De donkere kant van WordPress… de populariteit van WordPress trekt naast fans helaas ook mindere liefhebbers, namelijk Hackers / Crackers. Ja, er is een verschil en die personen waar ik het over heb zijn die aan de donkere kant van Hacking, de Crackers.
Crackers maken gebruik van gaten in de beveiliging van WordPress, maar meer nog van beveiligingsgaten in WordPress Theme's en Plugins om toegang te krijgen tot jouw website en bestanden.
Als ze die toegang hebben kunnen ze een aantal zaken doen, het index.php bestand vervangen zodat je voorkant van je website er anders uit ziet. Dat is makkelijk te repareren door de orginele index.php terug te zetten. Ze kunnen echter ook veel vervelendere zaken doen waar je pas later achter komt. Zaken zoals via jouw website malware verspreiden of pagina's maken die er uit zien als bank inlog pagina's…
Begin met de Basis WordPress Beveiliging
De eerste stap voor een veiliger WordPress website is al bij de installatie van je website:
- gebruik geen standaard woorden voor de databasenaam
- gebruik geen standaard woorden voor de database gebruikers naam
- gebruik moeilijke wachtwoorden van de database toegang, zeker 9 tekens, gebruik kleine letters, Hoofdletters, nummers en Leestekens door elkaar.
- Wijzig de prefix van je WordPress tabellen, dus niet de standaard wp_ gebruiken.
- gebruik NIET de gebruikersnaam admin maar maak er iets leuks van dat niet te raden is!
Na de installatie van WordPress kun je een aantal bestanden verwijderen:
- readme.html in de basis van je website omdat die versie gegevens bevat van je installatie.
- wp-config-sample.php deze is na de installatie niet meer nodig
- install-helper.php en install.php in de wp-admin map aangezien de installatie klaar is
De volgende actie is niet altijd makkelijk, maar zeker als je de complete site installatie in de public_html map hebt staan dan kun je het wp-config,php bestand een map hoger plaatsen, dus net buiten je public_html map. WordPress staat het tegenwoordig namelijk toe om dat bestand een map hoger te plaatsen.
Zorg er daarnaast voor dat de map rechten niet hoger staan dan 755 en voor bestanden 644, je wp-config.php heeft zelfs voldoende aan 600 (dat kan heel makkelijk als je Filezilla gebruikt.
Speciale WordPress Plugins voor Extra Beveiliging
Er zijn een aantal plugins die ik tegenwoordig standaard meeneem in iedere WordPress installatie:
WP Security Scan een speciale plugin die je direct helpt om een aantal zaken te controleren en zelf te repareren, maar zorg voordat je een aantal van die zaken gaat doen wel voor een goede back-up! Zeker van je database, de correctie kunnen nogal ingrijpend zijn.
WordPress File Monitor Plus is een plugin die jouw installatie bewaakt en je een mail stuur als er iets veranderd, toegevoegd of verwijderd wordt van je WordPress website bestanden. Daarbij kun je wel bepaalde mappen uitzonderen, zoals de cache map omdat daar natuurlijk regelmatig bestanden verwisseld en gemaakt worden.
WordPress Firewall 2 bewaakt allerlei inkomende links en vreemde urls die bijvoorbeeld proberen gebruik te maken van de eerder genoemde beveiliginslekken. Ik zie vooral veel pogingen om de oude versie van http://code.google.com/p/timthumb/ te benaderen. Een lek in de oude versie, die veel gebruikt werd voor het automatisch verkleinen van afbeeldingen, zorgde afgelopen jaar voor veel gehackte websites. Deze plugin zorgt ervoor dat dergelijke vreemde aanvragen door gestuurd worden naar je Homepage.
De laatste plugin kan zeker de nodige zaken voorkomen, maar het is vooral eng als je een paar honderd meldingen krijgt van de pogingen die ondernomen zijn om je site te benaderen met allerlei thema's die niet geupdate waren.
Opruimen van Niet gebruikte Plugins en Theme's
Met de WordPress Firewall 2 worden een hoop van de acties om je site te hacken voorkomen, maar het is nog beter om oude zaken op te ruimen om dergelijke lekken te voorkomen. Verwijder dus die thema's die je niet gebruikt! Ook de WordPress Standard Thema's zoals TwentyTen en TwentyEleven.
Plugins die je niet meer gebruikt verwijderen, dat zorgt er ook voor dat je site wat sneller wordt omdat WordPres niet meer hoeft te kijken of de plugin actief is of geupdate moet worden.
Plugins die je maar een keer nodig hebt gehad kunnen verwijderd worden, denk daarbij aan import en export plugins, en plugins zoals AJAX Thumbnail Rebuild.
Bedenk daarnaast dat je vooral moet zorgen dat je regelmatig inlogt op je WordPress website en zorgt dat je WordPress, Plugins en Theme's Updates als dat nodig is. Neem de Feed van http://wordpress.org/news/ op in je Feedreader zodat je altijd direct op de hoogte bent van nieuwe WordPress versies.
Zorg ook altijd voor een goede backup van je database en bestanden zodat je snel weer je website op kunt zetten mocht je site toch gehackt worden. Hoe je dat makkelijk kunt doen, dat vertel ik je de volgende keer…
Heb je zelf nog tips over het beveiligen van je site, meld ze hieronder!
FRANCIS zegt
Beste,
Ik heb sinds kort een plugin geupdate(Events manager)
nu krijg ik volgende error melding: Warning: Missing argument 2 for get_post_meta(), called in /customers/0/6/a/canicross-info.eu/httpd.www/wp-content/plugins/events-manager/classes/em-event.php on line 329 and defined in /customers/0/6/a/canicross-info.eu/httpd.www/wp-includes/post.php on line 1465 Warning: Missing argument 2 for get_post_meta(), called in /customers/0/6/a/canicross-info.eu/httpd.www/wp-content/plugins/events-manager/classes/em-event.php on line 329 and defined in /customers/0/6/a/canicross-info.eu/httpd.www/wp-includes/post.php on line 1465
Nu zegt men via het forum dat ik een upgrade moet doen van WordPress( van versie 3.3.1 naar 3.4.2) hoe doe je dit zonder je vorige data te verliezen?
Herbert-Jan van Dinther zegt
@Francis: Begin met een goede back-up te maken van je bestanden en vooral van je database! In de database zitten alle gegevens van je berichten, instellingen ect. Je kunt dat doen met een plugin of via het Controle paneel van je hosting provider. Kijk ook even bij de FAQ / Veelgestelde vragen bij je hosting bedrijf of dat daar nog informatie staat of vraag het de helpdesk.
Als je een goede back-up hebt dan kun je de Update melding aanklikken van WordPress, die zou je moeten zien als je ingelogt bent als beheerder.
WordPress haalt dan zelf de nieuwe versie op en installeerd dien, vervolgens moet je uitloggen en weer inloggen om de database bij te werken. Daarna is je site geupdate. Doe dat ook met je plugins!
Mocht je terug moeten naar de oude versie, dan kun je dat handmatig doen, maar dat is een heel ander verhaal.
Francis zegt
@Herber-Jan
Is het voldoende om de database te exporten naar een bestandfile op de pc?
Ik zou graag het themes Blogolive updaten naar de nieuwere versie, maar ik geraak er niet uit hoe je een child themes maakt.
Alvast bedankt
BeveiligingsKeur zegt
Erg leuke blog, zelf hebben we deze week hierover ook geschreven en komen we op ongeveer dezelfde punten. Leuk om dit bevestigd te zien…
Lifestyle zegt
Tegenwoordig s het gebruik van de plugin “better-wp-security” bijna een vereiste. Deze plugin biedt tal van mogelijkheden om je site op een gedegen manier dicht te spijkeren. Zeker in combinatie met bovenvermelde tips als het verwijderen van overbodige bestanden en het gebruik van een goede firewal.
Overigens complimenten voor deze geweldige site bomvol zinvolle informatie.
Mathieu zegt
Ithemes security heet die plugin tegenwoordig, het is nog steeds 1 van de beste plugins.Ik heb hem vergeleken met WordFence en Securi en de meeste functies zitten toch wel in de ithemes, ook qua update snelheid. De laatste maand bijna elke week een update!