Wordpress security

Tips om een gehackte WordPress website te voorkomen in 2017


Het kan zomaar gebeuren, bij het openen van je WordPress website wordt je direct doorgestuurd naar een wel heel dubieuze site vol naakte vrouwen. Je ziet grote aantallen bezoekers uit bijvoorbeeld China in je statistieken. Of je krijgt melding dat er vanaf je website vele spam e-mails worden verstuurd. Al snel wordt het duidelijk: je site is gehackt. Als je niet de juiste voorzorgsmaatregelen treft is je WordPress site al snel de pineut. Elk uur zijn er maar liefst 7,5 miljoen aanvallen op WordPress websites! Wij leggen je uit hoe je site ten prooi valt.

Waarom worden WordPress websites gehackt?

Veruit de belangrijkste motivatie voor het hacken van een website is geld verdienen. Middels spam en/of vele links worden websites rondom gokken, pornografie en illegale geneesmiddelen gepromoot of hoger in de zoekresultaten gepushed. Beide resulteren als het goed is in inkomsten voor de hacker.

Een andere reden is het feit dat WordPress een open source systeem is. Wereldwijd werken duizenden ontwikkelaars – de community – mee aan WordPress, vooral om het te verbeteren. Het nadeel hiervan is dat de broncode (source) openbaar is, dus ook voor kwaadwillenden. Hierdoor kunnen hackers eenvoudiger een lek in de broncode vinden en misbruiken.

Je snapt, niets is zo belangrijk als het updaten en goed beveiligen van je WordPress website. Onderstaande tips bieden een oplossing bij een gehackte website en zorgen er voor dat hackers buiten de deur blijven!

Waarom hackers WordPress hacken

Tips bij & tegen een gehackte WordPress website in 2017

Bij een gehackte WordPress website

  1. Voordat je begint met het herstel van je website scan je eerst je eigen pc op malware. Dit doe je met een malware scanner, bijv. MalwareBytes of AVG Antivirus. De oorzaak van de hack kan namelijk aanwezig zijn op je computer zelf.
  2. Sluit de deuren van je website, hackers kunnen namelijk je website opnieuw besmetten tijdens het verhelpen van de hack. Dus zorg dat je WordPress website tijdelijk niet toegankelijk is van buitenaf. Dit kan via het controlepaneel van je hostingpartij, of je vraagt je hostingpartij hierbij te helpen.
  3. Vervolgens kun je de hack het beste oplossen door het terugzetten van een volledige backup. Zorg dat je een volledige backup terugzet, malware kan namelijk in meerdere bestanden binnen WordPress verwerkt zijn. Kies een backup die voor de hack zit, soms is een hack al weken aanwezig voor het zich pas uit. Nu heb je de hack in principe opgelost maar is je website nog niet beschermd! Loop hiervoor onderstaande tips door.
  4. Gelukt? Mooi! En dan nu snel door naar de volgende lijst om  te zorgen dat dit niet meer gebeurt.

Voorkom een gehackte WordPress website

  1. Blijf up-to-date
    Zorg dat WordPress, alle geïnstalleerde plugins en thema’s geupdatet zijn naar de laatste versie. Controleer regelmatig of er updates beschikbaar zijn. Wij raden aan om minimaal maandelijks te updaten.
    WordPress updates
  2. Gebruik sterke wachtwoorden
    Zorg voor het gebruik van sterke wachtwoorden op alle accounts: WordPress, database, FTP-account, hosting controlepaneel, etc. Gebruik hiervoor sterke wachtwoorden: bijvoorkeur 16 karakters lang, kleine letters, hoofdletters, cijfers en speciale karakters door elkaar. Indien je site gehackt was, wijzig deze allemaal. Je weet namelijk niet via welk account ze zijn binnen gekomen. Genereer zelf een sterk wachtwoord online.
  3. Gebruik sterke wachtwoorden
    Echt, we kunnen het niet vaak genoeg zeggen. Gebruik sterke wachtwoorden!
  4. Pas je wp-admin URL aan
    Inloggen op WordPress kan standaard via /wp-admin. Door deze aan te passen sla je een groot gedeelte van de potentiele geautomatiseerde aanvallen af. Een plugin als iThemes Security kan hierbij helpen.
  5. Verwijder admin of ongebruikte accounts
    Gebruik geen gebruikersnamen als admin, administrator of beheerder. Dit maakt de kans dat bij een brute force aanval direct de juiste gebruikersnaam gebruikt wordt vele malen kleiner. Zorg ook dat je alleen accounts aanmaakt voor gebruikers die dit echt nodig hebben. En vergeet tip 2 niet.
  6. Verberg je WordPress versie
    Standaard toont WordPress in de code altijd de versie. Dit stukje code is voor iedereen zichtbaar, dus ook voor mensen die het minder goed voor hebben met je site. Verbergen dus. Je moet hiervoor wel de code in. Open in de themes-map het bestandje functions.php en voeg hier de regel remove_action('wp_head', 'wp_generator'); toe.
  7. Verander tabel prefix
    In de database tabellen gebruikt WordPress een standaard prefix van wp_. Bij een nieuwe installatie is het aan te raden deze direct aan te passen naar een afwijkende prefix. Heb je al een site? Pas deze dan handmatig aan of gebruik een plugin. Verwijder/deactiveer de plugin na afloop. Je hebt de plugin namelijk niet meer nodig en zo voorkom je mogelijke hacks.
  8. Security & Firewall plugin
    Installeer een security & firewall plugin zoals bijv. Wordfence Security of All In One WP Security & Firewall. Hiermee kan je je website scannen op kwetsbaarheden, deze ook verhelpen maar hij houdt ook ongewenste inlogpogingen tegen. Vaak hebben de plugins een gratis versie en kan je upgraden voor nog meer functies en extra veiligheid. Informeer ook bij je hostingpartij of er al een goede firewall is geïnstalleerd op de webserver.
  9. Maak backups
    Maak met regelmaat backups van je WordPress website. Zorg voor een complete backup van server en database. Bij regelmatig backuppen kun je bij een hack een recente en ‘schone’ backup terugzetten. Eerder genoemde plugins hebben de mogelijkheid tot het maken van backups.
  10. Installeer betrouwbare plugins
    Installeer uitsluitend ondersteunde plugins van betrouwbare ontwikkelaars. Onveilige en niet meer ondersteunde plugins worden veelvuldig gebruikt door hackers! Een goede indicatie voor een betrouwbare plugin is te bekijken wanneer de plugin voor het laatst is geüpdatet, hoe de plugin beoordeeld wordt en of er veel actieve gebruikers zijn. Daarnaast zijn er plugins die controleren op gebruik van kwetsbare plugins.

    Laatste update WordPress plugin
    Rechts op de WordPress.org website wordt bij een plugin informatie gegeven over de laatste update en het aantal actieve installaties.
  11. Maak gebruik van SSL
    Maak voor je website gebruik van een SSL verbinding. Dit betekent dat al het verkeer tussen de webserver en jouw bezoeker versleuteld is. Als webverkeer afgeluisterd wordt, moet het vervolgens eerst ontsleuteld worden. Een SSL certificaat hoeft niet duur te zijn. Met Let’s Encrypt kan het zelfs gratis.
    Uitgebreide validatie SSL
  12. Huur een expert in
    Geen tijd of verstand van zaken? Iedereen z’n vak. Geef het onderhoud en de beveiliging van je WordPress website uit handen! Iedere goede webpartner – bijvoorbeeld Gillz – kan dit voor je verzorgen middels een onderhoudscontract ook wel Service Level Agreement (SLA) genoemd. Dan weet je zeker dat je WordPress website altijd up-to-date en beveiligd is. Daarnaast kan je webpartner snel schakelen bij een eventuele hack!

WordPress website onderbrengen bij Gillz?

Breng het onderhoud van je website onder bij een WordPress expert. Dit kan bij Gillz vanaf €37,50 per maand excl. btw. Op vaste tijdstippen voeren wij updates & backups uit en zorgen wij dat je website constant gemonitord wordt op een juist functioneren.

Geïnteresseerd in de diensten van Gillz? Neem gerust contact op over de mogelijkheden!


Bob van der Panne - Commericeel Directeur
Meer weten?

Sparren over de mogelijkheden of een kostenindicatie? Mail Bob van der Panne of bel 06 18 488 698.