Introductie

In de digitale wereld van vandaag is het belangrijk om een bloeiende, dynamische en fascinerende aanwezigheid te hebben op het web. Websites zijn de nieuwe etalage, en het vullen van iemands schappen met aanbiedingen en informatie die klanten aantrekkelijk vinden, is nu net zo belangrijk als het ooit. Websites zelf zijn perfect geschikt voor deze rol. Het zijn schaalbare en aanpasbare oplossingen die bijgewerkt kunnen worden om ontwikkelingen binnen een specifieke branche te volgen. Tegelijkertijd kunnen websites echter ontzettend moeilijk te ontwikkelen, onderhouden en verbeteren zijn zonder het gebruik van een interface die de basisinfrastructuur van een website beheert. Content Management Systemen (CMS) bestaan om deze functie uit te voeren en een websitebeheerder in staat te stellen de inhoud op hun website bij te werken zonder moeizame en technische processen. Content Management Systemen zijn krachtige tools die zowel door webontwikkelaars als technisch onbekwame mensen worden gebruikt om het inhoudsaanbod van een website te beheren. De enorme waarde die ze bieden aan websitebeheerders van alle niveaus wordt weerspiegeld in hun populariteit: meer dan 43% van de websites op internet wordt mogelijk gemaakt door een enkel CMS, WordPress. Met andere woorden, meer dan een derde van het totale aantal sites op het internet is ontwikkeld met behulp van één framework.

Helaas heeft dit niveau van populariteit ertoe geleid dat het een doelwit is geworden voor hackers en andere moedwillige actoren. In de huidige wereld van high-profile hacks en ransomware aanvallen, worden contentmanagementsystemen en in het bijzonder WordPress, onder de loep genomen door zowel cyberbeveiligingsprofessionals als webontwikkelaars. Gelukkig beschikt WordPress over een reeks tools, mogelijkheden en competenties waarmee we er met vertrouwen mee kunnen bouwen. De overgrote meerderheid van malicieuse hackpogingen zijn geautomatiseerde, grootschalige inbraken die gericht zijn op bekende kwetsbaarheden in het webecosysteem. Hoewel het uitzetten van een breed netwerk hackers vaak veel rendement oplevert, betekent dit ook dat deze aanvallen voorspeld en voorkomen kunnen worden door op de hoogte te blijven van best practices op het gebied van beveiliging.

In dit artikel zullen we kijken naar CMS-beveiliging, waarbij we ons specifiek richten op ons favoriete platform, WordPress. Na een samenvatting van het huidige WordPress-beveiligingslandschap, zullen we het hebben over enkele veelvoorkomende manieren waarop hackers websites aanvallen, om vervolgens de best practices te beschrijven die experts hebben bedacht om WordPress-sites te beschermen tegen dit soort aanvallen. Daarna zullen we afsluiten met een presentatie van enkele manieren waarop Studio Vi jou kan helpen een stap verder te komen op het gebied van WordPress-beveiliging.

WordPress security best practices

Is WordPress Kwetsbaar?

Zorgvuldige analyse van het WordPress-beveiligingslandschap is ingewikkeld. Aan de ene kant schat Wordfence, een organisatie die werkt aan het verbeteren van de WordPress-beveiliging in het hele internetecosysteem, dat zijn firewall in de eerste helft van 2021 meer dan 86 miljard WordPress-wachtwoordaanvallen heeft geblokkeerd. Aan de andere kant zijn WordPress-sites die worden gehackt overweldigend degenen wiens beheerders niet ijverig zijn in het onderhouden van de software en die de best practices op het gebied van beveiliging niet volgen. Daarom moeten we, wanneer we de vraag stellen ‘Is WordPress veilig?’, ijverig zijn in onze beoordeling van de interface. Een zorgvuldige analyse van het contentmanagementsysteem laat zien dat sites die op de juiste manier met de technologie zijn gebouwd, veel beter bestand zijn tegen de dreiging van hacking dan ze op het eerste gezicht lijken.

We zeiden eerder dat WordPress een ongelooflijk populaire tool voor websiteontwikkeling is. Het drijft alles aan, van persoonlijke blogs tot overheids- en bedrijfswebsites. De website van het Witte Huis, Microsoft News en Vogue zijn allemaal gebouwd met het CMS. De populariteit en aanwezigheid van WordPress vloeit voort uit zijn aard als een stukje software: WordPress is open-source, vrij beschikbaar en gemakkelijk aanpasbaar, en het bestaat al twee decennia in een of andere vorm. WordPress is daarom gedurende een groot deel van het leven van het moderne internet de go-to-tool voor webontwikkeling geweest. Deze factoren zijn zowel een zegen als een vloek voor WordPress. Enerzijds stelt het open-source karakter ontwikkelaars van over de hele wereld in staat om samen te werken en de software en de gerelateerde applicaties continu te ontwikkelen en te verbeteren. Aan de andere kant betekent diezelfde gedecentraliseerde en open-source aard dat iedereen de onderliggende broncode van de technologie kan bekijken en, cruciaal, manieren kan proberen te vinden om deze te code exploiteren. Hoewel autonomie belangrijk is, maakt de schaal van de WordPress-toepassing het buitengewoon moeilijk (zo niet onmogelijk) om ervoor te zorgen dat WordPress-websites worden ontwikkeld en onderhouden volgens de beste beveiligings practices. Evenzo is het erg moeilijk om te controleren of de overvloed aan WordPress-add-ons en plug-ins up-to-date en vrij van kwetsbaarheden zijn.

Gelukkig zijn we van mening dat WordPress een veerkrachtige technologie is waarvan het aanpassingsvermogen en de flexibiliteit het sterk genoeg maken om mee te evolueren met de webbeveiligingsbehoeften van een klant. Het open-source karakter van de technologie stelt de ontwikkelaars in staat om mee te evolueren met het voortdurend veranderende internetbeveiligingslandschap en zorgt ervoor dat de meest moderne versie van WordPress zowel betrouwbaar als veilig is voor gebruik. We moeten er echter op wijzen dat speciale nadruk gelegd moet worden op de uitdrukking die het meest actueel is. Hoewel WordPress een veilig platform is dat voldoet aan de behoeften van de meeste webontwikkelaars en sitebeheerders, hangt die beveiliging af van ontwikkelaars en beheerders die een reeks best practices voor beveiliging volgen die zijn ontworpen om bekende WordPress-kwetsbaarheden op een bepaalde site te elimineren. Hoewel de best practices voor WordPress-beveiliging wellicht overweldigend kan overkomen, is het beveiligen van een WordPress-site vaak net zo eenvoudig als het up-to-date houden van WordPress, het gebruik van moeilijk te kraken wachtwoorden en het implementeren van bepaalde WordPress-beveiligingsplug-ins. Hoewel we in de volgende paragrafen dieper zullen ingaan op wat deze best practices voor WordPress-beveiliging zijn, is het voor nu belangrijk om erop te wijzen dat WordPress een veilig inhoudbeheersysteem is, op voorwaarde dat degenen die het gebruiken op de hoogte blijven van de beste practices en ijverig zijn om wijzigingen aan te brengen aan een WordPress-site wanneer kwetsbaarheden worden ontdekt.

De Dreiging van een Cyberattack

Voordat we het hebben over ‘best practices op het gebied van WordPress-beveiliging, denken we dat het verhelderend zou zijn om uitgebreider te spreken over hackers en de manieren waarop ze beveiligingsproblemen kunnen misbruiken op een slecht onderhouden site. Belangrijk om te vermelden, is het feit dat hackers zich het vaakst richten op websites met gevoelige gegevens, creditcardinformatie, overheidscommunicatie en medische dossiers. Dit betekent dat webbeheerders die met dit soort gegevens te maken hebben, zich bewust moeten zijn van de kwetsbaarheid die dit met zich mee kan brengen.

Hackers kunnen op een aantal manieren deze gegevens proberen te stelen:

  • Backdoor aanvallen: De meest voorkomende vorm van een hackaanval op internet. Hackers die deze methode gebruiken, gebruiken verouderde software (of gevaarlijk programma’s die zich voordoen als software) om de beveiliging van een website te omzeilen en toegang te krijgen via de het hart van een site. Hoewel dit type aanval ernstige gevolgen kan hebben voor een digitaal bedrijf, is het gelukkig relatief eenvoudig te detecteren met behulp van speciale en vrij beschikbare webtools zoals Sitecheck.com.
  • SQL injecties: een aanval waarbij hackers schadelijke code in een website proberen te injecteren via gebruikersinvoer, in de hoop dat dergelijke schadelijke code hen toegang geeft tot vertrouwelijke informatie die is opgeslagen in de database van een website. SQL-injecties zijn een cyberbeveiligingsprobleem dat veel verder gaat dan WordPress – meer dan 143 miljoen Amerikaanse klanten werden beroofd van hun persoonlijke gegevens tijdens de Equifax 2017. Het feit dat zo’n monumentale hack voorkomen had kunnen worden door de meest elementaire voorzorgsmaatregelen (Equifax was al meer dan zes maanden op de hoogte van basale sql-kwetsbaarheden in zijn database en heeft nagelaten actie te ondernemen) benadrukt het belang van best practices voor beveiliging voor elke site.
  • Denial of Service (DoS) aanvallen: een aanval waarbij wordt geprobeerd een website te overspoelen met verkeer en misbruik te maken van kwetsbaarheden in het werkgeheugen. Deze reeks aanvallen (waaronder grotere, complexere versies – bekend als Distributed Denial of Service-aanvallen [D-Dos]) zijn relatief goed bekend bij het grote publiek. Github, het Playstation Network en zelfs het geheel van Amazon Web Services (en daarmee meer dan de helft van het internet) zijn offline gehaald door Denial of Service-aanvallen, en dergelijke aanvallen vormen een aanzienlijk veiligheidsrisico voor de online business. Hoewel het helaas onmogelijk is om jezelf perfect te beschermen tegen een D-DoS-aanval, bieden veel websites en CMS-platforms de mogelijkheid om beveiligingsplug-ins te installeren die je tegen een dergelijke aanval kunnen beschermen. Zowel Sucuri als Cloudflare bieden D-DoS-beveiligingssoftware, waarbij vooral Sucuri voornamelijk wordt ontwikkeld voor gebruik met WordPress.

WordPress Beveiliging Best Practices

In dit stadium vraag je jezelf misschien af: wat zijn deze best practices precies? Hoewel het moeilijk zal zijn om al deze practices volledig vast te leggen in de ruimte die we nog hebben, kunnen we in grote lijnen zeggen dat best practices voor WordPress-beveiliging een reeks technieken en strategieën omvatten die zowel webontwikkelaars als beheerders gebruiken om ervoor te zorgen dat een WordPress site zo goed mogelijk bestand is tegen een moedwillige aanval. Deze strategieën kunnen soms buitengewoon eenvoudig zijn. Het ontwikkelen van slimme en moeilijk te kraken wachtwoorden is bijvoorbeeld een exponentieel effectieve beveiligingsstrategie voor WordPress. Hackers leven voor websites die zijn beveiligd met gewone wachtwoorden, en je zou schrikken van het aantal invloedrijke websites dat is beveiligd met foutieve wachtwoorden. In een van de meest beruchte hacks van vorig jaar werd het Amerikaanse IT-infrastructuurbedrijf SolarWinds geraakt toen aanvallers een belangrijk intern wachtwoord bemachtigden: solarwinds123. Het feit dat hackers met zo’n eenvoudig wachtwoord de gegevens van meer dan 30.000 bedrijven en instanties kunnen stelen, onderstreept zowel het belang van sterke wachtwoorden als het gemak waarmee wachtwoordaanvallen kunnen worden vermeden.

Zowel gebruikers, beheerders als ontwikkelaars kunnen WordPress-sites ook beveiligen door ervoor te zorgen dat ze de nieuwste versie van WordPress gebruiken en een veilige hostserver te kiezen. Aangezien WordPress een voortdurend evoluerende beveiligingsarchitectuur heeft, is het essentieel dat je ervoor zorgt dat jouw software en hostingdiensten zo up-to-date mogelijk zijn. Hierdoor kun je het werk van WordPress-beveiligingsexperts eenvoudig en naadloos in jouw site integreren, waardoor deze veerkrachtiger en minder kwetsbaar wordt voor aanvallen in het proces. Al deze strategieën, die eenvoudig en gemakkelijk uit te voeren zijn, zijn beproefde beveiligingsstrategieën die een grote bijdrage leveren aan het afweren van een mogelijke WordPress-aanval.

Als we naar complexere beveiliging practiceskijken, proberen webontwikkelaars die met WordPress bouwen (zoals wij doen) zelf beveiliging in de site in te bouwen door de belangrijkste vectoren van veelvoorkomende WordPress-aanvallen uit te schakelen (defecte of verouderde PHP-installaties, XML-RPC, verkeerd geconfigureerde HTTPS-elementen). Deze technieken, naast andere meer technische methoden voor het bouwen van websites, stellen ons in staat om met vertrouwen WordPress voor onze klanten in te bouwen. Het is echter belangrijk erop te wijzen dat onderhoud een cruciaal onderdeel is van de WordPress-beveiligingstoolkit. Zoals we eerder hebben beschreven, is WordPress een platform dat voortdurend verandert om te voldoen aan de eisen van een steeds veranderend internetbeveiligingslandschap. Nieuwe hacks, aanvalsvectoren en kwetsbaarheden binnen WordPress worden voortdurend ontdekt en verholpen. Hoewel dit levendige beveiligingsecosysteem uiteindelijk een zegen is voor alle WordPress-gebruikers, van het Witte Huis tot de kleinste bedrijven, vereist het evoluerende karakter ervan een ijverig oog om op de hoogte te blijven.

WordPress Beveiliging: Going the Extra Mile

We hebben tot nu toe het WordPress-beveiligingslandschap uiteengezet en enkele van de technieken geïntroduceerd die je kunt gebruiken om de veerkracht van een WordPress-site te verbeteren. Hoewel de meeste van deze technieken zowel door een professionele als een niet-technische gebruiker geïmplementeerd kunnen worden, hebben onze klanten vaak een extra laag vertrouwen nodig in de beveiliging van hun site. Als gevolg hiervan is Studio Vi bereid om jou te helpen een stap verder te gaan met jouw WordPress-beveiliging. We doen dit door een aantal beveiligingsstrategieën te implementeren die wij hebben geïdentificeerd als de meest kritieke voor het huidige beveiligingslandschap. Om te beginnen bieden webplug-ins zoals de eerder genoemde Sucuri een breed scala aan beveiligingshulpmiddelen die gebruikt kunnen worden om een website aan te passen aan de specifieke beveiligingsvoorkeuren van een klant. We werken ook om het specifieke SSL-certificaat van een website af te stemmen op de behoeften van een klant. Verschillende bedrijven met verschillende gegevensbeschermingsvereisten gebruiken vaak verschillende SSL’s en we zijn bereid om deze behoeften te integreren in een specifieke, op maat gemaakte oplossing. Daarnaast bouwen we onze websites met industriestandaard beveiligingsheaders die zijn ontworpen om de dreiging van gevaarlijke software-injecties te verminderen. Als laatste strategie controleren we onze site ook voortdurend op kwetsbaarheden met behulp van site-checking-software. Hierdoor kunnen we onze klanten continu onderhoud bieden en hen op de hoogte stellen van nieuwe beveiligingsgebeurtenissen en -bedreigingen.

Conclusie

WordPress is een effectief en dynamisch contentmanagementsysteem dat de kern vormt van de hedendaagse webontwikkeling. WordPress beheert meer dan 40% van de sites op internet en zal tot ver in de toekomst door zowel professionele als zelfgemaakte webontwikkelaars gebruikt worden. Helaas heeft de populariteit van WordPress de aandacht getrokken van enkele moedwillige actoren op internet. Dit zou echter niemand van WordPress moeten afschrikken. WordPress is een veilige CMS-oplossing die, indien gebruikt in overeenstemming met WordPress Security Best Practices, bestand gemaakt kan worden tegen alle, behalve de meest geavanceerde cyberbeveiligingsinbreuken. Deze practices kunnen gebruikt worden door WordPress-beheerders en -ontwikkelaars van alle soorten, en bewijzen de algehele veiligheid van het WordPress-platform. Bovendien kunnen deze practices aangevuld en versterkt worden door een reeks beveiligingsaanpassingen waar Studio Vi gekwalificieerd voor is en die wij graag implementeren voor geïnteresseerde klanten.