Blog

WordPress beveiliging

WordPress beveiliging - maatregelen die je kan nemen zoals 2FA, SSL en persoonlijke accounts
1 jul 2021
WordPress Leestijd: 5 min.

Het digitaal beveiligen van je website is een belangrijk thema, dat bij veel bedrijven hoog op de agenda staat. In het nieuws zie je veel berichten over o.a. data-lekken en andere security problemen. Bij Stuurlui zijn we actief bezig om dit risico zoveel mogelijk te beperken voor onze klanten. In dit blog zullen we uiteenzetten wat je kan doen om je website goed te beveiligen. Het blog is als volgt opgebouwd:

De basis van WordPress beveiliging

Is WordPress wel te beveiligen?

WordPress is het meest gehackte CMS ter wereld. Maar ook met afstand het CMS dat het meeste gebruikt wordt. Volgens W3Ctechs draait 42% van het internet op WordPress. Ter vergelijking, Shopify is nummer 2 met 3,7%. Dat is een enorm verschil.

Het aantal grote organisaties dat overstapt op WordPress stijgt ieder jaar. Met name die laatste trend zou niet kunnen als WordPress niet aan de door grote organisaties gestelde eisen zou voldoen.

Ook als wij naar ons eigen portfolio kijken zien we toonaangevende (overheids-)organisaties voor wie maatwerk beveiliging, periodieke pen-tests, Single Sign On’s en strenge IP beveiliging de norm zijn. WordPress is goed te configureren om aan deze beveiligingsstandaarden te voldoen.

Waarom wil je de WordPress installatie beveiligen?

Beveiliging van je website is belangrijk om een groot aantal redenen. De meest voordehandliggende zijn natuurlijk dat je niet gehackt wilt worden, geen slachtoffer van ransomware wilt worden, geen datalek wil, enz. Daarnaast is er ook indirecte schade die je wilt voorkomen. Onvoldoende aandacht voor informatiebeveiliging kan ook non-compliance betekenen in contracten met opdrachtgevers of wet- en regelgeving. Zo kan een veiligheidslek wat wordt uitgebuit ook ineens zorgen voor verlies van inkomsten, boetes en reputatieschade.

Het updaten van de WordPress core, thema en plug-in’s

WordPress is open source software die regelmatig wordt onderhouden en bijgewerkt. De absolute basis van je WordPress security is het up-to-date houden van de core, het thema en alle plug-in’s.

De WordPress basis kan worden uitgebreid met duizenden plug-in’s en thema’s die je op de website kunt installeren. Deze plug-in’s en thema’s worden onderhouden door externe ontwikkelaars die regelmatig updates uitbrengen. Deze updates hebben vaak betrekking op het toepassen van nieuwe beveiligingsmaatregelen.

Deze WordPress-updates zijn cruciaal voor de veiligheid en stabiliteit van je WordPress-site. Het is essentieel om te zorgen dat de WordPress core, thema en plug-in’s up-to-date zijn. Dat is de basis van je WordPress beveiliging.

Als je met een bureau samenwerkt hebben zij hier vaak een SLA voor ingericht waarbij het onderhoud gecontroleerd gebeurt. Bij Stuurlui worden bijvoorbeeld alle kritieke security updates binnen 24 uur doorgevoerd voor heel ons portfolio zodat we het risico voor onze klanten zoveel mogelijk beperken. De niet kritieke updates worden volgens ons update protocol doorgevoerd.

Strenge wachtwoorden en gebruikersbeheer

De meest voorkomende pogingen om WordPress te hacken maken gebruik van gestolen wachtwoorden. We raden je daarom aan om sterke wachtwoorden te gebruiken die uniek zijn voor je website. Dit geldt niet alleen voor het WordPress-beheergebied, maar ook voor FTP-accounts, database, WordPress-hostingaccount en de aangepaste e-mailadressen die de domeinnaam van je website gebruiken.

Veel mensen houden er niet van om sterke wachtwoorden te gebruiken omdat ze moeilijk te onthouden zijn. Het mooie is dat je geen wachtwoorden meer hoeft te onthouden. Je kan een wachtwoordbeheerder gebruiken. Zo hebben wij het bij Stuurlui ook ingericht, dit kunnen we je van harte aanraden.

Een andere manier om het risico te verkleinen, is door niemand toegang te geven tot je WordPress-beheerdersaccount, tenzij dit absoluut noodzakelijk is. Als je een groot team van gastauteurs hebt, zorg er dan voor dat je de gebruikersrollen en -mogelijkheden in WordPress begrijpt voordat je nieuwe gebruikersaccounts en auteurs aan je WordPress website toevoegt. Op dit punt zullen we terugkomen bij “Beveiligingsmaatregelen op bedrijfsniveau“.

De rol van je hosting partij

Je hosting partij speelt een belangrijke rol in het beveiligen van je website. Een gedeelte van de beveiligingsmaatregelen gebeurt namelijk op server niveau.

Een goede hostingleverancier heeft ervaring met bijvoorbeeld brute force protection en firewalls, en kan doorlopend monitoren en rapporteren over de beveiliging op hostingniveau.

Beveiligingsmaatregelen op bedrijfsniveau

Beveiligingsmaatregelen bij jouw bedrijf

Binnen jouw bedrijf zijn er een aantal stappen die je kan ondernemen je website zo goed mogelijk te beveiligen.

Het hacken van een website via zwakke wachtwoorden (voorbeeld Welkom01!) is één van de meest voorkomende oorzaken. Als bedrijf kan je met een wachtwoordenmanager werken waarbij medewerkers verplicht een sterk wachtwoord moeten maken. Hiermee verklein je het beveiligingsrisico. Een eventuele volgende stap is om je leverancier te vragen om Two-Factor Authentication (2FA) toe te voegen bij het inloggen. Dan kunnen je medewerkers alleen inloggen als ze via hun mobiel apparaat geverifieerd worden. Als je dit aanvult met gepersonaliseerde accounts binnen WordPress dan heb je het risico geminimaliseerd.

Des te meer gebruikers toegang hebben tot je WordPress installatie, des te meer ingangen kwaadwillenden hebben om binnen te komen. Geef dus alleen mensen toegang tot de website als dit noodzakelijk is.

Informatiebeveiliging is vooral gericht op het beschermen van persoonsgegevens. In de briefing die je naar potentiële leveranciers stuurt kan je opnemen dat je volgens het principe ‘Privacy by design’ wil werken. Het idee is om al in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. Het houdt in dat er al bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy. Verzamel alleen persoonsgegevens als dit strikt noodzakelijk is en brief dit ook aan de leverancier waar je mee gaat werken.

Een strikt leveranciersbeleid draagt bij aan het minimaliseren van het beveiligingsrisico. Zorg dat je hosting partij en bouwer van de website zorgvuldig gescreend worden. In de markt worden hier vaak de ISO, NEN en BIO richtlijnen voor gebruikt.

Om de WordPress beveiliging van je website te testen zijn er partijen in de markt die pentesten uitvoeren. Een pentest is een test waarbij ethical hackers systemen onderzoeken op kwetsbaarheden. De ethical hackers proberen op verscheidene manieren zwakke plekken in systemen aan het licht te brengen. Door een combinatie van geautomatiseerde tooling en creativiteit trachten de ethical hackers ongeautoriseerd toegang tot krijgen tot informatie en/of systemen. Uit de pogingen die ze doen komt vaak een rapport met wijzigingen die je toe kan passen om je website beter te beveiligen.

WordPress beveiliging bij de leveranciers waarmee je werkt

Zoals hierboven benoemd kunnen leveranciers een belangrijke rol spelen in het beveiligen van je WordPress installatie.

Als je de leverancier uitkiest, hou dan altijd rekening met het security vraagstuk. Je zou de leverancier o.a. de volgende vragen kunnen stellen:

  • Op welke manier is informatiebeveiliging bij jullie geregeld? Is hier beleid voor dat we in kunnen zien?
  • Is er een heldere SLA die omschrijft wat de afspraken zijn op het gebied van updaten, patches en uptime?
  • Is er een protocol omtrent het melden en opvolgen van incidenten?
  • Welke specifieke beveiligingsmaatregelen worden op server niveau getroffen?
  • Welke specifieke beveiligingsmaatregelen worden op applicatie niveau getroffen?
  • Is er een ISMS waarin alle protocollen geborgd zijn?

Beveiligingsmaatregelen op serverniveau

Op serverniveau zijn er een aantal maatregelen die je kan nemen om het beveiligingsrisico zoveel mogelijk te beperken. De absolute basis is een SSL certificaat installeren en elke dag back-ups maken zodat deze ten alle tijde terug gezet kunnen worden. Aanvullend daarop zou je in kunnen stellen dat na 3 foutieve inlogpogingen het IP adres wordt geblokkeerd. Daarmee hou je kwaadwillenden buiten de installatie.

Je zou er ook voor kunnen kunnen kiezen om de installatie helemaal af te schermen. Dan hebben alleen bepaalde IP-adressen toegang tot de installatie. Dit is de meest veilige optie, maar heeft ook nadelen dat het minder gebruiksvriendelijk is als bijvoorbeeld mensen thuis werken of een keer vanaf een externe locatie werken.

Beveiligingsmaatregelen op applicatieniveau

Op applicatieniveau zijn er ook maatregelen die je kan treffen om je website zo veilig mogelijk in te richten.

Wat ons betreft begint dit met het gebruik van een veilige stack, het thema en de set aan plug-in’s die je gebruikt om de website op te bouwen. Deze stack moet uitgebreid getest zijn op gebruiksvriendelijkheid, performance en security.

Aanvullend op de stack is aan te raden om periodiek code reviews uit te laten voeren, waar security een onderdeel van is. Bij Stuurlui laten we onze lead developer periodiek de code van onze developers toetsen.

Een veelvoorkomende hack poging is vaak via de /wp-admin binnen te dringen. Als je dit login adres verandert kunnen mensen al moeilijker binnen komen.

Op het gebied van accounts kan je de volgende 3 maatregelen nemen:

  • Zorgen dat medewerkers persoonlijke accounts hebben om in te loggen;
  • 2FA autenthication implementeren in je website;
  • Zorgen dat wijzigingen aan de website geregistreerd worden (bijvoorbeeld door het gebruik van de plug-in Simple History).

Op die manier heb je altijd inzichtelijk wie, welke wijziging aan de website doorvoert en kan je dit controleren.

Conclusie

Concluderend kunnen we stellen dat elk CMS in principe gehackt kan worden. Het gaat er echter om welke maatregelen je neemt om dit risico te verkleinen op bedrijfs-, server- en applicatieniveau. Er zijn veel maatregelen te nemen om dit risico zoveel mogelijk te beperken. Ben kritisch op de leveranciers waarmee je in zee gaat en zorg dat er afspraken worden gemaakt omtrent WordPress security. Dan is WordPress een veilige keuze voor grote en kleine bedrijven.

Gerelateerde blogs

Wat is WordPress?
  • 2 apr 2020
  • WordPress

Wat is WordPress?

Read more about this project
Dit zijn de belangrijkste webdesign trends in 2021
  • 20 okt 2020
  • Marketing

Dit zijn de belangrijkste webdesign trends in 2021

Read more about this project
Sjoerd Kuipers Founding partner & online marketeer

Benieuwd naar de mogelijkheden?

Bezoek ons

Campus werkspoor
Nijverheidsweg 16A
3534 AM, Utrecht

Stel een vraag