29 dec 2023
- Een hackbot, wat is dat nou?
- WordPress beveiligen, dat doet mijn webbouwer toch?
- WordPress beveiligen, dat is iets voor mijn webhoster
- Waarom een hackbot het grootste risico vormt
- Hoe gaat een hackbot te werk?
- Hackbots veranderen continu
- Ik heb maar een kleine website!
- WordPress beveiligen tegen een hackbot, hoe werkt dat?
- WordPress beveiligen met een beveiligings-plugin
- Kan ik WordPress zelf beveiligen?
De meesten weten het niet, maar je moet WordPress beveiligen tegen hackbots en niet tegen die ene persoon die je website handmatig probeert te hacken! Waarom je WordPress moet beveiligen tegen hackbots en niet tegen hackers? Nou..
999.9% van alle aanvallen op WordPress websites worden door hackbots uitgevoerd, ze werken 24/7 zonder ophouden en werken vanaf iedere computer of server over de hele wereld
NOTE: We hebben het hier – op moment van schrijven – nog over de “gewone hackbot” dat werkt met een standaard script dat diverse tests uitvoert en bij succesvolle terugkoppeling een voorgeprogrammeerde aanval uitvoert. Het zal niet lang meer duren voordat hackbots bestaan uit een AI aangedreven bot die niet alleen test, aanvalt maar ook leert en verschillende keuze kan maken.
Met deze kennis op zak weet je dus waarom je nummer 1 prioriteit ligt in de beveiliging van je website tegen hackbots.
Een hackbot, wat is dat nou?
Een hackbot is in de basis een geavanceerd script wat geschreven is om andere websites te hacken.
Het script wordt uitgevoerd door een bot c.q. robot ofwel computer, meestal een server aangezien die verbinding heeft met het internet.
Hackbots kunnen zich 24/7 bezighouden met het speuren naar WordPress websites met bekende lekken in plugins, verouderde WordPress installaties, in thema’s en in de beveiliging.
WordPress beveiligen, dat doet mijn webbouwer toch?
Nee, de meeste webbouwers maken websites. Webbouwers zijn gericht op de vormgeving, op je content, en in het gunstigste geval installeren en configureren ze een gratis beveiligingsplug-in.
De meeste webbouwers gaan daarna door naar de volgende website terwijl doorlopend onderhoud en bescherming nodig is tegen hackbots.
WordPress beveiligen, dat is iets voor mijn webhoster
Nee, je webhoster is niet verantwoordelijk voor de sofware & plugins die je gebruikt. De webhoster zal je vrij laten om verouderde plugins te gebruiken, een lekke WordPress versie of thema’s die lek zijn.
Waarom een hackbot het grootste risico vormt
Een hackbot kan gemakkelijk 1000 aanvragen (lees aanvallen) per minuut op je website afvuren om zo lekken te testen. Waar een mens handmatig slechts 3-5 lekken per minuut kan testen als die heel snel typt 😉
Hoe gaat een hackbot te werk?
Een hackbot scant zoekmachines op websites die met WordPress gemaakt zijn, en kijkt daarna naar:
- Verouderde plugins met bekende beveiligingslekken
Plugins worden gecodeerd door derden, verschillende personen en soms hele teams. Niet iedereen is zich veiligheidsbewust waardoor hackers lekken ontdekken en misbruiken. - Gebruikersaccounts
Er wordt gekeken naar de auteurs, en de mogelijke wachtwoorden. Soms zijn die bij een lek naar buiten gebracht (Controleer hier) en in het ergste geval zijn het gemakkelijk te raden wachtwoorden middels brute-force aanvallen. - Thema’s
De zwakke punten in thema’s worden getest. Denk aan invoervelden, verouderde addons.
Als er beveiligingslekken gevonden zijn zal een hackbot een script afdraaien die specifiek voor zo’n lek geschreven is. Dat noemen ze een payload in de hackerswereld.
Hackbots veranderen continu
Dit maakt het enorm lastig voor webbouwers en andere dienstverleners zich richten op hun vakgebied en niet continu up-to-date blijven met de nieuwste veranderingen van hackbots.
Als hackers doorkrijgen dat hun hackbots niet meer door de beveiliging heenkomen passen ze de bots/scripts aan.
Ik heb maar een kleine website!
Dat is ook 1 van de verschillen tussen hackbots en mensen, een bot probeert ELKE website binnen te dringen. Hoe klein de website ook is.
Of je nu een lokale kapper, bakker of fietsenmaker bent.. voor een bot is iedere website er één die de bot graag overneemt
Dat terwijl een mens zich vaker richt op grote bedrijven of webshops zal richten.
WordPress beveiligen tegen een hackbot, hoe werkt dat?
Als je weet waar een hackbot naar kijkt, weet je ook wat je moet verbergen en hoe je de toegang moet blokkeren voor die nare hackbots:
- Je begint met het loggen van de aanvragen (aanvallen)
De aanvallen zijn meestal vrij willekeurig, in de zin dat er heel veel zwakheden uitgeprobeerd worden. Er worden aanvallen gedaan op plugins, op het thema en op wachtwoorden.
Deze pogingen moeten ge-logd worden, bij 10-20 pogingen kun je zeker zijn dat het een hackbot is en geen mens. Het loggen gebeurt onder andere op basis van de resultaten die de server terug geeft bij die willekeurige aanvallen. Die zijn meestal foutief, de zogenoemde 404 page not found resultaten zeggen veel over de aanvrager, of het een bot is of een mens. - Dan blokkeer je de hackbots op IP basis
Ieder apparaat, iedere verbinding heeft een uniek IP adres. Dat wordt dan geblokkeerd. Het wordt op de lijst gezet van risicovolle IP adressen na een bepaald aantal beland dat IP adres zelfs in de robots.txt om te zorgen dat het IP adres niet alleen geweigerd wordt ná de aanvraag maar zodat die zelfs geen aavraag meer op de server kan doen en zo de servercapaciteit niet kan verspillen.
Man wat is dat simpel! Loggen en blokkeren, Toch? Ik smijt er dan gewoon een beveiligingspluging in van iThemes Security, Securi, of WordFence.. wat? Ik gooi ze er alle 3 in!
WordPress beveiligen met een beveiligings-plugin
Een beveiligingsplugin installeren zal niet direct alle deuren sluiten voor hackbots. Er komt meer kijken bij het beveiligen van je WordPress website.
- Je moet de beveiliging van de server in orde hebben
In de meeste gevallen ligt deze verantwoordelijkheid bij je webhoster. Verzeker jezelf ervan dat je een goede webhoster hebt die de server up-to-date en veilig houdt. - Je moet stevige wachtwoorden gebruiken
Nee niet de naam van je kat met de postcode of je geboortedatum erachter 😉 - Je moet het gebruik van plugins beperken
Iedere plugin laadt code in waar lekken in kunnen ontstaan. - Je moet je website up-to-date houden
Je kunt de beveiliging nog zo streng afstellen, als een plugin verouderd en lek is kan een hackbot binnen 1-2 gerichte aanvallen in je website komen. Nog voordat de beveiliging aanslaat en hem blokkeert.
Kan ik WordPress zelf beveiligen?
Met de kennis die je nu hebt kun je WordPress een stuk beter beveiligen. Je weet waartegen je jouw WordPress website moet beschermen.
Toch is het een vak apart en zijn hackers er dagelijks over de hele wereld mee bezig om hackbots te maken die WordPress websites kunnen overnemen.
Zoals je ondertussen wel doorhebt zijn wij WordPress specialisten in de beveiliging! Je bent bij ons aan het juiste adres voor het beveiligen van je WordPress bedrijfswebsite.
Wil je jouw website laten beveiligen?
- Iedere maand updates
- Professionele beveiliging tegen hacks en bots
- Pro beveiligingsmodules
- Website scans
- Reputatie monitoring
- Veilige backups
- Error fix
- Uptime ondersteuning
- Geen zorgen meer over hacks, hackbots of malware!
Al voor 25 euro per maand!
hey wpbeveiligen. ik ben benieuwd of je hier antwoord op hebt, waarom doet wordpress niets tegen hackbots. ik bedoel dat is hun taak toch. ze weten dat de hackbots er zijn en dat ze wordpress ertegen moeten beschermen lijk me of niet dan
Hi Chalid, goede vraag! Daar zijn meerdere redenen voor, ik probeer ze zo duidelijk mogelijk uit te leggen.
WordPress zelf is veilig
Veilig in de zin dat hackbots er weinig grip op hebben. WordPress doet er alles aan het systeem zo veilig mogelijk te houden. Om die reden zal WordPress geen tegenaanval of logs inzetten om hackbots te registreren en tegen te houden, dat zou alleen maar voor extra belasting op de server zorgen en op de website.
Plugins veroorzaken de problemen
De vele gratis plugins (en zelfs sommige betaalde premium plugins) zijn verantwoordelijk voor 99% van alle lekken. WordPress is een veilig platform en geeft de pluginbouwer, websitebouwers en website-eigenaren alle vrijheid zonder daar tussen te komen. WordPress verschaft het platform, het is aan de pluginbouwers om de plugins veilig te maken en zo hackbots te weren, dit is iets waar WordPress zelf niet tussen gaat zitten.
Hopelijk is je vraag hiermee beantwoord, als je meer vragen hebt hoor ik het!
Hoe bepaal je of een webhoster goed is in het up-to-date en veilig houden van hun servers?
Hi emma, goede vraag. Niet iedere webhoster houdt zijn server up-to-date ook al zou je dat wel verwachten. Je kunt ervan uitgaan dat de grotere webhosters zoals Yourhosting, Transip etc met duizenden klanten de servers goed bijhouden. Maar dan is het alsnog goed om op te letten of de php ook bij blijft met de huidige veiligheidsstandaarden. Het komt vaak genoeg voor dat deze achter lopen bij bepaalde serveromgevingen wat alsnog een risico voor je website veroorzaakt.