Steeds vaker krijg ik vragen over het hacken van websites. Gelukkig niet hoe je dat moet doen, maar wel hoe je het voorkomt of wat je moet doen als je slachtoffer bent geworden van een hacker. Dit leg ik in deze blog uit.
Doordat wij veel websites bouwen hebben we veel kennis opgedaan rondom de beveiliging van websites. Op die manier kunnen we mensen ook helpen als ze slachtoffer zijn van hackers. Wanneer een hacker je website heeft gehackt dan heeft hij toegang tot je website en je webhosting omgeving.
Het is een hacker in de meeste gevallen te doen om de volgende 4 redenen:
- Hij wil webpagina’s of links plaatsen op jouw website om meer traffic te krijgen naar zijn eigen website.
- De hacker plaatst phishing links op jouw website. Dit zijn links naar wegshops waar je een bestelling kan doen en daarmee verkrijgen ze toegang tot al je gegevens, waaronder jouw creditcard gegevens. En met die gegevens kunnen ze zelf gaan shoppen.
- Ze kunnen vanaf “jouw” server spam versturen. Waarschijnlijk heb jij ze ook weleens gehad. De mails met “viagra” aanbiedingen. De kans is groot dat deze mails vanaf een gehackte website zijn verstuurd.
- Helaas veel in het nieuws de laatste tijd, maar door een hack kan jouw server mee doen aan een DDOS aanval om een andere website plat te leggen.
De laatste weken worden we regelmatig gebeld door website-eigenaren die slachtoffer zijn van een hacker. En iedere keer krijgen we dezelfde vragen:
- Kunnen jullie het oplossen? Natuurlijk kunnen we dat. Al is dat niet altijd even makkelijk.
- Hoe heeft het kunnen gebeuren? Dat leg ik in deze blog uit.
- En hoe kunnen we het in de toekomst voorkomen? Ook dat leg ik hieronder verder uit.
Hieronder een aantal manieren om je (WordPress) website beter te beveiligen. Een hacker is nooit met 100% zekerheid te stoppen, maar je moet het ze zeker niet te makkelijk maken.
Zorg voor een sterk wachtwoord
Hackers proberen door scripts je wachtwoord te raden door alle mogelijke combinaties te proberen. Hoe langer je wachtwoord, des meer combinaties er mogelijk zijn.
Een sterk wachtwoord bestaat uit:
- Een niet voor de hand liggende combinatie.
- 15 karakters (minimaal).
- Symbolen als ±§!@#+_)(**&ˆ%$# etc.
- Cijfers.
- Kleine letters.
- Hoofdletters.
En een sterk wachtwoord is dus niet uit:
- Een keyboard combinatie als “QWERTY”, “QWERTY12”, “test123” of “1234567890” etc.
- Een woord uit het woordenboek.
- Een naam als “admin” of “ administrator”.
- Je login of gebruikersnaam.
- Een naam van je partner, familie, huisdier of een veelvoorkomende naam.
- Gelijk aan al je andere wachtwoorden.
- Een geboortedatum.
Kies ook voor een sterke gebruikersnaam
Voor de gebruikersnaam geldt hetzelfde als voor een sterk wachtwoord. Gebruik nooit de standaard admin of administrator gebruikersnamen en kies ook niet voor de hand liggende gebruikersnamen. Het is beter om een combinatie van cijfers, kleine- en hoofdletters en symbolen te gebruiken.
Dump direct de admin
Wanneer je WordPress installeert, dan maakt de installatie automatisch een hoofdbeheerder aan met de gebruikersnaam “Admin”. Dat weet iedere hacker. Natuurlijk moeten ze nu nog steeds het wachtwoord raden, maar het is al een stuk makkelijker voor de hacker als ze de gebruikersnaam weten. Delete daarom deze gebruiker meteen als je WordPress geïnstalleerd hebt. Maak wel eerst een nieuwe gebruiker aan met beheer rechten en test deze.
Zorg voor veilige webhosting
Naast een goede beveiliging van je website is goede webhosting erg belangrijk. Een goede webhost beveiligt namelijk ook de server en houdt in de gaten of je bezoekers niet stiekem hackers zijn. Vaak worden websites in een shared hosting omgeving geplaatst. Dit is één server waar meerdere websites op draaien. Als één van de website gehackt is, dan heeft de hacker in veel gevallen ook toegang tot de andere websites die op dezelfde server draaien.
Een goede webhost neemt beveiliging heel serieus en heeft zich hiertegen beschermd. Vraag er voor de zekerheid naar bij je webhost.
Maak regelmatig backups
Zorg dat je altijd backups maakt van je bestanden én van je database. Mocht je site toch gehackt worden, dan kan je altijd een backup terugzetten. Dit kan je zelf doen of bij een goede webhost, zoals Brand New Journey maken we dagelijks backups van de volledige omgeving. Deze kan in geval van nood kosteloos terug gezet worden.
Inlogscherm van WordPress beveiligen
WordPress heeft een standaard structuur en die kennen hackers ook. WordPress gebruikt, naast een standaard gebruikersnaam “Admin” voor de beheerder, ook een standaard URL om in te kunnen loggen op de backend van je website. Dit is standaard www.mijnbedrijf.nl/wp-login of www.mijnbedrijf.nl/wp-admin en is dus voor alles en iedereen makkelijk te bereiken.
Update regelmatig thema’s en plugins
WordPress gebruikt thema’s voor het uiterlijk en plugins voor extra functionaliteiten. Deze thema’s en plugins moeten door de gebruiker geüpdatet worden. Anders verouderen ze en worden beveiligingslekken niet gedicht. Dan zet je de deur wagenwijd open voor hackers. Update dus met regelmaat en verwijder thema’s en plugins die je niet gebruikt.
wp-content aanpassen
Wanneer je wordpress installeert, worden altijd dezelfde mappen aangemaakt en één daarvan is de wp-content map. Waarschijnlijk raad je het al, dit is de map waar o.a. alle plugins en thema’s in staan. Hackers gebruiken Google om te zoeken naar websites met een directory die wp-content heet. Dan weten ze namelijk dat je een wordpress site hebt en vervolgens kan de hack beginnen. Geef deze map daarom andere naam. Hierdoor maak je het de hacker moeilijker om deze te vinden. Niet onmogelijk, maar wel een heel stuk moeilijker.
Verwijder de error berichten
Bij het verkeerd inloggen op een WordPress site worden foutmeldingen getoond en met deze informatie krijgen hackers meer te weten over de verbindingen tussen de website en de database. Dit is weer een mogelijke ingang tot jouw website én database. Zet daarom de login foutmeldingen dus uit.
Hernoem de database tabellen
Eenmaal toegang tot jouw database weet de hacker vaak precies waar hij moet zoeken. De opbouw van een standaard WordPress database is namelijk altijd hetzelfde. Daarom kun je het beste de tabellen in de database hernoemen. Zo is het weer een stukje moeilijker voor de hacker om a) toegang te krijgen tot de database en b) te vinden waar hij naar op zoek is.
Zorg voor een dubbele aanmeld procedure (two-factor authenticate)
Veel hackers krijgen toegang tot je website door je gebruikers en password te achterhalen met een script. Met een two-factor authenticatie zorg je ervoordat een automatisch script niet meer werkt. De gebruiker moet dan naast zijn loginnaam en password ook een soort pincode invoeren die verzonden wordt naar zijn mobiele telefoon. Dit vraagt wel om een extra stap bij het inloggen, maar voorkomt veel zorgen.
Brute force protection
Hackers die alle mogelijke combinaties proberen om jouw gebruikersnaam en wachtwoord te achterhalen doen aan brute force hacking. Dit doen ze met een script dat vanaf 1 locatie veel ‘aanvragen’ verstuurd. Dit kun je tegengaan door gebruikers tijdelijk te blokkeren na drie inlogpogingen. Hiermee duurt het te lang voor een hacker om toegang te krijgen tot je website en zal het vervolgens sneller opgeven.
Heel veel mogelijkheden om je website te beveiligen. Wil jij weten of jouw website ook veilig is of wil je deze beter laten beveiligen? Neem dan contact op om een quickscan uit te laten voeren op jouw website.