08.05.17
bijgewerkt 21.01.20
Tobias Schüring
0 commentaren
Hoe veilig is WordPress

WordPress: Zijn grootste kracht is ook zijn grootste zwakte

Hoe veilig is WordPress? Niet in het bijzonder, want het gaat gepaard met een aantal ernstige kwetsbaarheden. En omdat meer dan 28 procent van het internet momenteel op WordPress draait, is het een populair doelwit voor aanvallen. Het goede nieuws: de belangrijkste kwetsbaarheden kunnen heel gemakkelijk worden weggenomen.

Het mooie van WordPress is dat iedereen het kan gebruiken. Alles wat je echt nodig hebt is een internetverbinding en je kunt aan de slag. De situatie is heel anders als het gaat om de beveiliging van WordPress. Misschien juist vanwege Misschien omdat het zo gemakkelijk te gebruiken is, nemen niet alle gebruikers de moeite om uit te zoeken hoe veilig WordPress eigenlijk per ontwerp is.

Hoe dan ook, vanwege zijn grote sterke punten - de ongelooflijke reeks functies en de diverse ontwerpen - neigt WordPress naar grote onveiligheid. De modulaire structuur biedt enorme aanvalspunten. En natuurlijk maken hackers daar ook misbruik van. En dat doen ze automatisch, de klok rond, 365 dagen per jaar.

Maar maak je geen zorgen: deze ingebouwde zwakheden van WordPress kunnen heel gemakkelijk worden weggewerkt. En allereerst helemaal zonder extra beveiligingsplugin.

Natuurlijk wil ik je niet van je beveiligingsplug-in afpraten. Het kan zelfs heel zinvol zijn. Maar het beveiligen van je WordPress site is niet klaar met de installatie ervan. En voordat je betrokken raakt bij schaduwbokswedstrijden met pseudo-bedreigingen, is het zinvoller om eerst de fundamentele zwakheden van WordPress te compenseren.

In detail is het onderwerp van vandaag

"Maar mijn site is helemaal niet interessant voor hackers".

Vergis je niet: deze veronderstelling is gewoon verkeerd. Elke WordPress site is waardevol voor aanvallers. Bijvoorbeeld als spamspinner, onderdeel van een botnet of advertentieplatform voor phishingsites.

En in geval van twijfel maakt het de aanvaller niet uit hoe klein, nieuw of weinig bezocht je site is. Want uiteindelijk zijn jij en je bedrijf de dupe. Het kan gebeuren dat je nieuwsbrief als spam wordt geclassificeerd, gebruikers worden gewaarschuwd om je site niet te bezoeken en je Google ranking lijdt eronder omdat uw site staat op de zwarte lijst.

Wat ik hiermee bedoel is: Alleen al vanwege de populariteit en verspreiding van WordPress zijn WordPress sites een dankbaar doelwit voor aanvallen. Ongeacht hun inhoud en doel.

Het WP admin gebied is bijzonder kwetsbaar

De inlogpagina is standaard toegankelijk via het achtervoegsel "wp-admin". Daarom is het een bijzonder vaak voorkomend doelwit van aanvallen – bijv. zogenaamde brute kracht aanvallen. Deze aanvallen behoren tot de meest voorkomende hacks tegen WordPress sites. Dit komt omdat zij zeer gemakkelijk te automatiseren zijn. Bij een brute-force-aanval probeert de aanvaller in feite de juiste combinatie van gebruikersnaam en wachtwoord te raden. Dus als het wachtwoord zwak is, of het inloggebied niet beveiligd is, kan het gebeuren dat een brute force aanval slaagt – en de aanvaller met succes kan inloggen op je WP – of dat het enorme aantal inlogpogingen je site lamlegt.

Wordfence, de bekende fabrikant van de gelijknamige beveiligingsplug-in, registreerde alleen al in maart gemiddeld 34 miljoen brute force-aanvallen - en dat is dagelijks. Ter vergelijking: de zogenaamde "complexe aanvallen", d.w.z. die waarbij specifieke beveiligingslekken worden uitgebuit, staan op een niveau van 3,8 miljoen aanvallen per dag.

Statistieken over brute force aanvallen geteld door Wordfence in maart 2017
Uit het maartrapport van Wordfence blijkt: De fabrikant van de plug-in registreerde een gemiddelde van ongeveer 34 miljoen brute force aanvallen per dag. Er waren er vooral veel in het midden van de maand.

Maar omdat Wordfence alleen aanvallen telt die door zijn eigen software werden afgeslagen, is het aantal niet gemelde gevallen nog hoger.

Maar het goede nieuws is: Hoewel de aanval op het WP admingebied heel gemakkelijk is en snel geautomatiseerd kan worden, zijn de beschermende maatregelen ertegen heel eenvoudig. Om je WP admingebied te beveiligen kun je op drie plaatsen beschermende muren opwerpen:

  1. Op WP-niveau, door sterke wachtwoorden
  2. Bij het inloggen zelf, door het aantal inlogpogingen te beperken
  3. Voor het inloggen, via een blacklist

1) De oude kastanje: sterke wachtwoorden

Brute force aanvallen zijn zeer hersenloze aanvallen. In principe raden ze alleen maar. Daarom kan een sterk wachtwoord eigenlijk al genoeg zijn om de aanvallen op niets uit te laten lopen. Dus laten we het kort houden: het sterke wachtwoord is verplicht. Dit omvat: Letters, cijfers, speciale tekens en hoofdletters en kleine letters. En natuurlijk is tweerichtingsauthenticatie ook zinvol.

TIP: Met wachtwoordmanagers is het niet alleen eenvoudig om veilige wachtwoorden te maken, maar ook om ze te beheren. Apple computers bieden bijvoorbeeld een handige manier om je wachtwoorden offline te beheren met het programma "Sleutelhangerbeheer". Je hoeft alleen maar een hoofdwachtwoord te onthouden (dat natuurlijk zo complex mogelijk moet zijn). Cloud-gebaseerde programma's voor wachtwoordbeheer zoals 1Password, LastPass of X-Key Pass werken op dezelfde manier.

2) Beperk het aantal aanmeldingen

Je ziet het indrukwekkend in de cijfers van Wordfence : Brute force aanvallen zijn de meest voorkomende aanvallen op WordPress sites. De kans dat je site slachtoffer wordt van zo'n aanval is dus erg groot. En zodat het hoge aantal inlogpogingen je site niet onnodig belast, is er de mogelijkheid om ze te beperken.

Een IP wordt dan bijvoorbeeld na drie mislukte pogingen voor een bepaalde tijd geblokkeerd. Als hij vervolgens de grens weer overschrijdt, neemt de blokkeerperiode achtereenvolgens toe. Zo beperk je het aantal mogelijke pogingen heel snel zodanig dat de aanval nutteloos wordt.

Afhankelijk van hoe laag de blokkeerdrempel is ingesteld, kan deze procedure ook bescherming bieden tegen een aanval met veranderende IP's. De gemakkelijkste manier om je inloggedeelte te beschermen is het gebruik van plugins. Hier kun je bijvoorbeeld WP Limit Login Attempts vinden, Inloggen op slot of een van de grote beveiligingsplugins zoals Sucuri, Wordfence of Alles in één WP Beveiliging. De pagina's van Raidboxes klanten zijn al voorzien van brute force bescherming op de server. Een extra plugin is hier dus niet nodig.

3) Zwarte lijst

De medewerkers van beveiligingsbedrijven als Sucuri of Wordfence besteden een groot deel van hun werktijd aan het analyseren van aanvallen. Ze publiceren deze analyses ook regelmatig. Een van de belangrijkste aspecten in deze rapporten is regelmatig de herkomst van een IP. Dit komt omdat er servers staan in bepaalde landen die bijzonder vaak aanvallen uitvoeren.

Het op een blacklist plaatsen van de overeenkomstige IP's is dan ook volkomen logisch. Vooral als de regio niet relevant is voor je doelgroep. Op deze manier kun je effectief aanvallen afweren voordat ze je site bereiken.

Je kunt zulke blacklists zelf maken door ze op serverniveau te implementeren, of je kunt een beveiligingsplugin gebruiken met de bijbehorende functie.

Verouderde WordPress

WordPress is een modulair systeem. Het bestaat uit de kern, d.w.z. de kernsoftware, de plugins en de thema's. Een van de grootste gevaren voor WP installaties komt voort uit het feit dat veel gebruikers hun WordPress systeem niet regelmatig bijwerken.

Daar zijn veel verschillende redenen voor. Deze variëren van incompatibiliteiten met plugins en thema's tot onwetendheid of gebrek aan tijd voor een update.

hoe veilig is wordpress – meer dan 70 procent van alle wordpress sites draaien niet op de huidige versie
Deze statistiek van WordPress.org laat zien dat 72,5 procent van alle WordPress-installaties momenteel niet de nieuwste WP-versie draait. Bijna 40 procent draait zelfs onder versies ouder dan 4.7.

Waar vertraagde core updates toe kunnen leiden werd begin dit jaar op indrukwekkende wijze aangetoond: in februari 2017 werd een beveiligingslek in WordPress versie 4.7.1 bekend, en WordPress gebruikers werden opgeroepen om zo snel mogelijk te updaten naar versie 4.7.2.

Binnen zeer korte tijd lokte de aankondiging massale aanvallen uit op WordPress sites (omdat de kwetsbaarheid nog niet bekend was vóór de officiële aankondiging). De fabrikanten van de bijbehorende beveiligingssoftware geven weer cijfers: binnen enkele dagen werden in totaal anderhalf tot twee miljoen sites gehackt. twee miljoen pagina's werden gehackt. Eerder had een medewerker van Wordfence het beveiligingslek ontdekt.

Als men zich herinnert dat momenteel meer dan 28 procent van het hele internet is gebaseerd op WordPress, kun je een aardig idee krijgen van wat er kan gebeuren als zo'n kwetsbaarheid onopgemerkt blijft. Daarom is het raadzaam om de updates van de WordPress-kern te (laten) automatiseren.

Dit geldt vooral voor de zogenaamde minor updates, d.w.z. versienummers met drie cijfers, bijv. 4.7.4. Dit zijn de zogenaamde "beveiligings- en onderhoudsreleases" en moeten altijd zo snel mogelijk worden geïnstalleerd. Bij grotere versiesprongen, bijv. van 4.7 naar 4.8, is de situatie enigszins anders: hier ligt de nadruk van de updates op functies en gebruikersbegeleiding.

Verouderde plugins en thema's

Wat voor de WordPress kern geldt, geldt natuurlijk ook voor plugins en thema's: verouderde plugin-versies bevatten bijna altijd beveiligingsproblemen - en nog vermijdbare ook.

Volgens een beveiligingsstudie over content management systemen is het Duitse Federale Bureau voor Informatiebeveiliging (BSI) dezelfde mening toegedaan. De BSI-gegevens hebben betrekking op de periode van 2010 tot 2012. 80 procent van de officieel gemelde kwetsbaarheden waren terug te voeren op extensies - d.w.z. in de meeste gevallen op plug-ins.

Een zoektocht naar exploits met behulp van ExploitsDatabase leverde meer dan 250 exploits voor WordPress op. De meeste exploits voor WordPress plugins zijn hier ingevoerd.

- BSI (2013): "Beveiligingsonderzoek Content Management Systemen (CMS)".

In de praktijk zijn plugins een favoriet aanvalspunt voor hackers. En met meer dan 50.000 extensies in de officiële plugin directory van WordPress, ook een zeer productieve. Het startpunt voor zulke aanvallen zijn dan gaten in de code van de plugins.

Het is belangrijk om hier te begrijpen: Zulke kloven zullen er altijd zijn. Een 100 procent veilig systeem bestaat eenvoudigweg niet. En: Een gebrek aan updates voor een plug-in of thema betekent niet automatisch dat het onveilig is. Ook al is de updatefrequentie een goede indicator voor de ondersteuningskwaliteit van een fabrikant. Maar het kan net zo goed zijn dat er tot nu toe geen beveiligingslekken zijn ontdekt.

Maar als er iets ontdekt wordt, zal de leverancier van de plug-in (hopelijk) ook een update leveren die het gat dicht. Doen ze dat niet, dan zijn SQL-injecties of cross site scripting (XSS) mogelijk. Bij de eerste manipuleren hackers de database van je site. Op die manier kunnen ze bijvoorbeeld geheel nieuwe gebruikers met beheerdersrechten aanmaken en vervolgens je site infecteren met kwaadaardige code of er zelfs een spamput van maken.

Bij XSS aanvallen gaat het in principe om het plaatsen van JavaScript op je pagina. Op deze manier kan een aanvaller bijvoorbeeld formulieren op je pagina invoegen die de gegevens van de gebruiker stelen. Volledig onopvallend, SSL-gecodeerd en in een betrouwbare omgeving.

En omdat plugins en thema's zoveel aangrijpingspunten bieden, moet je altijd letten op het aantal plugins en ervoor zorgen dat je ze niet gedeactiveerd laat, maar echt verwijdert als je ze niet meer nodig hebt.

Gedeelde hosting

Deze nadelen zijn inherent aan WordPress. Maar omdat je site op de een of andere manier online moet komen, is hosting ook een belangrijk veiligheidsaspect. Omdat beveiliging en hosting een zeer complex en veelzijdig onderwerp is, wil ik het hier alleen hebben over het grootste nadeel van shared hosting. Nogmaals, dit betekent niet dat ik je uit shared hosting wil praten. Het is heel logisch, vooral vanuit prijsoogpunt. Maar shared hosting komt met een doorslaggevend nadeel waarvan je je bewust moet zijn.

Bij shared hosting staan meerdere websites op één en dezelfde server. De pagina's delen ook het IP-adres. Dit betekent dat de toestand en het gedrag van één pagina ook een negatieve invloed kunnen hebben op alle andere pagina's op de server. Dit effect wordt het "Bad Neighbour Effect " genoemd en heeft betrekking op bijvoorbeeld spamming. Als een pagina op je server ervoor zorgt dat het IP op een blacklist komt te staan, kan dit ook gevolgen hebben voor jouw aanbod.

Bovendien kan het leiden tot een overmatig gebruik van bronnen, bijvoorbeeld als een van de pagina's op de server betrokken is bij een DDoS-aanval of getroffen wordt door een massale aanval. De stabiliteit van je eigen aanbod is daarom tot op zekere hoogte altijd afhankelijk van de veiligheid van de andere pagina's op je server.

Voor professioneel gerunde WP WordPress projecten is een virtuele of dedicated server heel zinvol. Natuurlijk omvatten de beveiligingsconcepten van hosters ook back-up oplossingen, firewalls en malwarescanners, maar die zullen we elders in detail bespreken.

Conclusie

WordPress is onveilig. En dat komt door zijn modulaire structuur. Haar grootste kracht kan daardoor haar grootste zwakte worden. Het goede nieuws is dat je gemakkelijk om deze zwakte, die erbij hoort, heen kunt werken. In principe heb je niet meer nodig dan de moeite die het gebruikersbeheer, het aanmaken van wachtwoorden en updates met zich meebrengen.

Natuurlijk maken deze maatregelen van je site geen Fort Knox. Maar ze vormen de hoeksteen van je beveiligingsconcept. Als je er geen rekening mee houdt, kunnen ze alle andere beveiligingsmaatregelen ondermijnen. En elke WordPress gebruiker kan deze aspecten zelfstandig beïnvloeden. Daarom is het zo belangrijk dat je je er altijd van bewust bent.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Tobias Schüring

Als systeembeheerder waakt Tobias over onze infrastructuur en vindt hij alle mogelijke manieren om de prestaties van onze servers te optimaliseren. Door zijn onvermoeibare inzet is hij vaak 's nachts bij Slack te vinden.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.