Beveilig je WordPress-website en voorkom misbruik!

WordPress blijft terecht winnen aan populariteit. Een gevolg hiervan is dat wij misbruik van dit CMS ook zien toenemen. Daarom licht ik graag toe hoe het mogelijk is dat WordPress-websites worden misbruikt. En, nog belangrijker, hoe je misbruik kunt voorkomen en welke acties je dient te ondernemen als je website is gehackt.

Beveilig je WordPress-website en voorkom misbruik!

Een veelvoorkomende vraag: “waarom wordt juist mijn website misbruikt/gehackt?” Zodoende dat we er ook al eerder aandacht aan hebben besteed. Het antwoord is eenvoudig: hackers scannen het internet af om verouderde WordPress-websites te vinden. Het voornaamste doel daarvan is om je website te misbruiken. Denk bij misbruik aan het versturen van spamberichten of het verspreiden van phishing en malware.

Deze gedateerde WordPress-installaties bevatten bekende kwetsbaarheden die eenvoudig kunnen worden misbruikt. Vinden ze op jouw domein een verouderde versie, dan zal er worden geprobeerd de kwetsbaarheden te misbruiken. Het is dus geen gerichte aanval specifiek op jouw domein, maar op verouderde WordPress-installaties in het algemeen.

Voorkomen is beter dan genezen!

Voorkomen is beter dan genezen, dat klinkt eenvoudig. Echter, aan welke stappen dien je dan concreet te denken? Door de volgende vier maatregelen te treffen, valt misbruik van een WordPress-website goed te voorkomen.

1. Update WordPress, -plugins en -thema’s consequent

WordPress brengt regelmatig updates uit. Deze updates bevatten nieuwe functies en mogelijkheden. Daarnaast hebben deze updates ook als doel kwetsbaarheden te verhelpen die zijn ontdekt in voorgaande versies. Zoals gezegd, hackers scannen het internet af op WordPress-websites die nog verouderde versies gebruiken. Is jouw installatie up-to-date, dan gaan de hackers al snel verder naar een ander webhostingpakket.

Belangrijk!
Update niet alleen je WordPress-installatie, maar ook de plugins en thema’s binnen je installatie. Installatron biedt hierin de mogelijkheid om je geheel te ontzorgen door updates automatisch te installeren zodra deze beschikbaar zijn. Hoe je automatische updates instelt, wordt in deze handleiding nader toegelicht.

2. Installeer een beveiligingsplugin

Er zijn meerdere gratis plugins beschikbaar die een WordPress-installatie kunnen beveiligen tegen misbruik. Persoonlijk heb ik goede ervaringen met:

Deze plugins kunnen de veiligheidsinstellingen die WordPress zelf aanbeveelt automatisch doorvoeren. Beide plugins hebben een installatie-wizard die je door de configuratie heenleiden.

3. Verwijder plugins en thema’s die je niet gebruikt

Regelmatig zie ik WordPress-websites die van tientallen plugins en thema’s zijn voorzien, die niet meer worden gebruikt of geüpdatet. Er ontstaat zo een beveiligingslek. Ook de prestaties van je website kunnen erop achteruit gaan, omdat er onnodig rekenkracht wordt verbruikt.

Het is dus sterk aan te raden om plugins en thema’s die je niet gebruikt geheel te verwijderen. Schakel het dus niet alleen uit, maar verwijder ze volledig, zodat er geen resterende bestanden op je pakket overblijven.

4. Gebruik een veilige gebruikersnaam en wachtwoord

WordPress gebruik standaard ‘admin’ als de gebruikersnaam voor het dashboard. Door middel van zogeheten ‘brute force’-aanvallen proberen hackers het bijbehorende wachtwoord van je installatie te achterhalen. Wanneer je de standaard gebruikersnaam hanteert, dan maak je ze het op die wijze gemakkelijker, omdat ze dan enkel het wachtwoord hoeven te achterhalen, in plaats van zowel het wachtwoord als de gebruikersnaam.

Beveilig je WordPress-website en voorkom misbruik: welke maatregelen kan ik nemen?Zodoende is het sterk aan te raden deze standaard gebruikersnaam te vervangen door een persoonlijke gebruikersnaam. Gebruik tevens een sterk wachtwoord. Je kunt dit via Installatron in DirectAdmin aanpassen:

  • Log in op DirectAdmin en klik onder ‘My Applications’ op de naam van de WordPress-applicatie, waarvan je de gegevens wilt aanpassen.
  • Voer bij ‘Administrator Password’ een nieuw wachtwoord in.
  • Vul bij ‘Administrator Username’ een andere gebruikersnaam in.
  • Klik onderaan op ‘Save all’ om de wijzigingen op te slaan. Je hebt nu je gebruikersnaam en wachtwoord aangepast.

Wat doet Antagonist om mij te beschermen?

Bij ieder webhostingpakket dat Antagonist levert, beschermen wij jouw website door gebruik te maken van ‘Patchman‘. Deze beveiligingssoftware is met met eigen technologie ontwikkeld en kan automatisch kwaadaardige code en beveiligingslekken in websites detecteren.

Beveilig je WordPress-website en voorkom misbruik: wat is Patchman?

In geval er kwetsbare bestanden op je website worden gevonden, wordt je daar per e-mail van op de hoogte gesteld en gevraagd actie te ondernemen. Wordt er geen actie ondernomen, dan worden scripts automatisch gepatcht of in quarantaine geplaatst. Daarbij garanderen wij dat de functionaliteit van je website niet in gevaar komt!

Het beheerpaneel van ‘Patchman’ vind je in DirectAdmin van je pakket, onder de categorie ‘Advanced Features’. Je hebt daar verschillende opties:

  • je kunt er informatie over de aangemerkte bestanden terugvinden;
  • het in- en uitschakelen van e-mailnotificaties;
  • het terugdraaien van toegepaste patches;
  • het uitvoeren van een handmatige scan.

Op onze servers is ook software aanwezig die voortdurend controleert of er veelvuldig foutief wordt ingelogd op een WordPress-installatie. Dit dient dus ter preventie van eerder genoemde brute force-aanvallen. De IP-adressen van deze misbruikers worden automatisch opgenomen in onze firewall, zodat er geen misbruik meer kan plaatsvinden.

Mijn website is gehackt, wat nu?

Ondanks de maatregelen ter preventie die wij en jij treffen, bestaat de kans dat jouw website wordt gehackt. Wat moet je dan doen? Als eerste stap is het sterk te adviseren een wachtwoord op je website te plaatsen, zodat enkel jij de website kunt bezoeken. Zo bescherm je bezoekers en voorkom je dat er opnieuw spam wordt verstuurd via kwaadaardige scripts op je pakket. Op onze website lichten wij toe welke stappen je daarna kunt ondernemen. Graag licht ik ook hier een aantal manieren toe hoe je dit aan kunt pakken:

1. Een schone backup terugzetten, daarna alles updaten

Heb je nog een recente backup, waarvan je zeker weet dat die schoon is? Je kunt dan overwegen om eerst die terug te zetten. Zo ga je dan terug naar een situatie waar er nog geen malafide bestanden op het pakket stonden.

Tip!
Heb je een Slim-, Plus- of Pro-pakket en zelf geen recente backup voorhanden? Je kunt dan controleren of het terugzetten van een backup die wij proactief voor je maken een schone variant van je website bevat. Uitleg over ‘Antagonist Backups’ vind je hier.

Na het terugzetten van de backup is het vervolgens zaak WordPress en -plugins en -thema’s te updaten. Verwijder plugins en thema’s die je niet gebruikt. Wijzig ook al je belangrijke wachtwoorden, zoals die van DirectAdmin/FTP, WordPress en je e-mailaccounts.

2. Het vervangen van de basis-bestanden van WordPress

Je kunt ook overwegen om de basis-bestanden van WordPress te vervangen, zodat je zeker weet dat die bestanden schoon zijn. Dat bespaart je het nakijken van die specifieke mappen. Dat gaat als volgt:

  • Download eerst de laatste versie van WordPress.
  • Pak dit .zip-bestand op je computer uit. Je ziet daar mappen als /wp-content/, /wp-includes/, /wp-admin/ en bestanden buiten deze submappen om.
  • Maak een backup van de huidige situatie.
  • Log in op DirectAdmin van je pakket of maak verbinding met FTP.
  • Maak in de /public_html/-map de map /old/ aan.
  • Verplaats alle bestanden die in de map /public_html/ staan, met uitzondering van de map /wp-content/ en de bestanden wp-config.php en .htaccess, naar de map /public_html/old/.
  • Upload de schone WordPress-bestanden (die je eerder hebt gedownload), met uitzondering van de map /wp-content/, naar de map /public_html/ op je pakket.
  • Controleer vervolgens je website of alles nog naar behoren werkt. Is dat het geval, dan verwijder je de map /old/. Werkt het niet meer, zet dan de backup terug en probeer het opnieuw.
  • Update vervolgens je plugins en thema’s en verwijder daarbij diegene die je niet gebruikt. Wijzig tevens al je belangrijke wachtwoorden.

Aanvullende tips voor het opschonen van je website!

Buiten de stappen die in de eerdere handleiding worden genoemd, wil ik je graag specifiek voor WordPress nog enkele handige tips meegeven:

  • Scan je website met een ‘malware-scanner’. De plugin ‘Anti-Malware Security and Brute-Force Firewall‘ vindt door de hacker gewijzigde bestanden en kan deze automatisch opschonen en verwijderen.
  • Verwijder plugins en thema’s die je niet gebruikt! De oorzaak van misbruik zit vaak in een sterk verouderde plugin of thema.
  • Controleer in je WordPress-dashboard bij ‘Gebruikers’ en dan bij ‘Beheerders’ of er geen malafide gebruikers zijn toegevoegd.
  • Laat ons je website controleren, nadat je de tips uit dit blog en de stappen in de handleiding hebt gevolgd. We kijken graag met je mee of we nog verdachte bestanden tegenkomen.

Sitedokter

Als het opschonen liever niet zelf uitvoert, kun je overwegen gebruik te maken van onze Sitedokter-dienst. Een beveiligingsexpert van Antagonist zal dan je webhostingpakket controleren, opschonen, updaten en beveiligen.

Meer over de Sitedokter →

Heb je nog vragen over het beveiligen van jouw WordPress-installatie of hulp nodig bij het verhelpen van een WordPress-website die is gehackt, dan kun je natuurlijk altijd contact opnemen via support@antagonist.nl. We helpen graag!

Aanvullende tips zijn altijd welkom. Heb je goede tips en adviezen om WordPress-misbruik te voorkomen of verhelpen, laat het ons weten!

P.S. Wil je op de hoogte blijven van alle artikelen, updates, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken op Facebook, het +1’en op Google+ of het volgen op Twitter.

Deel Deel Deel Deel