Is antivirus voor WordPress wel nodig?
Als je WordPress zou gebruiken zonder plugins en met een uniek thema dat niet door 1000en andere gebruikt wordt is een antivirus voor WordPress haast niet nodig.
WordPress is een stabiel en redelijk veilig systeem om je website mee op te zetten.
Een antivirus voor WordPress is haast niet nodig
Het zijn de plugins die problemen veroorzaken
De plugins die je gratis op WordPress.org kunt downloaden worden ook door hackers gedownload. De hackers testen de plugins op lekken waarmee ze WordPress websites kunnen overnemen.
Als ze het beheer over je website hebben, plaatsen ze reclame voor hun eigen producten.
Hackers zijn niet selectief
Iedere website die kan linken naar hun website en producten, is een vooruitgang voor de status van hun website. Of je nu de bakker in een klein dorpje bent met een simpele WordPress website of een hondentrimsalon, het maakt de hacker niet uit. (Vooral aangezien die vaak een script schrijft dat geautomatiseerd te werk gaat)
Hackers misbruiken je gehackte website voor:
- Het versturen van spam (mails) via jouw server en IP adres
- Het plaatsen van links in je pagina’s zodat ze meer bezoekers krijgen
- Het plaatsen van links naar producten van de hackers zodat hun website stijgt in de Google resultaten (Een grove manier van backlink SEO)
Hou hackers tegen met antivirus voor WordPress
Wat Antivirus voor WordPress voor je WordPress website doet:
- Antivirus voor WordPress zal Brute-Force aanvallen tegenhouden, dit zijn scripts die een computer aansturen om 1000-en wachtwoorden per minuut op je admin af te vuren om zo na een geruime tijd je website binnen te kunnen dringen met het juiste wachtwoord.
- Antivirus voor WordPress zal database backups maken, mocht er iets verkeerd gaan en een hacker in je admin kan komen kun je de backup terugzetten.
- De Antivirus voor WordPress zorgt ervoor dat je standaard url wp-admin verborgen wordt en andere links om je admin te bereiken ook.
- De Antivirus voor WordPress beheert ook het gebruikersgedrag voor je, en zorgt ervoor dat jij en je schrijvers goede wachtwoorden moeten gebruiken. De release van WordPress van de afgelopen maand heeft een nieuwe functie gekregen waardoor je e-mailadres niet standaard gebruikt zal worden voor het inloggen op je admin panel. (Een nieuwe functie van WordPress waar wij zeer tegen zijn in verband met de veiligheid)
- DDOS aanvallen die uitgevoerd worden middels de XML-RPC kunnen tegengehouden worden. Zodat pingbacks niet misbruikt worden om andere sites plat te leggen.
En goede antivirus voor WordPress is de iThemes Security Pro
“Antivirus voor WordPress zal database backups maken” Zijn daar niet andere geschikte programma’s voor? Met meer mogelijkheden. Bijvoorbeeld het opslaan van backups in de Cloud? Als de server gehackt wordt, heb je dan nog wat aan de backups die op de server staan?
Updraftplus is een goede om backups te maken waarbij de mogelijkheid bestaat om ze op diverse cloudlocaties op te slaan.
Wij maken overigens backups die naar een externe data-kluis gaan. Zekerheid voor alles 🙂
Dank je voor de aanvulling, wij zijn het met je eens dat WordPress out of the box niet geheel waterdicht is. Zeker voor de hackers die een stapje verder gaan dan alleen het uitdraaien van een script en de know-how hebben hoe ze bepaalde zwakheden van WordPress kunnen benutten.
Hee Mathieu,
“Als je WordPress zou gebruiken zonder plugins en met een uniek thema dat niet door 1000en anderen gebruikt wordt is een antivirus voor WordPress haast niet nodig.”
Ik durf rustig te stellen dat WordPress core out-of-the-box altijd kwetsbaar is !
En daarom is aanvullende security ALTIJD nodig ongeacht thema of plugin(s).
(En ja plugins en thema’s maken het probleem wel erger).
Een voorbeeld.
Standaard kan iedereen met een aantal algemeen bekende URLs het WordPress Dashboard login scherm benaderen. Je zou denken nou en ? Gebruik een sterk wachtwoord dan is er niks aan de hand.
Stel dat iemand je gebruikersnaam en wachtwoord achterhaald (WordPress zelf is nota bene van mening dat gebruikersnamen niet geheim hoeven te zijn! De situatie is vanaf WordPress 4.5.x zelfs verergerd met de introductie van email login). Dan hoeft deze persoon alleen maar naar wp-admin of wp-login.php te gaan, gebruikersnaam (of email adres) en wachtwoord in te vullen en hopla toegang.
De meest gemaakte fout is te vertrouwen op alleen een gebruikersnaam en (sterk) wachtwoord. De tijd heeft geleerd dat een op gebruikersnaam en wachtwoord gebaseerd authenticatiesysteem kwetsbaar is. Daarom zijn er continu vernieuwingen op dit gebied. Denk maar aan 2-factor authenticatie of toegang mbv vingerafdruk of irisscan.
WordPress bied je echter out-of-the-box geen instelling om het WordPress Dashboard (of “Wachtwoord vergeten?” link) af te schermen. Om het aanvalsoppervlak te verkleinen zou dit wel het geval moeten zijn.
Ander voorbeeld. Ik ken een website die een database-search-en-replace script in de root van hun WordPress install rond lieten slingeren (gevonden mbv WPScan).
Met dat script kon een aanvaller heel eenvoudig het email adres van de admin gebruiker in de database aanpassen.
Omdat zij (lees WordPress) hun WordPress Dashboard niet afschermden kon diezelfde aanvaller vervolgens de “Wachtwoord vergeten?” link benaderen om het wachtwoord te wijzigen.
Tenslotte kon de aanvaller simpel inloggen.
Als het WordPress Dashboard (en dus ook het “Wachtwoord vergeten?” linkje) afgeschermd was geweest had een dergelijke aanval niet kunnen plaatsvinden !
Vertrouw dus niet blindelings op een gebruikersnaam en wachtwoord. Ga ervan uit dat aanvallers deze gegevens op de een of andere manier ooit weten te achterhalen (wellicht zelfs via brute force, een andere WordPress kwetsbaarheid). En gebruik dat gegeven als basis voor het inrichten van je beveiliging.
Het simpele feit dat standaard iedereen het WordPress Dashboard login scherm kan benaderen is een beveiligingsrisico. Daarom is WordPress core out-of-the-box kwetsbaar.
Als je kritisch naar WordPress core kijkt dan zijn er naast standaard toegang tot het WordPress Dashboard login scherm nog een aantal andere onderdelen die kwetsbaar zijn en die je mbv een beveiligingsplugin prima kunt oplossen.
Met het installeren van een beveiligingsplugin pas je feitelijk een vorm van WordPress core hardening toe.
WordPress + (juist geconfigureerde EN veilige) Beveiligingsplugin = WordPress core hardening