WordPress: zijn grootste kracht is ook zijn grootste zwakte

Tobias Schüring Laatst bijgewerkt op 21.01.2020
8 Min.
Hoe veilig is WordPress

Hoe veilig is WordPress ? Niet echt, want er zitten een aantal ernstige kwetsbaarheden in. En omdat meer dan 28 procent van het internet momenteel op WordPress draait, is het een geliefd doelwit voor aanvallen. Het goede nieuws: de belangrijkste kwetsbaarheden kunnen heel gemakkelijk worden weggewerkt.

Het mooie van WordPress is dat iedereen het kan gebruiken. In feite, alles wat je nodig hebt is een internetverbinding en je bent klaar om te gaan. De situatie is heel anders met WordPress beveiliging. Misschien ook gewoon vanwege niet alle gebruikers zijn bezorgd over hoe veilig WordPress eigenlijk is uit de doos.

Hoe dan ook, ondanks zijn grote troeven - de ongelooflijke waaier van functies en de diverse ontwerpen - is WordPress over het algemeen erg onveilig. De modulaire structuur biedt enorme aanvalsmogelijkheden. En natuurlijk maken hackers hier ook misbruik van. En ze doen dat automatisch, de klok rond, 365 dagen per jaar.

Maar maak je geen zorgen: deze ingebouwde zwakke punten van WordPress kunnen heel gemakkelijk worden weggewerkt. En eerst en vooral volledig zonder bijkomende beveiligingPlugin.

Natuurlijk, ik wil je niet van je veiligheidsplugin afpraten. Het kan zelfs heel zinvol zijn. Maar het beveiligen van uw WordPress site is niet klaar met de installatie ervan. En voordat je gaat schaduwboksen met pseudo-dreigingen, is het zinvoller om de basiszwakheden van WordPress te compenseren.

In detail, vandaag hebben we te maken met

"Maar mijn site is helemaal niet interessant voor hackers".

Vergist u zich niet: deze veronderstelling is gewoon onjuist. Elke WordPress site is waardevol voor aanvallers. Bijvoorbeeld als spamspinner, onderdeel van een botnet of advertentieplatform voor phishingsites.

En in geval van twijfel, het maakt de aanvaller niet uit hoe klein, nieuw of weinig bezocht uw site is. Want uiteindelijk zijn u en uw bedrijf de dupe. Zo kan het gebeuren dat uw nieuwsbrief als spam wordt geclassificeerd, dat gebruikers worden gewaarschuwd om uw site niet te bezoeken en dat uw Google-ranking eronder lijdt omdat uw site staat op de zwarte lijst.

Wat ik wil zeggen is dat alleen al door de populariteit en de verspreiding van WordPress , WordPress sites een dankbaar doelwit zijn. Ongeacht hun inhoud en doel.

Het WP admin gedeelte is bijzonder kwetsbaar

Standaard is de inlogpagina toegankelijk via het achtervoegsel "wp-admin". Daarom is het vaak het doelwit van aanvallen - bv. de zogenaamde Brute Force -aanvallen. Deze aanvallen behoren tot de meest voorkomende hacks tegen WordPress pagina's. Dit komt omdat zij zeer gemakkelijk te automatiseren zijn. Bij een Brute Force -aanval probeert de aanvaller in feite de juiste combinatie van gebruikersnaam en wachtwoord te raden. Dus als het wachtwoord zwak is, of het inloggebied niet beschermd is, kan een Brute Force aanval ofwel slagen - en de aanvaller kan succesvol inloggen op uw WP - of het massale aantal inlogpogingen kan uw site lamleggen.

Wordfence, de bekende fabrikant van de gelijknamige beveiligingPlugins, registreerde alleen al in maart gemiddeld 34 miljoen Brute Force aanvallen - en dat is dagelijks. Ter vergelijking: de zogenaamde "complexe aanvallen", d.w.z. aanvallen waarbij gebruik wordt gemaakt van specifieke zwakke plekken in de beveiliging, bedragen 3,8 miljoen aanvallen per dag.

Statistieken over Brute Force aanvallen geteld door Wordfence in maart 2017
Uit het verslag van maart van Wordfence blijkt: De fabrikant van de plugin kon een gemiddelde van ongeveer 34 miljoen Brute Force aanvallen per dag registreren. Er waren er bijzonder veel in het midden van de maand.

Maar aangezien Wordfence alleen aanvallen telt die door zijn eigen software werden geblokkeerd, is het aantal niet-gemelde gevallen nog hoger.

Maar het goede nieuws is: Hoewel de aanval op het WP admin gedeelte zeer eenvoudig is en snel geautomatiseerd kan worden, zijn de beschermende maatregelen ertegen zeer eenvoudig. Om uw WP admin gedeelte te beveiligen, kunt u op drie plaatsen beschermende muren plaatsen:

  1. Op WP-niveau, door middel van sterke wachtwoorden
  2. Bij het inloggen zelf, door het aantal inlogpogingen te beperken
  3. Voor het inloggen, via een zwarte lijst

1) Het oude liedje: sterke wachtwoorden

Brute Force aanvallen zijn zeer hersenloze aanvallen. Ze gokken eigenlijk alleen maar. Daarom kan een sterk wachtwoord hier eigenlijk al genoeg zijn om de aanvallen af te slaan. Dus laten we het kort houden: Het sterke wachtwoord is verplicht. Dit omvat: Letters, cijfers, speciale tekens, en hoofdletters en kleine letters. En natuurlijk is authenticatie in twee richtingen ook zinvol.

TIP: Wachtwoordmanagers maken het trouwens niet alleen gemakkelijk om veilige wachtwoorden te creëren, maar ook om ze te beheren. Apple computers bieden met het programma "sleutelhangerbeheer" bijvoorbeeld een handige manier om uw wachtwoorden offline te beheren. U hoeft maar één hoofdwachtwoord te onthouden (dat natuurlijk zo complex mogelijk moet zijn). Cloud-gebaseerde programma's voor wachtwoordbeheer, zoals 1Password, LastPass of X-Key Pass, werken op dezelfde manier.

2) Beperk het aantal aanmeldingen

De cijfers van Wordfence zijn indrukwekkend: Brute Force aanvallen zijn de meest voorkomende aanvallen op WordPress pagina's. De kans dat uw site het slachtoffer wordt van een dergelijke aanval is dus zeer groot. En om het hoge aantal inlogpogingen uw site niet onnodig te belasten, is er de mogelijkheid om ze te beperken.

Bijvoorbeeld, een IP wordt geblokkeerd voor een bepaalde tijd na drie mislukte pogingen. Als hij dan opnieuw de limiet overschrijdt, neemt de blokkeringstermijn achtereenvolgens toe. Op die manier beperkt u zeer snel het aantal mogelijke pogingen in die mate dat de aanval nutteloos wordt.

Afhankelijk van hoe laag de blokkeringsdrempel is ingesteld, kan deze procedure ook bescherming bieden tegen een aanval met wisselende IP's. De eenvoudigste manier om uw login-gebied te beschermen is het gebruik van Plugins . Hier kunt u bijvoorbeeld WP Limit Login Attempts vinden, Login Lockdown of een van de grote beveiligingsplugins zoals Sucuri, Wordfence of Alles in één WP beveiliging. De pagina's van RAIDBOXES klanten zijn al voorzien van een Brute Force beveiliging aan de server kant. Een extra Plugin is hier niet nodig.

3) Blacklisting

De werknemers van beveiligingsbedrijven zoals Sucuri of Wordfence besteden een groot deel van hun werktijd aan het analyseren van aanvallen. Zij publiceren deze analyses ook met regelmatige tussenpozen. Een van de belangrijkste aspecten in deze verslagen is regelmatig de oorsprong van een IP. In bepaalde landen bevinden zich namelijk servers die bijzonder gevoelig zijn voor aanvallen.

Het op een zwarte lijst plaatsen van de overeenkomstige IP's is dan ook volkomen logisch. Vooral als de regio niet relevant is voor uw doelgroep. Op deze manier kunt u effectief aanvallen afweren voordat ze uw site bereiken.

U kunt dergelijke blacklists zelf aanmaken door ze op serverniveau te implementeren, of u kunt een beveiligingPlugin gebruiken met een overeenkomstige functie.

Afgeschreven WordPress

WordPress is een modulair systeem. Het bestaat uit de kern, d.w.z. de kernsoftware, de Plugins en de Themes. Een van de grootste gevaren voor WP-installaties komt voort uit het feit dat veel gebruikers hun WordPress systeem niet regelmatig updaten.

Dit heeft de meest verschillende redenen. Deze variëren van onverenigbaarheden op Plugins en Themes, tot onwetendheid of gebrek aan tijd voor een update.

hoe veilig is wordpress - meer dan 70 procent van alle wordpress sites draaien niet op de huidige versie
Deze statistiek van WordPress .org blijkt dat 72,5 procent van alle WordPress installaties momenteel niet de laatste WP versie draaien. Bijna 40 procent gebruikt zelfs oudere versies dan 4.7.

Waar vertraagde core-updates toe kunnen leiden, werd begin dit jaar op indrukwekkende wijze aangetoond: in februari 2017 werd een beveiligingslek in de WordPress -versie 4.7.1 bekend, en WordPress -gebruikers werden opgeroepen zo snel mogelijk te updaten naar versie 4.7.2.

Binnen zeer korte tijd lokte het verslag massale aanvallen uit op WordPress sites (omdat de kloof nog niet bekend was vóór de officiële bekendmaking). De fabrikanten van de desbetreffende beveiligingssoftware geven hiervoor opnieuw cijfers: binnen enkele dagen werden in totaal anderhalf tot twee miljoen sites gehackt. twee miljoen pagina's werden gehackt. Eerder had een werknemer van Wordfence het veiligheidslek ontdekt.

Als men zich herinnert dat momenteel meer dan 28 procent van het hele internet is gebaseerd op WordPress , kun je een aardig idee krijgen van wat er zou kunnen gebeuren als zo'n kwetsbaarheid onopgemerkt zou blijven. Het is daarom raadzaam de updates van de WordPress core te (laten) automatiseren.

Dit geldt overigens vooral voor de zogenaamde minor updates, d.w.z. versienummers met drie cijfers, bijv. 4.7.4. Dit zijn de zogenaamde "security and maintenance releases" en moeten altijd zo snel mogelijk worden geïnstalleerd. Voor grotere versiesprongen, bv. van 4.7 naar 4.8, is de situatie enigszins anders: hier ligt de nadruk van de updates op functies en gebruikersbegeleiding.

Verouderd Plugins en Themes

Wat geldt voor de WordPress core geldt natuurlijk ook voor de Plugins en Themes: Verouderde Plugin versies bevatten bijna altijd beveiligingslekken - en vermijdbare lekken.

Het Duitse Ministerie voor Veiligheid en Informatietechnologie (BSI) neemt een soortgelijke mening aan, volgens een veiligheidsonderzoek naar contentmanagementsystemen. De gegevens van het BSI hebben betrekking op de periode 2010-2012. 80 procent van de officieel gemelde kwetsbaarheden kon worden herleid tot extenties - in de meeste gevallen van plugins.

Een zoektocht naar exploits via ExploitsDatabase leverde meer dan 250 exploits op voor WordPress . De meeste exploits voor WordPress Plugins zijn hier ingevoerd.

- BSI (2013): "Beveiligingsonderzoek Content Management Systemen (CMS)".

In de praktijk is Plugins een favoriet aanvalspunt voor hackers. En met meer dan 50.000 extensies in de officiële plugin directory van WordPress , ook een zeer productieve. Uitgangspunt voor dergelijke aanvallen zijn dan gaten in de code van Plugins.

Hier is het belangrijk om te begrijpen: Zulke kloven zullen er altijd zijn. Een 100 procent veilig systeem bestaat gewoon niet. En: het ontbreken van updates op Plugin of Theme betekent niet automatisch dat het onveilig is. Zelfs als de updatefrequentie een goede indicator is voor de ondersteuningskwaliteit van een fabrikant. Maar het zou net zo goed kunnen dat er tot nu toe geen beveiligingslekken zijn ontdekt.

Maar als er een ontdekt wordt, dan zal de plugin provider (hopelijk) ook met een update komen die het gat dicht. Doen ze dat niet, dan zijn SQL-injecties of cross site scripting (XSS) mogelijk. Met de eerste, manipuleren hackers de database van uw site. Zij kunnen bijvoorbeeld volledig nieuwe gebruikers met admin-rechten aanmaken en vervolgens uw site infecteren met kwaadaardige code of er zelfs een spamspinner van maken.

XSS aanvallen gaan in principe over het plaatsen van JavaScript op uw pagina. Op die manier kan een aanvaller bijvoorbeeld formulieren op uw pagina injecteren waarmee de gegevens van de gebruiker worden gestolen. Geheel onopvallend, SSL-gecodeerd en in een vertrouwde omgeving.

En omdat Plugins en Themes zoveel aanvalspunten bieden, moet u altijd op het aantal Plugins letten en ervoor zorgen dat u ze niet gedeactiveerd laat staan, maar ze echt deïnstalleert als u ze niet meer nodig hebt.

gedeelde hosting

Deze nadelen zijn reeds inherent aan WordPress . Maar aangezien uw site toch op een of andere manier online moet komen, is de hosting ook een belangrijk veiligheidsaspect. Aangezien veiligheid en hosting een zeer complex en veelzijdig onderwerp is, wil ik het op dit punt alleen hebben over het grote nadeel van shared hosting. Nogmaals, dit betekent niet dat ik praat je uit van shared hosting. Het is heel logisch, vooral vanuit het oogpunt van de prijs. Maar shared hosting heeft één groot nadeel waar u zich bewust van moet zijn.

Want bij shared hosting staan meerdere pagina's op één en dezelfde server. De pagina's delen ook het IP-adres. Dit betekent dat de toestand en het gedrag van één pagina ook een negatieve invloed kan hebben op alle andere pagina's op de server. Dit effect wordt het "Bad Neighbor Effect " genoemd en heeft betrekking op bijvoorbeeld spamming. Als een pagina op uw server ervoor zorgt dat het IP op een zwarte lijst komt te staan, kan dit ook gevolgen hebben voor uw aanbod.

Bovendien kan dit leiden tot een overmatig gebruik van middelen, bijvoorbeeld als een van de pagina's op de server betrokken is bij een DDoS-aanval of wordt getroffen door een massale aanval. De stabiliteit van uw eigen aanbod is dus tot op zekere hoogte altijd afhankelijk van de veiligheid van de andere sites op uw server.

Voor professioneel beheerde WP-WordPress projecten is een virtuele of dedicated server zeer zinvol. Tot de beveiligingsconcepten van hosters behoren natuurlijk ook backup-oplossingen, firewalls en malwarescanners, maar die zullen we elders in detail bespreken.

Conclusie

WordPress is onzeker. En dat is te danken aan zijn modulaire structuur. Zijn grootste kracht kan dus zijn grootste zwakte worden. Het goede nieuws is dat je gemakkelijk om deze zwakte heen kunt werken. Meer dan de inspanning voor gebruikersbeheer en het aanmaken van wachtwoorden, alsook voor updates, is in principe niet nodig.

Natuurlijk veranderen deze maatregelen uw site niet in Fort Knox. Maar zij zijn de hoeksteen van uw veiligheidsconcept. Want als je daar geen rekening mee houdt, kunnen ze alle andere veiligheidsmaatregelen ondermijnen. En elke WordPress gebruiker kan deze aspecten onafhankelijk beïnvloeden. Daarom is het zo belangrijk dat u er altijd van op de hoogte bent.

Als systeembeheerder waakt Tobias over onze infrastructuur en vindt hij alle mogelijke manieren om de prestaties van onze servers te optimaliseren. Door zijn onvermoeibare inzet is hij vaak 's nachts bij Slack te vinden.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.