Wordpress veilig houden

Door Beatboxx op vrijdag 25 januari 2013 19:57 - Reacties (10)
Categorie: -, Views: 2.358

Wordpress is een van de meest gebruikte CMS's die er bestaat, zo niet de meest gebruikte. Een kleine 20% van alle websites draait op Wordpress. Helaas is een veel te groot aantal van die websites niet veilig, en veel te makkelijk te kraken. Hieronder staan een aantal tips om ervoor te zorgen dat Wordpress veilig blijft, en niemand toegang krijgt tot je website.

Stap 1: Software updaten!


Het is natuurlijk ongelofelijk voor de hand liggend, maar ook zo ongelofelijk belangrijk en het wordt veel te traag gedaan; het updaten van Wordpress. Gisteren is Wordpress 3.5.1 gereleased met daarin een aantal fixes voor toch redelijk serieuze security-issues. Het is van ongelofelijk belang om er altijd voor te zorgen dat jouw Wordpress versie volledig up-to-date is.

Niet alleen je Wordpress install moet je updaten, maar ook je plugins. Veel te vaak zitten er bugs in plugins die ervoor zorgen dat een potentiŰle aanvaller alsnog kan inbreken in je site door een brakke plugin. Die dus ook updaten!

Stap 2: Brute-force logins voorkomen


Een veel voorkomende manier om Wordpress te hacken is door middel van brute-force attacks. Dit gaat volledig geautomatiseerd, dus aanvallers kunnen heel veel sites tegelijk bestoken. Ze zijn uitgerust met wordlists met de meest voorkomende wachtwoorden, dat erin resulteert dat bij een aanzienlijk percentage van de websites toch kan worden gehackt. Er zijn een paar belangrijke dingen die je hiertegen kan doen:
  • Verwijder de gebruiker met username 'Admin' en maak een admin-account aan met een andere username
  • Gebruik een plugin die tegen brute-force attacks beschermt, zoals bijvoorbeeld Limit Login Attempts
  • Volg de andere tips op :Y)
Stap 3: Een security plugin installeren


Natuurlijk ben je zelf perfect en heb je al je instellingen perfect afgesteld, dus dat hoeft niet gecheckt. Of zijn we toch niet perfect??? In dat geval, kan je het beste een plugin installeren met veel opties die op veel verschillende manieren checkt of jouw wordpress-installatie wel veilig is. Eentje die ik veel gebruik is: Better WP Security.

Stap 4: Heb je altijd admin-rechten nodig?


Helaas heb je niet altijd de beschikking over een veilige internet-verbinding. Misschien zit je in de trein, in een cafÚ of op een vliegveld, maar wil je toch even die spellingsfout uit je nieuwe post halen? Dan is het niet zo handig om in te loggen op een admin-account, iedereen die wil kan je username en password gewoon meelezen en inloggen. Maak een account aan met minder rechten, dat je kan gebruiken in dat soort situaties.

Stap 5: Two-factor authentication


Dit is de stap voor mensen die security van hun wordpress install echt heel belangrijk vinden. Two-factor authentication houdt in dat je naast een username en een wachtwoord, ook een code moet invoeren die je bijvoorbeeld op het scherm van je telefoon kan vinden. Een goede plugin is deze, die werkt in combinatie met Google Authenticator.

Stap 6: (Protip) Forceer SSL voor alle verbindingen naar */wp-admin


Deze tips is voor de pro's, en hij vereist behoorlijk wat meer technische kennis dan de rest van de tips. Zorg ervoor dat je een SSL-certificaat gebruikt voor alle verbindingen naar je wp-admin directory, dat zorgt ervoor dat niemand je gegevens, wachtwoorden of gebruikersnamen kan afluisteren.


Ik hoop dat ik hiermee het internet weer ietsjes veiliger heb gemaakt :) . Het is niet heel moeilijk om Wordpress heel veilig te maken, je moet het alleen wel doen. Besteed een kwartiertje aan de veiligheid, en je maakt de kans op een potentiŰle hack veel kleiner!

Volgende: Psychisch litteken 11-'12 Psychisch litteken

Reacties


Door Tweakers user IStealYourGun, vrijdag 25 januari 2013 20:53

Persoonlijk geef ik de voorkeur om de "Admin" te behouden maar hem niets van rechten te geven. Hoewel het bij wordpress nooit een probleem is geweest, zijn er bepaalde systemen die aangeven wanneer een username niet bestaat, dus door bij die systemen een dummy admin account te gebruiken kunnen ze bij een Brute-force heel lang bezig zijn.

Door Tweakers user Beatboxx, vrijdag 25 januari 2013 22:11

Is natuurlijk ook een goed idee!

Door Tweakers user prutsger, vrijdag 25 januari 2013 22:33

Zolang een CMS nog steeds een regel als '<meta name="generator" content="WordPress 3.5" />' in de code blijft zetten geef je al 50% (natte-vinger-werk) van je security op. Zodra er ook maar een exploit voor een bepaalde versie van een CMS bekend wordt wordt internet direct afgescand en ben je het haasje.

[Reactie gewijzigd op vrijdag 25 januari 2013 22:34]


Door Tweakers user Xaero, vrijdag 25 januari 2013 23:45

www.startssl.com

Gratis certificaat :+. Gelijk je hele site beveiligd en hoppaaa.

Door Tweakers user n0elite, zaterdag 26 januari 2013 02:37

Nou ik heb Better WP Security ge´nstalleerd na lezen van deze blog en heb mijn WP installatie verkloot.

Heb van tevoren wel een backup gemaakt van deze mappen:

- .htpasswd
- logs
- private_html
- public_html
- public_ftp
- stats

Had de plugin ge´nstalleerd en vervolgens de optie (weet niet meer welke precies) gedaan, waardoor wordpress blijkbaar helemaal opnieuw is ge´nstalleerd naar blanco nieuwe wordpress installatie.

Toen heb ik alle mappen verwijderd en de ''backup'' teruggezet, maar nu zijn mijn oude posts enz nog steeds niet terug.

Hoe fix ik dit?

Door Tweakers user Xaero, zaterdag 26 januari 2013 09:30

Door je database backup terug te zetten

Door Tweakers user i-chat, zaterdag 26 januari 2013 13:02

Xaero schreef op vrijdag 25 januari 2013 @ 23:45:
www.startssl.com

Gratis certificaat :+. Gelijk je hele site beveiligd en hoppaaa.
zijn we dan niet iets vergeten, bijvoorbeeld het feit dat 99% van alle wp sites niet op eigen ipś draaien maar op shared-hosting ... daar zijn oplossingen voor zoals SNI maar die worden dan weer door na-genoeg geen enkele host ondersteund, en werken ook niet altijd op alle systemen... (lees IE en google chrome onder winxp, sommige minder bekende browsers onder linux en en van osx twijfel ik...

Door Tweakers user Precision, zondag 27 januari 2013 11:44

Plugin vraagt in het begin om een database backup te nemen... Ik hoop voor jou dat je die dan ook hebt gemaakt. Daarin zitten namelijk je posts.
n0elite schreef op zaterdag 26 januari 2013 @ 02:37:
Nou ik heb Better WP Security ge´nstalleerd na lezen van deze blog en heb mijn WP installatie verkloot.

Heb van tevoren wel een backup gemaakt van deze mappen:

- .htpasswd
- logs
- private_html
- public_html
- public_ftp
- stats

Had de plugin ge´nstalleerd en vervolgens de optie (weet niet meer welke precies) gedaan, waardoor wordpress blijkbaar helemaal opnieuw is ge´nstalleerd naar blanco nieuwe wordpress installatie.

Toen heb ik alle mappen verwijderd en de ''backup'' teruggezet, maar nu zijn mijn oude posts enz nog steeds niet terug.

Hoe fix ik dit?

Door Tweakers user himlims_, dinsdag 29 januari 2013 13:05

iemand tips over hoe passworden goed te encrypte/salt etc.

Door Tweakers user P_Tingen, woensdag 30 januari 2013 08:25

Een tip die ik ook wel eens tegenkom is om de standaard prefix te veranderen van "wp_" naar iets wat minder voor de hand ligt. Of het iets waard is weet ik niet. Je zal toch eerst toegang moeten hebben tot de database voordat je hier wat aan hebt.

@IStealYourGun : briljant idee, ik had "admin" weggegooid, maar ik ga hem weer aanmaken!

[Reactie gewijzigd op woensdag 30 januari 2013 08:26]


Reageren is niet meer mogelijk