wpscan is de tool om wordpress te testen op beveiligingslekken
Leestijd:
3 minuten
Leesniveau:
Onbekend
Waardering:
3.8
(4)

Interview Van Ryan Dewhurst (WPScan) & Mark van WordFence over de veiligheid van je WordPress website

Ryan Dewhurst is de bedenker en oprichter van WPScan, in dit interessante interview met WordFence legt hij uit wat WPScan kan en wat dat betekend voor de veiligheid van WordPress.

Wat is WPScan?

WPScan is een programma dat draait in linux (Momenteel standaard geïnstalleerd in Kali Linux) waarmee je de veiligheid van je WordPress website kunt testen.

WPScan geeft je de mogelijkheid de volgende veiligheidstests te doen waarbij zowel informatie als zwakheden tevoorschijn komen:

  • Gebuikersaccounts
    WPScan zal pogingen doen voor het extraheren van gebruikersnamen/accounts.
    Een gebruikersnaam is 50% van de benodigde logingegevens om in het WordPress administratiepanel te komen.
  • Brute force tests op wachtwoorden
    Met een flinke woordenlijst vuurt WPScan allemaal wachtwoorden op de website af. Wanneer het juiste wachtwoord geraden is zul je dit resultaat zien.
  • Het checken van de actieve plugins
    Zowel de plugins als de versie van de plugin + de bekende lekken voor die versie worden vertoond.
  • WordPress lekken
    Op 6 manieren wordt de actuele versie van WordPress opgezocht.
    Als er lekken zijn in de betreffende versie worden die direct weergegeven.
  • En meer..

Met WPScan kom je erachter waar je website lek is en welke stappen je moet ondernemen om je website veiliger te maken.

WPScan wordt een pen-test genoemd. Dit is een afkorting van “penetration test”. Kortom: hoe ver komt een hacker of hackbot in je website.

Het begin van WPScan

WPScan is in 2011 opgericht als tool om WordPress websites te testen op hun veiligheid.

In 2014 is daar de website wpvulndb.com bijgekomen, een openbare website waarop iedereen gemakkelijk kan zien welke plugins, thema’s of WordPress core lekken (exploits) bevat.

WordFence en WPScan

WordFence, die een gerenommeerde beveiligingsplugin voor WordPress ontwikkeld heeft maakt al een ruime tijd gebruik van WPScan om WordFence te verbeteren. Ze kijken hierbij naar de zogenoemde exploits (uit te buiten zwakheden) die WPScan aangeeft.
Tevens gebruiken ze de informatie van wpvulndb.com om te zien welke plugins lek zijn.

Tips van een beveiligingsexpert

Je kunt je beschermen tegen hackbots en hackers die diverse methodes gebruiken om je website te hacken.
De 3 belangrijkste somt Ryan Dewhurst op in het interview:

  1. Beperk het aantal administratoren die je website kunnen beheren
  2. Gebruik goede wachtwoorden
  3. Installeer een beveiligingsplugin zoals bijvoorbeeld WordFence

Aanvulling: het gebruik van een beveiligingsplugin zorgt ervoor dat hackers weinig informatie uit je website krijgen. De aanvragen van hackbots worden geblokkeerd op basis van patronen, de specifieke query’s en op basis van het aantal aanvragen.

Wij gebruiken zelf iThemes Security PRO, maar raden iedereen aan die nog geen klant van ons is: zet minimaal 1 beveiligingsplugin in je website en configureer die beveiligingsplugin goed. Zonder beveiligingsplugin is je WordPress website een open deur waar net zo lang aan gerammeld kan worden totdat een hacker in het admin kan komen met en malware kan plaatsen met alle gevolgen van dien.

Het interview

Als je de Engelse taal beheerst kun je het volledige interview zien.

https://youtu.be/uiN1j3BvqIc

Is de video niet meer beschikbaar? Laat het even weten info[a]wpbeveiligen.nl dan zoeken we een alternatief op youtube.

Hoe nuttig was dit artikel?

Vergeet niet te delen

0
Reacties

Deel je mening of stel een vraag:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *