Je zal denken, mijn site, die is het toch helemaal niet waard om te worden aangevallen. Jammer, helaas, maar sinds pak ‘m beet 2012 wordt elke site en elke server continu aangevallen. Ze nemen wordpress-installaties over, voorzien deze van wat extra code en gebruiken de site weer om nog meer slachtoffers te maken. Hoe timmer je de zaak nu dicht?

Kies niet-standaard gebruikersnamen

In de goede oude tijd noemde de WP-Installer de eerste gebruiker gewoon admin. En oke, dat kon toen nog. Handig, als je aanvaller bent en de username is alvast bekend! Beter om een andere naam te kiezen en liefst niet eentje die hetzelfde is als de site-naam zelf.

Gebruik alleen fatsoenlijke plugins en thema’s

Kies alleen plugins en thema’s van makers die je vertrouwt en die nog steeds met nieuwe versies komen. Geen ouwe zooi! Let op de beoordelingen.

Update op tijd

Hou je installatie in de gaten. Doe netjes de updates, binnen een paar dagen na een release. WordPress update zichzelf (de code) wel automatisch bij kleinere updates. Grote updates en de updates van thema’s en plugins moeten meestal gewoon met de hand. Bijhouden!

Inbrekers gebruiken meestal exploits die al lang, lang geleden zijn uitgekomen maar die jij (of een andere beheerder) hebt verzuimd te updaten. Het komt voor dat ze een zero-day exploit hebben (eentje die nog niet op internet is gezien) maar tegen deze hele goede inbrekers (de geheime dienst zelf, hallo!) kun je je uiteindelijk toch niet beschermen.

Actief aanvallers blokkeren

Er zijn volop plugins die aanvallen op je systeem kunnen detecteren en uitschakelen. Bij WPvoorhetOnderwijs gebruiken we hiervoor Wordfence. Deze is op Netwerkniveau standaard geactiveerd en ingericht. Hij kan o.a.

  • bij een bepaald aantal mislukte logins: blokkeren.
  • bij verouderde thema’s of plugins: je waarschuwen.
  • veranderingen detecteren aan – dus mogelijk gehackte – bestanden in wordpress of thema’s en plugins
  • een wekelijks overzicht sturen van aanvallen

Wil je extra bescherming, koop dan de premium versie van Wordfence. Wij doen het nog wel even met de gratis versie.

Broncode van een door hackers geplaatst bestand in een wordpress installatie
Je wordpress beschermen tegen aanvallers
Getagd op: