Als je een WordPress website hebt, kan deze helaas ook gehackt worden. Hoewel je een hack natuurlijk liever helemaal wilt voorkomen, kan het soms gebeuren dat een WordPress website gehackt wordt.
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.
Doordat er zo veel websites gebruik maken van WordPress – meer dan 30 procent van het hele internet draait tegenwoordig op WordPress – hoor je ook vaak over gehackte WordPress websites. Dat betekent niet dat WordPress per definitie onveilig is. Maar omdat WordPress zo populair is en door zo veel mensen gebruikt wordt, trekt dit ook de aandacht van hackers. Daarom worden er relatief vaak WordPress websites gehackt, doorgaans door kwetsbaarheden in plugins, thema’s en soms ook in de core van WordPress.
Inhoud
- Wat wil een hacker met jouw website?
- Hoe herken je een gehackte WordPress website?
- Een hack is niet altijd makkelijk te herkennen
- Popups
- Rare teksten (met links) op je website
- Redirects naar andere websites
- Vreemde pieken in verkeer
- Plotselinge dalingen in verkeer
- Je kunt niet meer inloggen
- Je website is heel langzaam of onbereikbaar
- Google Search Console
- Google Safe Browsing
- Google Chrome
- Sucuri SiteCheck
- Oplossingen voor een gehackte WordPress website
- Een nieuwe hack voorkomen
- Zorg voor regelmatige (automatische) backups
- Update je plugins, themes en WordPress regelmatig
- Installeer niet zomaar iedere plugin
- Installeer een SSL-certificaat
- Maak gebruik van beveiligingsplugins
- Zorg voor sterke wachtwoorden (en gebruik géén “admin” als gebruikersnaam)
- Verander je wachtwoord regelmatig
- Switch van hostingpartij
- Gebruik een VPN om in te loggen op WordPress
- Beperk het aantal login-pogingen
- Maak het bewerken van themes en plugins (vanuit WordPress) onmogelijk
- Beperk toegang tot specifieke IP-adressen
- Blokkeer “directory browsing”
- Maak gebruik van “2 factor authentication”
- Verander de WordPress database prefix
- Verberg je WordPress-versienummer
- Sluit een Websiteverzekering af bij WPLounge
- Handige links
- Meest gestelde vragen samengevat
Wat wil een hacker met jouw website?
De meeste hackers zijn er op uit om geld te verdienen. Wanneer je website gehackt is herken je dit vaak aan het feit dat er opeens verwijzingen op je website staan richting commerciële websites. Dit kunnen subtiele verwijzingen zijn, zoals simpele links in je teksten, maar het kan ook zo zijn dat je hele website één groot uithangbord is geworden voor een andere website. Daarnaast kan een hacker jouw server gebruiken om SPAM-mails te versturen. Wanneer je een goede hostingpartij gebruikt (zoals bijvoorbeeld Cloud86) zal je hostingpartij haar servers actief monitoren om kwetsbaarheden vroegtijdig te signaleren. Zo kunnen hacks bij dit soort hostingpartijen vaak voorkomen worden. Maar zelfs bij een goede hostingpartij kan een hack voorkomen.
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!
Bekijk de themes »»
Lees meer over Divi.
Naast hackers die geld willen verdienen, zijn er ook nog de hackers die websites hacken uit politieke of ideologische overwegingen. Vaak herken je dit aan politieke uitingen op je website. Zo was er in het verleden een kwetsbaarheid die werd gebruikt door terroristen om politieke boodschappen te verspreiden of puur om te laten zien dat ze je website gehackt hebben.
In de bovenstaande grafiek kun je zien wat er met gehackte WordPress websites wordt gedaan. Zoals je kunt zien wordt er veel SPAM verstuurd en worden veel websites ook offline gehaald. Ook SEO-spam komt vaak voor – dit zijn vaak links richting commerciële websites.
Lees ook: What Hackers Do With Compromised WordPress Sites (WordFence)
Hoe herken je een gehackte WordPress website?
Doordat er verschillende motieven zijn voor hackers om te doen wat ze doen, zijn er ook verschillende tekenen waaraan je een gehackte WordPress website kunt herkennen.
Een hack is niet altijd makkelijk te herkennen
Het is niet altijd gemakkelijk te zien dat je website is gehackt. Soms is er zelfs helemaal niets te zien aan de “voorkant” van je website. Een goed voorbeeld is wanneer je server door een hacker wordt gebruikt om e-mails met SPAM te versturen. Je website ziet er dan meestal nog precies hetzelfde uit als voordat je gehackt werd.
[..] over 90 percent didn’t notice any strange activity, despite the fact that their sites were being abused to send spam, host phishing pages, or distribute malware. (ZDNet in 2012)
De bovenstaande quote uit 2012 is helaas nog altijd actueel. Een hack is vaak niet te zien, zeker niet voor de gemiddelde website-eigenaar, die niet altijd veel kennis heeft van techniek.
Popups
Ongewenste popups op je website zijn vaak een slecht teken. Een hacker kan een popup aan je website toevoegen. Wanneer je een goede browser (eventueel met een AdBlocker) gebruikt krijg je deze popup vaak niet eens te zien. Je browser blokkeert de popup en voor jou als website-eigenaar lijkt het alsof er niets aan de hand is. Een ongewenste popup is vaak een teken dat er iets goed fout zit.
Rare teksten (met links) op je website
Wat ook vaak voorkomt bij een gehackte website: vreemde teksten die je zelf niet geplaatst hebt. Vaak verschijnen deze teksten ook in een andere taal dan jouw (Nederlandse) content. Deze teksten kom je vaak tegen in de footer van je website, maar kan ook “geïnjecteerd” zijn midden in je content (blog-berichten en pagina’s).
In deze teksten worden vaak ook links naar andere websites verwerkt. Vaak gaat het hier dan ook om “SEO Spam”: de hacker gebruikt jouw website om links naar zijn eigen website te plaatsen in de hoop om zo meer bezoekers te krijgen en een hogere positie te bemachtigen in Google.
Redirects naar andere websites
Een andere veelgebruikte techniek is een redirect vanaf jouw website naar een andere website. Vaak word je in dit geval na een paar seconden ge-redirect naar een andere website.
Vreemde pieken in verkeer
Een ander teken van een gehackte website zijn vreemde (onverwachte) pieken in traffic naar je website. Vaak komt deze traffic ook uit landen waaruit je normaliter niet veel traffic ontvangt. Ook een (niet logisch te verklaren) verhoogd gebruik van bandbreedte is vaak een slecht teken.
Plotselinge dalingen in verkeer
Maak je gebruik van bijvoorbeeld Google Analytics om het verkeer bij te houden op je website? Zie je een plotselinge daling in verkeer die je niet op een andere manier kunt verklaren? Sommige malware redirect je bezoekers naar een andere website, waardoor jouw website opeens minder bezoekers heeft. Het kan ook te maken hebben met het feit dat browsers jouw website als “onveilig” markeren, waardoor bezoekers niet meer op jouw website kunnen komen.
Je kunt niet meer inloggen
Wanneer je niet meer kunt inloggen met de bij jou bekende inloggegevens in de WordPress admin omgeving is dat meestal geen goed teken. Je kunt wel proberen om je wachtwoord te resetten door je e-mailadres in te vullen. Daarnaast kun je – als je nog bij je database kan – je wachtwoord ook resetten via phpMyAdmin (lees ook: How to Reset a WordPress Password from phpMyAdmin).
Je website is heel langzaam of onbereikbaar
Er zijn veel verschillende oorzaken te bedenken voor een langzame website. Een langzame website hoeft daarom niet automatisch te betekenen dat je website gehackt is. Wel kan het een teken zijn dat er verdachte scripts actief zijn op jouw WordPress website. Deze scripts gebruiken veel dataverkeer en maken je website op die manier langzamer.
Google Search Console
We hebben al vaker geschreven over Google Search Console (voorheen Google Webmaster Tools). Wanneer je website is aangemeld bij Google Search Console, zal Google je een e-mail sturen wanneer er verdachte activiteit is waargenomen op jouw website. Je krijgt vaak ook een melding te zien in Google Search Console.
Google Safe Browsing
Een andere manier om te zien of Google je website als “veilig” beoordeelt, is om je domeinnaam in te vullen bij Google Safe Browsing. Een voorbeeld zie je hier: bij WPLounge geeft Google aan dat er geen onveilige content is aangetroffen.
Google Chrome
Wanneer Google op jouw website wél “unsafe content” heeft gevonden, zie je dit vaak ook terug in Google Chrome, de browser van Google. Je krijgt dan een rood scherm met een waarschuwing te zien, met de melding dat de website die je probeert te bezoeken onveilig is. Wanneer je dit te zien krijgt is dat een hele duidelijke boodschap van Google dat er iets mis is met je website.
Sucuri SiteCheck
Tot slot kan ik je aanraden om je website eens te laten scannen door de gratis Sucuri SiteCheck. Vul je URL in en Sucuri zal je website scannen op malware en andere onbetrouwbare praktijken. In de onderstaande screenshot kun je zien dat er op WPLounge.nl geen malware is aangetroffen en dat er geen geïnjecteerde SPAM is gevonden. Ook staat onze website niet op één van de tien “blacklists” die Sucuri raadpleegt.
Het feit dat Sucuri geen malware heeft gevonden biedt natuurlijk geen garantie dat je website niet is gehackt, maar veel hacks worden door Sucuri wel herkend.
Oplossingen voor een gehackte WordPress website
Er zijn verschillende oplossingen voor het oplossen van een gehackte WordPress website. Doordat er veel verschillende hacks mogelijk zijn, zijn er ook verschillende oplossingen voor deze hacks. We proberen in dit artikel zo veel mogelijk praktische oplossingen te geven. We kunnen helaas niet garanderen dat dé oplossing voor jouw gehackte website er bij staat.
Onze tip: een professionele partij inschakelen
Wanneer je zelf niet heel technisch bent, ligt het voor de hand om een professionele partij in te schakelen voor het oplossen van je hack. Een bekende partij die veel ervaring heeft met het oplossen en voorkomen van gehackte WordPress websites is Sucuri.
Een abonnement bij Sucuri is ideaal voor mensen die zelf niet technisch genoeg zijn om een hack op te lossen. Sucuri kan je website weer veilig maken en er daarna voor zorgen dat je website minder snel gehackt wordt.
Liever door een Nederlandse partij je WordPress website hackvrij maken? Kies dan voor WPonderhoud. Ook zij beschikken over de juiste kennis om je website snel weer schoon te krijgen van malware. WPonderhoud biedt je een maand lang hackvrij garantie. Het kan namelijk zijn dat je website opnieuw gehackt raakt. Is dat het geval? Dan wordt je website zonder extra kosten weer helemaal malwarevrij gemaakt en wordt de oorzaak naar de nieuwe hack in kaart gebracht om er vervolgens voor te zorgen dat de website lastiger gehackt kan worden.
Geef deze code door aan WPonderhoud:
“WPL-UNLIMITED”.
Verzamel informatie
Voordat je begint met het oplossen van een gehackte WordPress website, is het belangrijk om eerst op een rij te zetten wat er allemaal aan de hand is. Kun je nog inloggen in je WordPress admin omgeving (wp-admin)? Staat er content op je website die je niet zelf geplaatst hebt? Markeert Google (of Google Chrome) je website als onveilig?
Contacteer je hostingpartij
Nadat je alle informatie hebt verzameld kun je het beste contact opnemen met je hostingpartij. Bij hostingpartijen als Cloud86 zitten mensen die vrijwel dagelijks hun klanten helpen met dit soort problemen. Zij kunnen snel handelen en weten vaak ook hoe ze een hack het beste kunnen oplossen. Vaak zal je hostingpartij je helpen met het oplossen van je hack. Deze hulp is overigens niet altijd gratis, dus informeer eerst naar de kosten.
Zet een backup terug (en verander alle wachtwoorden)
Heb je een backup van vóór de hack? Zet deze dan terug. Bedenk je wel dat de content die je hebt geschreven ná deze backup dan verloren zal gaan. Daarnaast weet je niet altijd precies wanneer je website gehackt is. Je weet dan ook niet welke backup je kunt terugzetten van vóór de hack. Deze optie is dan ook alleen van toepassing als je (eventueel met hulp van je hostingpartij) kunt achterhalen wanneer de hack heeft plaatsgevonden.
Belangrijk is wel om na het terugzetten van je backup direct alle wachtwoorden te veranderen:
- maak voor ieder account op je WordPress website een nieuw wachtwoord aan
- verander het wachtwoord dat je gebruikt voor FTP
- verander je wachtwoord voor DirectAdmin of Plesk
Zijn er nog andere manieren waarop een hacker jouw website heeft kunnen binnendringen? Verander deze dan ook, en kies in alle gevallen voor een sterk wachtwoord. Je kunt hiervoor een website als Strong Password Generator gebruiken.
Scan je website en verwijder malware
Verwijder inactieve WordPress thema’s en plugins, zodat je zeker weet dat hier geen verborgen hacks in kunnen zitten. Zodra je alle ongebruikte plugins en themes hebt verwijderd, is het tijd om je website te scannen voor hacks en/of malware. Hiervoor kun je gratis plugins gebruiken:
- Sucuri Scanner is de gratis plugin van Sucuri waarmee je je hele WordPress website kunt laten scannen op malware.
- Theme Authenticity Checker (TAC) scant alle bestanden van je WordPress themes op verdachte code.
De scanner van Sucuri zal je hele website scannen en – als je geluk hebt – precies vertellen waar je website gehackt is. Vaak bevindt een hack zich in de uploads-folder of in bestanden als het .htaccess-bestand of heel soms wp-config.php.
De plugin Theme Authenticity Checker (TAC) zal per theme laten zien of deze “OK” is bevonden of dat er verdachte wijzigingen zijn gevonden in de broncode. Wanneer de hack in één van je themes zit, kun je dit op verschillende manieren oplossen. De makkelijkste manier is om het theme opnieuw te downloaden en te uploaden naar WordPress (via bijvoorbeeld FTP). Zorg er hierbij voor dat alle bestanden van het theme volledig overschreven worden.
Zit de hack in je WordPress Core-bestanden? Download WordPress dan opnieuw vanaf WordPress.org en upload deze via FTP. Ook hier is het van belang dat je alle oude bestanden overschrijft. Maak wel eerst een backup van je website.
Controleer je gebruikers, rollen en rechten
Zowel tijdens een hack als na het oplossen van een hack, is het cruciaal dat je alle accounts op je WordPress website controleert. Om dit te doen ga je (in WordPress) naar Gebruikers > Alle gebruikers. Hier vind je een lijst van alle gebruikers op je WordPress website.
Als je een gebruiker ziet staan die je niet herkent, verwijder deze dan direct. Zorg ervoor dat alleen personen die je vertrouwt een account hebben. Ook is het vaak helemaal niet nodig om iedereen de rol “Beheerder” te geven. Bepaal wie deze rol echt nodig heeft en geef de andere gebruikers een andere rol. Beperk de rol “Beheerder” tot 2, maximaal 3 gebruikers.
Nadat je dit hebt gedaan is het belangrijk om voor iedere gebruiker een nieuw (sterk) wachtwoord in te stellen.
Lees ook: WordPress gebruikers, rollen en rechten.
Verander je “secret keys”
De “secret keys” van je WordPress installatie bevinden zich in het wp-config.php bestand. Na het oplossen van een hack kun je deze secret keys het beste vervangen met een nieuwe reeks willekeurige tekens. Dit gedeelte van je wp-config.php ziet er als volgt uit:
define('AUTH_KEY', '0rK[$kQ$Tu;Ok}6h7rM-<reB0GL>);Y7.[rE^+Qu?YO$ihs}jA[|]SH^6AqQqCWF');
define('SECURE_AUTH_KEY', '_4rQS!#`^S@Aego*/DKBKFdGpFbl56>c&>p,53VXB1KOBpY)RJ^xu<8%pe5+M-tR');
define('LOGGED_IN_KEY', '>j6X:K`^a)E;}0~JjGwHN9TowavSH`]My/+PftUoJ6Gz!j}:/cy}WrZ}^Mhy(M@j');
define('NONCE_KEY', ']JP}XR8|$|?e?/-s+jVX`tQ&qdo*Bnx(OOX--!ziQL]|Bv@o6nY}NSM9g:kYF|-+');
define('AUTH_SALT', '=*ANA`mnrR5H7hUS&3/P6%Gt|x)l[/=tGlJM1wf)%*5+Igx:Xcpf?Ze>Blv|=}eQ');
define('SECURE_AUTH_SALT', '(:D+S:{@94|IKh^A|@g8h^Ynd!e}8ke#/8-t(#PAR-7niw+i@Y*liDa@1(&iR|xH');
define('LOGGED_IN_SALT', 'WWcPE=Gz+:@#VBO|A!<h&AeHLNYO<wv;b4drzeS+yI6K]@OV-bDRLf/*gq{`2+~r');
define('NONCE_SALT', '_DV60>[He.p.UF4*{`uebM6XpheE_~+{6%7@chq)Y N=M@bfk]vY*O+a,Qivj&o8');
Je kunt nieuwe “secret keys” laten genereren op WordPress.org: klik hier. Vervang de regels in je wp-config bestand met de nieuwe secret keys die je daar ziet staan.
Verander alle wachtwoorden
Ik heb het in dit artikel al meerdere keren geschreven: verander alle wachtwoorden. Geef iedere gebruiker op je WordPress website een nieuw wachtwoord. Vervang ook het wachtwoord dat je gebruikt voor FTP en voor het controlepaneel van je hostingpartij (bijvoorbeeld DirectAdmin of Plesk).
Een nieuwe hack voorkomen
Nadat je een gehackte WordPress website hebt gerepareerd of hebt laten repareren, is het belangrijk dat je je gaat richten op het voorkomen van een nieuwe hack. Je weet nu hoe vervelend het is om gehackt te worden, dus aan motivatie mag het niet ontbreken ;-). Voorkomen is namelijk altijd beter dan genezen.
Zorg voor regelmatige (automatische) backups
Iedereen die websites maakt met WordPress zou moeten weten dat het enorm belangrijk is om regelmatig backups te maken. Het maakt niet zo veel uit hoe je dit doet, als je het maar doet! Zo schreef ik onlangs een artikel genaamd Automatische WordPress backups naar Google Drive. Daarnaast bieden veel hostingpartijen ook automatische backups aan. Zorg er echter voor dat je niet volledig afhankelijk bent van de backups van je hostingpartij, maar dat je ook nog op een andere plek regelmatig backups opslaat. Google Drive is hier zeer geschikt voor. Zorg ervoor dat je folder met backups ook toegankelijk is voor je teamleden of collega’s. Als jij dan een keer op vakantie bent, kunnen zij ook bij de backups.
Update je plugins, themes en WordPress regelmatig
Naast het maken van backups is het ook belangrijk om regelmatig je plugins, themes en WordPress zelf te updaten. Gelukkig gebeurt dit tegenwoordig vaak automatisch. WordPress (en plugins en themes) worden niet alleen geüpdatet om nieuwe features toe te voegen, er worden ook veel verbeteringen doorgevoerd aan de beveiliging van plugins en themes. Sterker nog, veel WordPress, plugin- en theme-updates worden juist uitgebracht omdat er een (klein) lek is ontdekt!
Installeer niet zomaar iedere plugin
Eén van de dingen die WordPress zo mooi maakt, is dat er voor bijna alles een (gratis) plugin is. Maar doordat iedere ontwikkelaar een plugin voor WordPress kan maken, zijn er ook een hele hoop plugins die niet aan bepaalde standaarden voldoen. Daarnaast komt het vaak voor dat een plugin na een aantal jaar niet meer onderhouden wordt door een ontwikkelaar. Zo’n plugin was misschien goed toen hij voor het eerst gebouwd werd, maar kan na een paar jaar zonder updates de nodige problemen opleveren. Het is daarom belangrijk om – bij elke plugin die je installeert – het volgende te controleren:
- Beoordelingen van andere WordPress-gebruikers;
- Hoe vaak wordt de plugin geüpdatet en wanneer is dit voor het laatst gebeurd?
- Heb ik deze plugin echt nodig?
Op een plugin-pagina van WordPress.org kan het voorkomen dat je de volgende melding ziet staan (bovenaan de plugin-pagina):
Dit hoeft overigens niet automatisch te betekenen dat het een slechte plugin is. Sommige plugins zijn heel simpel en hoeven daarom niet vaak geüpdatet te worden. Het is echter wel een goed signaal dat je extra moet opletten.
Installeer een SSL-certificaat
Wanneer je een SSL-certificaat installeert en je alle traffic via HTTPS laat lopen, worden alle gegevens versleuteld. Veel hostingpartijen bieden gratis SSL-certificaten aan van Let’s Encrypt. Biedt jouw hostingpartij (nog) geen gratis SSL-certificaten aan? Informeer dan naar de betaalde opties. Meestal kost een SSL-certificaat niet veel meer dan een paar tientjes per jaar.
Een extra reden om een SSL-certificaat te installeren is dat Google het als ranking factor gebruikt. Vanaf juli dit jaar zal Google Chrome websites zonder (goed werkend) SSL-certificaat zelfs als “niet veilig” gaan tonen.
Lees ook: WordPress & HTTPS: SSL-certificaat installeren op je WordPress-site?
Maak gebruik van beveiligingsplugins
Eerder in dit artikel noemde ik al gratis plugins als Sucuri. Deze plugin is een zeer goede toevoeging om je website veiliger te maken. Naast Sucuri is er ook nog Wordfence Security. Deze gratis plugin bevat een firewall en een malware scanner waarmee veel hackers van je website geweerd worden. De Wordfence-plugin beperkt ook het aantal login-pogingen dat vanaf één IP-adres kan worden gedaan. Meer hierover lees je in het stukje Beperk het aantal login-pogingen.
Zorg voor sterke wachtwoorden (en gebruik géén “admin” als gebruikersnaam)
Misschien vind je het logisch om een sterk wachtwoord te gebruiken. Mijn ervaring is echter dat veel mensen dit enorm onderschatten. Ik kom nog vaak wachtwoorden tegen als “Welkom01” of accounts waarbij gebruikersnaam en wachtwoord identiek zijn.
Zorg voor een sterk wachtwoord met speciale (lees)tekens en eventueel zelfs spaties. Je kunt een website gebruiken als Strong Password Generator om een sterk en betrouwbaar wachtwoord aan te maken. Maar ook in WordPress zelf word je tegenwoordig aangemoedigd om een sterk wachtwoord te maken. Ga maar eens naar Gebruikers > Je profiel en scroll naar de optie “Nieuw wachtwoord”:
Zoals je kunt zien maakt WordPress een lang en sterk wachtwoord voor je aan. Dit wachtwoord ga je zelf natuurlijk niet onthouden, dus maak gebruik van een tool als LastPass om je wachtwoorden te beheren.
Een andere veelgemaakte fout is het gebruiken van “admin” als gebruikersnaam. Dit is de standaard gebruikersnaam voor de beheerder van een WordPress-website. Je maakt het hackers op deze manier heel erg makkelijk, ze hoeven dan namelijk alleen nog je wachtwoord te raden.
Verander je wachtwoord regelmatig
Behalve het gebruiken van een sterk wachtwoord, is het ook belangrijk om je wachtwoord regelmatig te veranderen. Heb je veel gebruikers en wil je niet alle wachtwoorden steeds handmatig aanpassen? Gebruik dan een plugin als Expire Passwords om wachtwoorden automatisch te laten verlopen. Standaard wordt iedere gebruiker dan elke 90 dagen gedwongen om een nieuw wachtwoord aan te maken. Dit klinkt misschien irritant, maar het is een zeer effectieve manier om er voor te zorgen dat je website veilig blijft. ING doet iets vergelijkbaars bij internetbankieren: na een bepaalde periode moet je een nieuw wachtwoord kiezen.
Switch van hostingpartij
Host je je website voor een paar euro per jaar? Goedkoop staat niet per definitie gelijk aan “slecht”, maar vaak zijn premium hostingpartijen een stuk pro-actiever in het monitoren van hun servers. Het beste is om te kiezen voor een hostingpartij die ervaring heeft met WordPress of zelfs speciale WordPress hosting-pakketten aanbiedt. Ook kan het geen kwaad om – als je budget het toelaat – gebruik te maken van een “managed WordPress hosting”-partij. Bekijk onze webhosting provider reviews pagina.
Gebruik een VPN om in te loggen op WordPress
Veel mensen die WordPress gebruiken doen dit vanuit huis of onderweg. Zeker wanneer je bijvoorbeeld een reisblog bijhoudt, kun je overal ter wereld je site onderhouden. Meestal ben je dan wel gebonden aan de openbare wifi die er op locatie beschikbaar is. We raden je aan om op openbare locaties gebruik te maken van een VPN.
Wat doet VPN. Een VPN maakt het je mogelijk de inloggegevens van WordPress versleuteld te versturen. Een VPN creëert een soort beveiligde tunnel binnen een onbeveiligd netwerk. Zo kan je je gevoelige data afschermen. Het helpt bij het verbergen van je echte IP-adres en zo kun je anoniem blijven. Je gebruikersnaam en wachtwoorden worden versleuteld verzonden, zodat niemand deze gevoelige gegevens kan onderscheppen. En het mooie is dat eigenlijk alle betrouwbare VPN’s geschikt zijn en je ze zonder diepe technische kennis kunt gebruiken.
Beperk het aantal login-pogingen
Installeer een plugin zoals Limit Login Attempts. Hackers proberen meestal niet om je website handmatig te hacken, maar gebruiken hiervoor een “bot”: een simpel programmaatje dat eindeloos wachtwoorden uitprobeert totdat het gelukt is om in te loggen. Het is bij dit soort praktijken vaak een kwestie van tijd voordat het lukt om in te loggen. Met een plugin zoals Limit Login Attempts maak je het zo’n programma onmogelijk om eindeloos wachtwoorden uit te proberen. Als het iemand na een X aantal keer nog niet is gelukt om het wachtwoord correct in te vullen, wordt het IP-adres de toegang tot je website (tijdelijk) ontzegd. Daarnaast heeft deze plugin een zogeheten “captcha”-verificatie om het ‘robots’ extra moeilijk te maken.
Maak het bewerken van themes en plugins (vanuit WordPress) onmogelijk
Deze techniek is een extra laag beveiliging voor als je website tóch gehackt wordt. Je maakt het een hacker hiermee namelijk onmogelijk om theme- en plugin-bestanden te bewerken vanuit WordPress. Wanneer je in WordPress naar Weergave > Editor gaat, kun je meestal alle bestanden van je theme(s) direct aanpassen. Hetzelfde geldt voor plugins (via Plugins > Editor).
Je hoeft alleen maar het volgende stukje code toe te voegen aan je wp-config.php bestand om te voorkomen dat je theme- en plugin-bestanden kunnen worden bewerkt:
define( 'DISALLOW_FILE_EDIT', true );
Beperk toegang tot specifieke IP-adressen
Hoewel dit een extreme maatregel is en voor veel websites niet nodig, kun je ook de toegang tot /wp-login.php en /wp-admin beperken tot de IP-adressen die jij vertrouwt. Dit doe je door het .htaccess-bestand te bewerken (deze vind je door in te loggen via FTP of DirectAdmin). Voeg de volgende code toe aan dit bestand:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^123.123.12.12$
RewriteCond %{REMOTE_ADDR} !^456.456.45.45$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>
In het bovenstaande voorbeeld heb ik twee IP-adressen (123.123.12.12 en 456.456.45.45) toegang gegeven tot de directory /wp-admin/ en de pagina /wp-login.php. Je kunt zo veel regels met IP-adressen toevoegen als je wilt.
Let op! Wanneer je deze instelling gebruikt betekent dit dat je je .htaccess-bestand steeds moet aanpassen wanneer er een nieuwe gebruiker wordt toegevoegd óf als je vanaf een nieuwe computer of draadloos netwerk wilt inloggen. Deze methode is dan ook erg extreem en in veel gevallen niet nodig.
Blokkeer “directory browsing”
Het is geen goed idee om je bezoekers te laten bladeren door de directories van je website. Meestal is dit standaard al niet mogelijk om WordPress websites. Als je directories zichtbaar zijn kunnen hackers snel zien welke (verouderde) themes en plugins je eventueel gebruikt en hier misbruik van maken. Om directory browsing te blokkeren, voeg je het volgende stukje code toe aan je .htaccess-bestand:
# directory browsing uitzetten Options All -Indexes
Maak gebruik van “2 factor authentication”
Steeds meer websites maken gebruik van “2 factor authentication” (2-stapsverificatie). Bij DigiD is het bijvoorbeeld vaak verplicht om naast je gebruikersnaam en wachtwoord ook een code in te vullen die je per SMS ontvangt. Je kunt een vergelijkbaar mechanisme installeren op je WordPress website. Dit kun je bijvoorbeeld doen met de Google Authenticator-plugin. Iedere gebruiker dient dan wel de Google Authenticator-app op zijn/haar telefoon te installeren (iPhone / Android).
Verander de WordPress database prefix
WordPress gebruikt standaard de prefix “wp_” in alle database-tabellen. Bij het voorkomen van een hack draait het er grotendeels om dat je niet voorspelbaar bent. Gebruik jij een standaard gebruikersnaam zoals “admin”, dan ben je voorspelbaar. Hetzelfde geldt voor het gebruiken van “wp_” als database-prefix. Dit is voorspelbaar omdat een hacker deze prefix verwacht. Je kunt bij het installeren van WordPress voor een andere prefix kiezen. Heb je WordPress al geïnstalleerd? Dan kun je plugins als WP-DBManager of iThemes Security gebruiken om deze achteraf te veranderen.
Verberg je WordPress-versienummer
Een laatste tip voor de beveiliging van je website: verberg het versienummer dat je WordPress installatie gebruikt. Wanneer je de broncode van een WordPress website bekijkt is het vaak vrij gemakkelijk te achterhalen welke versie van WordPress een website gebruikt. Een hacker kan er zo achter komen of jij een verouderde versie van WordPress gebruikt en – als dit zo is – misbruik maken van bekende bugs of “backdoors”. Je kunt je WordPress versienummer verbergen met bijna alle eerdergenoemde plugins.
Sluit een Websiteverzekering af bij WPLounge
Je kunt een hack van je website ook voorkomen door een websiteverzekering af te sluiten bij WPLounge. Door deze websiteverzekering verzekeren wij je van een website die niet gehackt kan worden en altijd online is. Ook verzorgen wij het updaten van de WordPress versies, themas en gebruikte plugins. Deze verzekering bieden wij aan voor €60 per maand. Interesse in onze websiteverzekering? Kijk dan verder op onze Websiteverzekering pagina.
Handige links
Om dit artikel tot stand te laten komen hebben wij (naast onze eigen kennis) natuurlijk verschillende bronnen gebruikt.
- Beginner’s Guide to Fixing Your Hacked WordPress Site (EN)
- “My site was hacked” op WordPress.org (EN)
- How to Clean a Hacked WordPress Site using Wordfence (EN)
- How to Troubleshoot and Fix a WordPress Site (EN)
- WordPress beveiligen; een uitgebreide handleiding (NL)
Meest gestelde vragen samengevat
😵 Hoe herken je een gehackte WordPress website?
Dit kan soms lastig te zien zijn. Echter kun je aan een aantal dingen wel herleiden dat je gehackt bent: popus, rare teksten met links op je website, redirects naar andere websites, vreemde pieken in traffic, etc.
😱 Help! Ik ben gehackt! Wat nu?
Er zijn verschillende oplossingen, maar wij raden je aan om een professionele partij in te schakelen die veel ervaring heeft met hackers. Bovendien is het goed je hostingpartij te contacteren en alle wachtwoorden te veranderen.
🚨 Hoe voorkom je hacks?
Zorg voor regelmatige backups, update je plugins, thema's en WordPress regelmatig, installeer niet zomaar iedere plugin, installeer een SSL-certificaat en maak gebruik van sterke wachtwoorden. Dit en nog vele andere tips kunnen je helpen.
Hallo Wouter, bedankt voor de uitgebreide beschrijving. Ik heb er veel van geleerd.
Mooi om te horen, Johanna :-).
Hey Wouter, bedankt voor je artikel. Ik zelf ben ook voor het eerst gehacked. Het enige advies wat ik daarvoor heb is voorkomen is beter dan genezen want al mijn accounts zijn gehacked en vanuit mijn hosting werden inderdaad mails verzonden, informatie verkocht etc. Had perongeluk iets gedownload waar een virus inzat ( een plugin ). Alle bestanden op mijn website zijn geinfecteerd en omdat het een custom wordpress website is doen de virus scanners het ook niet altijd even goed. Nadeel is ook dat veel betaald zijn. Gebruik zelf wordfence maar toch moet je soms zelf de code ertussen uit halen en dan kan niet zonder enige kennis van een progrommaar taal en daar hebben de virusscanners dan weer goed op ingehaakt want ze vragen allemaal stuk voor stuk veel geld. Achja, ben bijna klaar met het opschonen na een 1 week tijd.