Robin
Inhoud
- Wat is een SQL injection aanval en wat kunnen hackers ermee?
- Voorbeelden van SQL injection aanvallen in de praktijk
- Plugins om SQL injection aanvallen in WordPress tegen te gaan
- Beginners manieren om SQL injection aanvallen (SQLI) op WordPress te voorkomen
- Gevorderden: Manieren om je website te beschermen tegen SQL injection aanvallen (SQLI)
- Altijd een optimaal beveiligde website?
Wat is een SQL injection aanval en wat kunnen hackers ermee?
SQL injection aanvallen (ook bekend als SQLI) zijn een populaire methode om de WordPress database te hacken. Door de juiste manipulatie toe te passen krijgt de hacker toegang tot het afgeschermde deel van de database. Zo doen ze dat:
De hacker stuurt een SQL verzoek naar de database. In dit verzoek is kwaadaardige code gemaskeerd als een normale actie op je website. Bijvoorbeeld het inloggen op je WordPress website of het invullen van een contactformulier. Door de kwaadaardige code uit te voeren op een kwetsbare database krijgt de hacker toegang tot de database. Wat kan de hacker daarmee?
- Inloggegevens stelen
- Toegang tot databases krijgen
- Data veranderen/manipuleren
- Data wissen
- Vanuit de database toegang verkrijgen tot andere onderdelen van het systeem
Naast het verkrijgen van database toegang kan de hacker met SQL injections tables van de database aanpassen. Daardoor kan de aanvaller beheerdersrechten verkrijgen. Hierdoor kan de hacker je complete WordPress website gijzelen, aanpassen of wissen.
Voorbeelden van SQL injection aanvallen in de praktijk
Er zijn talloze praktijkvoorbeelden van SQLI, een aantal promintente zaken:
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.
- Tesla: Website breach waarmee hackers door middel van SQL injection beheerdersrechten van de website konden verkrijgen. Daarmee konden de hackers klantgegevens buitmaken.
- 7 Eleven: Bedrijfssystemen van meerdere bedrijven binnengedrongen waarbij 130 miljoen creditcardnummers buitgemaakt werden.
- Turkse overheid: RedHack paste een SQL injection toe om de website van de Turkse overheid te hacken.
Als dit soort grote bedrijven en instanties gehackt kunnen worden dan zal een simpele WordPress website kinderspel zijn, niet? Nou, niet altijd. Veel gevallen zijn makkelijk te voorkomen. Bijvoorbeeld door de beveiliging en updates van je website op orde te hebben. Hieronder een paar tips om jouw website te beschermen tegen SQL injections.
Plugins om SQL injection aanvallen in WordPress tegen te gaan
Sucuri Security
Sucuri Security is een van de populairste plugins om WordPress te beveiligen. Deze plugin heeft een uitstekende reputatie door de zeer uitgebreide functies en opties. Sucuri biedt onder meer:
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!
Bekijk de themes »»
Lees meer over Divi.
- Activiteits auditing
- Bestands monitoring
- Malware scan
- Notificaties
- Firewall (Alleen bij de betaalde versie)
WordFence
WordFence is net zoals Sucuri een all in one plugin voor beveiliging. Dit wil zeggen dat praktisch alle beveiligingsfuncties die een WordPress website nodig heeft in de plugin verwerkt zijn. WordFence blinkt uit in:
- De firewall
- Malware scannen
- Inlogbeveiliging (2FA, en brute force preventie)
- Real time monitoring van website verkeer
All in one WP Security & Firewall
Deze security plugin is minder bekend dan WordFence en Sucuri. Maar toch heeft deze plugin een zeer uitgebreide feature lijst. De plugin is 100% gratis, er bestaat dus geen betaalde versie. Alles wat deze plugin kan is gewoon gratis, waaronder:
- Login lockdown (schakelt inloggen uit tijdens brute force aanvallen)
- Bescherming tegen het bewerken van bestanden en backups
- Firewall
- Detectie van veranderingen in bestanden
- Voorkomen van comment spam
Beginners manieren om SQL injection aanvallen (SQLI) op WordPress te voorkomen
Update WordPress tijdig
Het up to date houden van WordPress is een van de makkelijkse manieren om hacks en andere narigheid te voorkomen. Kwetsbaarheden in plugins worden vaak aan de ontwikkelaar bekend gemaakt. Vaak nog voordat de kwetsbaarheden gepubliceerd worden. Hierdoor heeft de ontwikkelaar de tijd om de kwetsbaarheden in de plugin of het thema te verhelpen.
Door je WordPress website dagelijks te updaten maakt je altijd gebruik van de nieuwste versies van plugins en thema’s. Let op:
- Zorg dat je altijd een backup hebt voordat je update!
- Test na het updaten altijd je website om te controleren of alles nog werkt! Een update kan soms onverwachte gevolgen hebben.
Verwijder ongebruikte plugins en thema’s
Elke plugin vormt in meer of mindere mate een beveiligingsrisico. Dit komt doordat niet alle kwetsbaarheden bekend zijn. Het kan dus zomaar zijn dat een of meer van jouw plugins een kwetsbaarheid bevatten.
Zo lang de kwetsbaarheid niet bekend is hoeft dat geen probleem te zijn. Maar zodra hackers lucht krijgen van een nieuwe manier om WordPress websites te hacken maken ze daar gretig gebruikt van.
Door ongebruikte plugins en thema’s te verwijderen kunnen hackers geen gebruik maken van eventuele kwetsbaarheden in deze code. Dus als je een plugin niet meer gebruikt, verwijder deze dan.
Verwijder oude gebruikers uit WordPress
Bij websites met meerdere beheerders of auteurs kan het aantal gebruikers snel oplopen. In principe hoeft dat geen probleem te zijn. Tenminste, als elke gebruiker de best practices voor beveiliging toepast. In de praktijk zien we dat dit niet altijd het geval is.
Inactieve gebruikers, specifiek gebruikers met beheerders privileges zijn een potentiëel veiligheidsrisico voor je website. Als hackers toegang krijgen tot de mail van een van de gebruikers is het een koud kunstje om het wachtwoord van de WordPress account te herstellen.
Gevorderden: Manieren om je website te beschermen tegen SQL injection aanvallen (SQLI)
Voor iedereen die een stapje verder durft te gaan zijn hier nog een aantal tips om de technische beveiliging van je website te verbeteren.
Filter en valideer input formulieren op je website
Een van de meest gebruikte methoden die hackers toepassen bij een SQL injection is door kwaadaardige code naar een formulier op je website te sturen. Denk hierbij aan een inlogscherm of contactformulier. Input validatie en filtering kan op een relatief simpele manier voorkomen dat er kwaadaardige code via deze formulieren bij de database terecht komt.
Voorkom gebruik van dynamische SQL
Dynamische SQL vormt een risico door de manier waarop het geautomatiseerd is. In plaats van statische SQL kan de dynamische variant automatisch statements uitvoeren. Gebruik daarom prepared statements, geparameteriseerde queries or stored procedures.
Beperk toegangsrechten
Door toegangsrechten te beperken bescherm je jouw website beter tegen SQL injections. Verkeerd ingestelde toegangsrechten kan WordPress blootstellen aan SQL injection aanvallen (SQLI). Stel de rollen en rechten van gebruikers dus goed in om problemen te voorkomen.
Schakel database foutmelding in het frontend uit
Hackers kunnen veel informatie uit WordPress foutmeldingen halen. Denk hierbij aan meldingen die weergeven of een gebruikersnaam wel of juist niet bestaat, het emailadres van de beheerdersaccount en in sommige gevallen zelfs delen van interne code. De makkelijkste manier om te voorkomen dat hackers via deze methode informatie buitmaken is het uitschakelen van gespecificeerde foutmeldingen.
Altijd een optimaal beveiligde website?
Kies voor WPLounge WordPress hosting en wij zorgen ervoor dat je website altijd beveiligd en up to date is. Zo kan jij je concentreren op de groei van je zaak terwijl wij zorgen voor een veilige en supersnelle WordPress website.
Roger.Overdevest
Thomas
Reageer