gehackt kan worden; malware, een malicious redirect en de backdoors waarbij je paswoord gekraakt is zijn misschien wel de meest voorkomende.
Een vaak gehoorde reactie van een klant is vaak waarom nou juist zijn of haar website gehackt wordt. Simpel: het is té gemakkelijk gemaakt voor een hacker om deze site te hacken. Met name een backdoor hack waarbij via een brute force attack je paswoord van de WordPress Aministrator inlog wordt gehackt komt veel voor. Tot voor kort heetten de meeste gebruikers allemaal 'admin’, dus dat stuk was alvast helder voor de hacker. Als daarnaast een makkelijk paswoord wordt gebruikt is het een koud kunstje voor een hackscript om in te loggen op je WordPress pagina door duizenden wachtwoorden gewoon te ‘proberen’ op je site.
Paswoorden
Denk niet dat een paswoord als bijvoorbeeld ”P0w3r1234′ of ‘Succes!!2014′ een veilig wachtwoord is. Wachtwoorden moeten meerdere tekens of karakters bevatten in een niet te raden volgorde. Gelukkig is het met nieuwere versies van WordPress al verbeterd waarbij het kiezen van een sterk wachtwoord kan worden afgedwongen. Vaak zijn het echter oudere WordPress Websites waarbij niet de moeite is genomen de naam van de user of het wachtwoord aan te passen.
Een zeer simpele oplossing om de brute force backdoorhack kan worden voorkomen is door het installeren van een plugin die voorkomt dat een hackerscript duizenden wachtwoorden kan uitproberen op jouw inlogpagina. Zo’n plugin heet Limit login attempts. Hiermee voorkom je dat er teveel login pogingen gedaan kunnen worden op je website. De plugin bestaat al een tijdje en is niet recentelijk geupdate, maar gaat nog heel goed mee. Naast deze plugin bestaan er nog vele meer uitgebreidere oplossingen op je WordPress Versie te beveiligen, bijvoorbeeld de plugin van Ithemes Security.
Alle WordPress Websitse die AllesWP oplevert worden voorzien van extra beveiliging op tientallen punten die verder gaat dan bovenstaande beveiliging. Daarnaast raden we hosting aan bij providers die op serverniveau al beveiliging installeren speciaal voor WordPress. Op die manier is een website direct beveiligd tegen een eventueel beveiligingslek, zodat je website geen direct gevaar loopt.
Snelle Tips voor een veiliger WordPress
- Neem als username geen 'admin', verander deze eventueel.
- Neem een sterk en liefst lang paswoord of verander het!
- Installeer een simpele beveilingsplugin, bv. “Limit login attempts” of kies een meer uitgebreidere beveilingsoplossing.
- Wacht niet te lang met updates. (update:) Zeker de recente nieuwberichten (april 2015) rondom de XSS Exploit in de WordPress Core en tevens te vinden in vele plugins zijn een zeer goede reden om je website zo snel mogelijk te updaten.