Oke, je WordPress website is gehackt. Zuur. Er schieten ongetwijfeld vragen door je hoofd als: ‘Waarom zitten hackers altijd in het donker met een masker op achter hun eigen computer?‘
Maar misschien ben je nog meer benieuwd naar: hoe doen ze het? In dit artikel leggen we het je in ‘normale mensentaal’ uit hoe hackers (en hun botjes) te werk gaan.
Overigens, misschien heb je het al opgelost en ben je gewoon benieuwd naar hoe hackers te werk gaan. Maar als je website nog steeds onbereikbaar is, vol staat met rotzooi (SEO Spam) of wanneer je twijfelt of je de boel wel goed hebt opgeschoond: Neem gerust contact met ons op.
1. Brute force wp-login.php formulier
Het ‘Brute forcen’ van een formulier is de meest makkelijke manier om je WordPress beveiliging te kraken. Dat ‘brute force’ gaat letterlijk met brute kracht en is niet bijzonder intelligent. Na het uitvinden van je usernames smijten hackers – met behulp van bots en tools – gewoon aan gigantische lijst veel gebruikte wachtwoorden tegen je inlogformulier in de hoop dat er 1 blijft plakken. De usernames vinden ze vaak via http://example.com/?author=1 of https://example.com/wp-json/wp/v2/users of zelfs gewoon omdat ze vermeld staan bij een blogpost.
De wachtwoorden worden verzameld uit grote datalekken. Benieuwd naar wat er zoals op zo’n lijst staat? Bekijk hier een top 100 van veel gebruikte wachtwoorden. Weten of jouw wachtwoord mogelijk op zo’n lijst staat? Vul je e-mailadres in op: haveibeenpwned.com om te zien of jouw gegevens ooit zijn gelekt. Niet schrikken, maar als al een tijdje actief bent op Linkedin is de kans groot dat je wachtwoord gelekt is.
Tips:
- Gebruik bij voorkeur een van de wachtwoorden die WordPress voor je genereert. Ze zijn onmogelijk te onthouden, maar je weet zeker dat ze niet op een lijstje staan.
- Laat het onthouden over aan een password manager of het ingebouwde password systeem van je browser. Zo’n password manager geeft namelijk zelfs een seintje als het wachtwoord dat je gebruikt toch onverhoopt is gelekt bij een datalek.
2. Exploit WordPress Plugin
Plugins, Thema’s en de core van WordPress bevatten een hoop regels code, geschreven door enorm veel developers van over de hele wereld. De beschikbaarheid van die plugins is iets dat WordPress geweldig maakt, maar biedt – als je er te laconiek mee omgaat – ook een gelegenheid voor hackers. Helaas komt het soms voor dat developers niet zo’n focus leggen op de veiligheid van hun plugin.
Natuurlijk is het helemaal afhankelijk van hoeveel plugin’s je in je website hebt gehangen, maar vooral ook waar en van wie je ze gedownload hebt. De impact van een kwetsbaarheid in een plugin varieert, maar kan verstrekkende gevolgen hebben.
Achterhalen of je een plugin met een kwetsbaarheid gebruikt:
Zodra in een plugin of thema een lek gevonden is, wordt de developer ervan (meestal) op de hoogte gesteld en verzocht en update uit te brengen. Om gebruikers op de hoogte te brengen van het lek verschijnt – niet veel later – een bericht in een database zoals die van WPScan of ExploitDB. Fijn, want dan weten we dat er iets mis is. Maar dit biedt hackers direct een mooi lijstje kwetsbaarheden om actief naar te zoeken. Dat zoeken kan via scans, maar soms ook super eenvoudig via Google.
Voorbeeld:
De plugin WP DB Manager heeft volgens de database van WPScan in 2 oude versies een lek. Websites met die plugin zijn vrij eenvoudig te vinden via een Google Dork als: inurl:wp-content/plugins/wp-dbmanager/.
Tips:
- Zorg dat je je wordpress code, plugins en thema’s regelmatig update.
- Mis je een licentie-code? Zorg dat je die aanschaft zodat je weer kunt updaten.
- Heb je een plugin die niet meer onderhouden wordt? Ga op zoek naar een alternatief.
- Gebruik je een plugin met een versie uit dit lijstje https://wpscan.com/plugins? Stop met lezen en verwijder dat ding!
Hoe wij zorgen dat websites veilig zijn en blijven
Plugins en updates
Bij het ontwikkelen van WordPress websites gebruiken wij graag zo min mogelijk plugins en de plugins die we gebruiken zijn vaak premium en dus voorzien van een licentie van een betrouwbare developer. Op die manie weten we zeker dat de plugin wordt onderhouden en geupdate. Daarnaast bieden we klanten altijd een onderhoudscontract waarbinnen we back-ups maken en alle updates doorvoeren. Op die manier weten onze klanten zeker dat hun website up to date is. Wist je dat je vanuit de AVG verplicht bent je software up to date te houden als je website omgaat met persoonsgegevens?
Een firewall
Er bestaan verschillende firewall plugins die vroegtijdig kunnen detecteren of je website bezocht – of liever bestookt – wordt door bezoekers / bots die kwaad in de zin hebben. Zo’n firewall schermt files af waar niemand iets te zoeken heeft en blokkeert bezoekers die verdachte acties uitvoeren.
Hulp nodig?
Dit artikel geeft een inkijkje in 2 van de favoriete methoden voor hackers maar dit zijn zeker niet de enige 2 opties. Weten of jouw wordpress website gebruik maakt van plugins waarvan kwetsbaarheden bekend zijn? Neem gerust contact op voor een scan van je website. Ook voor hulp bij het instellen van een firewall of bij het opschonen / checken van jouw gehackte wordpress website gebruik je onderstaand contactformulier.