WordPress beveiligen
Leestijd:
4 minuten
Leesniveau:
Onbekend
Waardering:

WordPress, een feest voor de eigenaar en hacker

Ik programmeer sinds het begin van WordPress, dat wil zeggen sinds dat WordPress 2-3 jaar oud was. Ja dit is al weer 11 jaar geleden aangezien de eerste 1.0 variant van WordPress op 3 januari 2004 te downloaden was.

In die tijd (2002-2004) had je Drupal, Joomla, Mambo en WordPress. Ze vroegen nog aan mij: Zou je niet aan Mambo beginnen? Mambo heeft de toekomst.

En ze hadden gelijk, CMS heeft de toekomst. Echter heeft WordPress dit zeer goed opgepakt en om die reden ben ik na 2-3 jaar met WordPress aan de slag gegaan.

Wat is WordPress?

WordPress is een open source script dat in het begin vooral personen ondersteunde die blogs wilden beginnen, maar de kracht van WordPress en het bedrijf achter WordPress (Automattic) was groter dan een “blogje”.

In 2005 ging veranderde dit blog systeem langzaam naar CMS. CMS betekend Content Management Systeem.
Kortom buiten alleen een stukje tekst werd WordPress langzaam een systeem dat ook content ging ondersteunen. Denk hierbij aan Afbeeldingen, foto-albums, videos, code en meer!

WordPress heeft elk jaar een grote sprong voorwaarts gemaakt en mag zich nu 1 van de grootste CMS-en noemen die er zijn.

Hoge bomen vangen veel wind

Wie opvalt, boven het maaiveld uitsteekt heeft daar niet alleen voordelen van maar ook nadelen. 1 nadeel bij WordPress is dan ook dat veel hackers zich hebben gericht op dit Open Source systeem.

Open source betekend dat de code voor iedereen beschikbaar is, gratis en met het recht om het aan te passen.

Aangezien iedereen dit geweldige systeem kan gebruiken. En WordPress over meer dan 38.347 gratis plugins beschikt in de comunity kun je begrijpen dat dit niet alleen populair is bij de gebruikers maar ook bij de hackers.

De hackers kunnen elk gewenste plugin testen op lekken en deze gebruiken om de WordPress websites te hacken.

Is hacken zo gemakkelijk?

Nee, je hackt niet zomaar een website of een plugin. Maar als je een doorgewinterde programmeur bent die PHP/HTML en MySql beheert… tja dan kun je me de informatie van de database en schrijfrechten een lek vinden.. en na lang zoeken een mogelijkheid om via een functie meerdere ongewenste acties uit te voeren binnen WordPress.

de hacker

Je zou denken dat er niet zoveel knappe koppen zijn die zoeken naar een lek in een plugin waarmee ze hun spam/reclame kunnen verspreiden maar aangezien WordPress gratis te downloaden is voor iedereen op de gehele wereld en er best veel personen zijn die werkeloos zijn, hele slimme personen die ook hun gezin te eten moeten geven en met met hun ICT opleiding meer kunnen dan alleen thuis zitten. In tijden van armoede in een land wordt iedere nette burger met opleiding misschien wel een schrijver van scripts die veel geld kunnen opleveren en zo een gezin kunnen onderhouden.

Hoe kun je een knappe kop kunt tegenhouden..

Wat een hacker vaak wil doen is het inzetten van injecties in de database via de browser, of het plaatsen van bestanden die mails versturen voor zijn product.

Als je weet wat de lekken zijn in plugins weet je ook wat je moet doen om ze tegen te houden.

Hier ben ik in gespecialiseerd. Ik zorg ervoor dat:

  1. De navigatie-balk geen injecties toelaat
  2. Dat bestanden niet te her-schrijven zijn
  3. Dat bestanden niet zomaar op de server gezet kunnen worden
  4. Een user niet zomaar in de database te zetten is en user-1 niet zomaar te misbruiken is
  5. Dat je een backup hebt van je database en bestanden
  6. Dat een hacker niet zomaar de readme bestanden kan lezen om te ontdekken welke WordPress variant je hebt
  7. Dat de wp-content mappen niet uit te lezen zijn en plugins/uploads mappen niet verkeerd gebruikt kunnen worden
  8. Dat je plugins ge-update worden tijdens de beveiliging en geen gevaar vormen
  9. Dat lekke plugins vervangen worden door andere of niet meer in gebruik gesteld worden
  10. Dat gebruikersnamen en wachtwoorden niet te gemakkelijk te raden zijn voor bots
  11. Dat een brute-force attack niet op je admin uitgevoerd kan worden
  12. Dat gebruikers en bots niet meer als 5 pogingen mogen doen om in te loggen

Dat is wat WPbeveiligen doet!

Wat vindt je van dit artikel?

Vergeet niet te delen

1
Reactie
Reageer of stel een vraag
  1. Avatar
    Bernd zegt:

    je heb van die scriptkiddies die zijn 14 jaar en halen een script van internet die ze uitvoeren waarmee ze gemakkelijk je website kunnen hacken tenminste dat heb ik gehoord

    Beantwoorden

Deel je mening of stel een vraag:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *