Featured image for Interview Van Ryan Dewhurst (WPScan) & Mark van WordFence over de veiligheid van je WordPress website in category BEVEILIGEN

Interview Van Ryan Dewhurst (WPScan) & Mark van WordFence over de veiligheid van je WordPress website

/3 Reacties/in , , ,

Ryan Dewhurst is de bedenker en oprichter van WPScan, in dit interessante interview met WordFence legt hij uit wat WPScan kan en wat dat betekent voor de veiligheid van WordPress.

Wat is WPScan?

WPScan is een programma dat draait in Linux (Momenteel standaard geïnstalleerd in Kali Linux) waarmee je de veiligheid van je WordPress website kunt testen.

WPScan geeft je de mogelijkheid de volgende veiligheidstests te doen waarbij zowel informatie als zwakheden tevoorschijn komen:

  • Gebuikersaccounts
    WPScan zal pogingen doen voor het extraheren van gebruikersnamen/accounts.
    Een gebruikersnaam is 50% van de benodigde logingegevens om in het WordPress administratiepanel te komen.
  • Brute force tests op wachtwoorden
    Met een flinke woordenlijst vuurt WPScan allemaal wachtwoorden op de website af. Wanneer het juiste wachtwoord geraden is zul je dit resultaat zien.
  • Het checken van de actieve plugins
    Zowel de plugins als de versie van de plugin + de bekende lekken voor die versie worden vertoond.
  • WordPress lekken
    Op 6 manieren wordt de actuele versie van WordPress opgezocht.
    Als er lekken zijn in de betreffende versie worden die direct weergegeven.
  • En meer..

Met WPScan kom je erachter waar je website lek is en welke stappen je moet ondernemen om je website veiliger te maken.

WPScan wordt een pen-test genoemd. Dit is een afkorting van “penetration test”. Kortom: hoe ver komt een hacker of hackbot in je website.

Het begin van WPScan

WPScan is in 2011 opgericht als tool om WordPress websites te testen op hun veiligheid.

In 2014 is daar de website wpvulndb.com bijgekomen, een openbare website waarop iedereen gemakkelijk kan zien welke plugins, thema’s of WordPress core lekken (exploits) bevat.

WordFence en WPScan

WordFence, die een gerenommeerde beveiligingsplugin voor WordPress ontwikkeld heeft, maakt al een ruime tijd gebruik van WPScan om WordFence te verbeteren. Ze kijken hierbij naar de zogenoemde exploits (uit te buiten zwakheden) die WPScan aangeeft.
Tevens gebruiken ze de informatie van wpvulndb.com om te zien welke plugins lek zijn.

Tips van een beveiligingsexpert

Je kunt je beschermen tegen hackbots en hackers die diverse methodes gebruiken om je website te hacken.
De 3 belangrijkste somt Ryan Dewhurst op in het interview:

  1. Beperk het aantal administratoren die je website kunnen beheren
  2. Gebruik goede wachtwoorden
  3. Installeer een beveiligingsplugin zoals bijvoorbeeld WordFence

Aanvulling: het gebruik van een beveiligingsplugin zorgt ervoor dat hackers weinig informatie uit je website krijgen. De aanvragen van hackbots worden geblokkeerd op basis van patronen, de specifieke query’s en op basis van het aantal aanvragen.

Wij gebruiken zelf iThemes Security PRO, maar raden iedereen aan die nog geen klant van ons is: zet minimaal 1 beveiligingsplugin in je website en configureer die beveiligingsplugin goed. Zonder beveiligingsplugin is je WordPress website een open deur waar net zo lang aan gerammeld kan worden totdat een hacker in het admin kan komen met en malware kan plaatsen met alle gevolgen van dien.

Het interview

Als je de Engelse taal beheerst kun je het volledige interview zien.

https://youtu.be/uiN1j3BvqIc

Is de video niet meer beschikbaar? Laat het even weten info[a]wpbeveiligen.nl dan zoeken we een alternatief op youtube.

Misschien ook iets voor u
Featured image for 10 redenen waarom je vrolijk wordt van WordPress in category BASE10 redenen waarom je vrolijk wordt van WordPress
Featured image for WordPress hacken, kinderspel? in category BEVEILIGENWordPress hacken, kinderspel?
Featured image for Een hack in de uploads mappen van WordPress vinden in category ANTIVIRUSEen hack in de uploads mappen van WordPress vinden
Featured image for Waarom zou een hacker mijn website gehackt hebben? in category HACKERSWaarom zou een hacker mijn website gehackt hebben?
Featured image for Starten met WordPress in category BEVEILIGENStarten met WordPress
Featured image for Het succes van Ithemes Security in category BEVEILIGENHet succes van Ithemes Security
Featured image for Het verschil tussen WordFence en Ithemes security en Sucuri in category BEVEILIGENHet verschil tussen WordFence en Ithemes security en Sucuri
Featured image for Kunnen jullie beveiliging op maat leveren? in category BASEKunnen jullie beveiliging op maat leveren?
  • Richard says:
    2 December 2019 at 19:36

    Kali Linux kan je downloaden als iso bestand. Als je dan Kali Linux bijvoorbeeld in Virtualbox installeert, is het dan te doen om dan zelf de scan uit te voeren? Ik ga het in ieder geval proberen. Mocht het lukken dan laat ik het jullie wel weten.

    Reply
  • Remco says:
    17 April 2020 at 08:49

    Ik lees ook wel eens dat als je je website goed in de gaten houdt en alles regelmatig update, dat een beveiligings plug niet nodig is. Op Facebook lees ik vaak dat bij iemand een site gehackt is. Dan gaat het bijna altijd over thema’s en plugins die al lang niet meer geupdate zijn. Komt het toch voor dat sites die regelmatig geupdate worden toch gehackt worden?

    Reply
    • WPbeveiligen says:
      20 April 2020 at 06:39

      Soms wordt een website die ge-update is ook gehackt. In 99% van de gevallen door een script/malware dat een lek heeft gevonden in de nieuwste update. Beveiliging is daarom belangrijk, wanneer beveiliging ingezet wordt worden veelgebruikte methodes geblokkeerd voor hackers en scripts.
      Een veelgebruikte methode is bijvoorbeeld injecties in de url/navigatiebalk of via de input velden, die worden door de beveiligingsplugins geblokkeerd, wanneer een plugin dan onjuiste code hanteert die ook in de laatste update gebruikt wordt is het de beveiligingsplugin die je website beschermt tegen injecties en malware.

      Reply