Hoe een site beveiligen? Handleiding voor websitebeveiliging

Aantal weergaven

391
afdrukken · Probeer het eens: 24мин · Автор: · Опубликовано · Обновлено

Luister naar dit artikel

Hoe beveilig je je site? Gebruik de volgende methoden. Beveiliging van de site.

Websitebeveiliging of hoe een website te beschermen? Sommige hacks gebeuren om volledig belachelijke redenen: ontijdige updates, zwakke wachtwoorden, enz. In deze essentiële veiligheidsgids voor websites laat ik je zien hoe je een website kunt beveiligen:

  • Zelfs als... je nieuw bent op het gebied van websitebeveiliging en niet helemaal begrijpt wat dat betekent;
  • Zelfs als... je eerder hebt geprobeerd en gefaald om je site te beveiligen;
  • Ook als… je overweldigd raakt door het hoofdwerk en niet weet waar je moet beginnen;
  • Zelfs als... je denkt: "Ik ben geen partij voor hackers - dus waarom zou je iets proberen?"
Maar wat nog belangrijker is, ik ga het hebben over hoe we aan de slag gaan. denk na over de veiligheid van uw websites in de eerste plaats. Zo heb je alle tools in handen om de juiste (beveiligings)beslissingen te nemen voor je site. Er zal zoveel mogelijk informatie zijn, schenk jezelf een kopje thee of koffie in en maak je klaar.
De inhoud van het artikel:

Wat is sitebeveiliging?

Hoe uw website te beveiligen - wat is websitebeveiliging?

Hoewel het geweldig is dat u enkele stappen onderneemt om uw website te beschermen. U moet begrijpen dat sitebeveiliging een continu proces is dat periodieke aandacht van u vereist. Hackers zijn creatieve mensen, dus bedreigingen evolueren voortdurend.

Sitebeveiliging is het plan om uw website en gebruikers tegen te beschermen hackers en hun malware. Dit omvat inzicht in de componenten van uw website, hoe ze samenwerken en welke kwetsbaarheden ze hebben.

Zodra deze basis aanwezig is, moet u een uitgebreid beveiligingsplan opstellen om u te beschermen tegen kwetsbaarheden. Dit omvat een reeks configuratiestappen, het implementeren van beleid en het up-to-date houden van bedreigingsinformatie.

De sleutel tot het beveiligen van een website is begrijpen dat dit niet een eenmalig iets is. Beveiliging evolueert omdat bedreigingen evolueren.

U zult in het onderstaande artikel zien dat een goede beveiligingsplug-in het meeste harde werk op het gebied van malware zal doen, maar voorzichtig en waakzaam zijn is wat een website in de eerste plaats veilig houdt.

Waarom is websitebeveiliging belangrijk?

WordPress wordt door miljoenen mensen gebruikt, dus het is waarschijnlijk veilig, toch? Ja en nee.

— Ja, omdat de kernbestanden van WordPress worden beschermd en zelfs als er een kwetsbaarheid wordt gevonden, wordt deze zeer snel verholpen.

- Nee, want uw site is niet alleen de kern van WordPress. Het is een combinatie van plug-ins en thema's die uw site functioneler, interactiever en aantrekkelijker maken. Deze plug-ins en thema's verbeteren de functionaliteit van WordPress, maar vergroten ook de kans op kwetsbaarheden. Goede ontwikkelaars van plug-ins zullen kwetsbaarheden snel oplossen. Maar het gevaar is in dit opzicht veel groter.

Hoe bescherm je je site tegen hackers? Actie Stappen

Hoe de site te beschermen tegen hacking, hackers, kwaadaardige activiteiten.

Hebben uitvoerbaar plan Om uw website te beschermen, is de eerste stap om te begrijpen hoe websites worden gehackt. Volgens het volgende onderzoek worden websites voornamelijk op drie manieren gehackt:

  • 90+% - Kwetsbaarheid in een WordPress-plug-in of -thema.
  • 5+% - Gecompromitteerde gebruikersnaam en/of wachtwoord.
  • <1% - Slechte webhostingservices.
Deze toewijzing moet de basis vormen van hoe u van plan bent uw site te beveiligen en waar u meer tijd en middelen aan moet besteden.

1. Bescherm uw site tegen kwetsbaarheden

Hackers zijn voortdurend op zoek naar kwetsbare websites. Het maakt niet uit of de site groot of klein is. Ze hebben veel voordelen bij het hacken van bijna elke website. Onze ervaring is dat meer dan 90% van alle inbreuken het gevolg is van hackers die een kwetsbaarheid ontdekken en misbruiken.

Laten we eens nader bekijken wat kwetsbaarheden zijn. Dit is erg belangrijk om te begrijpen, zodat u in de toekomst uw websitebeveiligingsstrategie bewust kunt vormgeven.

Wat is een kwetsbaarheid?

Uw website bestaat uit 3 hoofdcomponenten: WordPress, plug-ins en thema's. Het is eigenlijk allemaal software, en zoals elke software bevat het bugs waardoor het soms crasht.

Fouten kunnen verschillende gevolgen hebben: sommige vertragen uw website of veroorzaken een fout wanneer iemand deze bezoekt. Dit is vervelend en problematisch, maar de serieuzere geven ongeautoriseerde gebruikers (zoals hackers) toegang tot uw website. Zo'n bug wordt een kwetsbaarheid genoemd.

Soorten kwetsbaarheden

Kwetsbaarheden kunnen, net als in de vorige paragraaf, worden gekarakteriseerd als bugs in de code. Er zijn echter enkele specifieke typen die vaker voorkomen dan andere:

  1. Verouderde software: het is belangrijk om de kern, plug-ins en thema's up-to-date te houden;
  2. Slecht beheer van gebruikersrollen: geef niet elke gebruiker volledige beheerderstoegang;
  3. Niet-opgeschoonde invoer: invoervelden moeten invoer valideren voordat ze worden opgeslagen en/of uitgevoerd.

Mogelijke hacks op een onbeveiligde website

Kwetsbaarheden hangen nauw samen met de soorten aanvallen die ze mogelijk maken en worden vaak door elkaar heen genoemd. De meest voorkomende aanvallen waarmee WordPress wordt geconfronteerd, zijn:

  • Code-injectie: wanneer schadelijke code wordt ingevoegd via invoervelden en wordt uitgevoerd door websitecode of database. Een veel voorkomende SQL-injectievariant van code-injectie die vooral flagrant is voor databasegestuurde applicaties zoals WordPress.
  • Cross-Site Scripting-aanvallen: Dit type kwetsbaarheid steelt gebruikerscookies om ze na te bootsen, of zelfs om de sessie te kapen. De toegang van de doelgebruiker wordt vervolgens gebruikt om uw site aan te vallen.
  • Aanvallen met brute kracht: Zoals de naam al doet vermoeden, is er geen truc voor dit type aanval. De hacker bestookt je inlogpagina met gebruikersnaam/wachtwoordcombinaties in een poging de juiste te vinden.
  • SEO-spamA: Elke vorm van spam is ernstig, maar deze aanval treft datgene wat een website het meest schaadt: SEO. Website-eigenaren verspillen middelen aan hun SEO, alleen voor een hacker om onnodig voordeel te halen door pop-ups en links naar illegale of grijze goederen in te voegen. SEO-spamaanvallen zijn ook moeilijk te detecteren, en vaak ondervinden websites de nadelige gevolgen van spam voordat ze zich realiseren dat ze geïnfecteerd zijn.
  • Phishing-aanvallen: Bij deze aanvallen probeert een hacker zich voor te doen als een legitiem persoon om de gebruiker te misleiden tot het vrijwillig overhandigen van zijn informatie. Phishing werkt samen met e-mail en een gehackte website om die inloggegevens te krijgen.

Wat is het effect van kwetsbaarheid?

Plug-ins en thema's zijn op enkele duizenden sites geïnstalleerd, dus het effect van deze ene fout wordt vele malen vermenigvuldigd. Verantwoordelijke ontwikkelaars van plug-ins en thema's spannen zich in om beveiligingslekken in hun producten te dichten door updates uit te brengen.

Dit is zelfs de belangrijkste reden waarom het wordt aanbevolen om waar mogelijk premium plug-ins te kiezen. Regelmatig software-onderhoud moet maximale aandacht krijgen in een websitebeveiligingsstrategie. Geweldig, dat betekent dat de bug is opgelost. We zijn nu veilig, toch? Nou, niet helemaal. Het ontdekken van kwetsbaarheden is een gevaarlijke tijd voor site-eigenaren.

Wat gebeurt er als er een kwetsbaarheid wordt ontdekt?

Kwetsbaarheden worden vaak ontdekt door onderzoekers op het gebied van websitebeveiliging. Ze rapporteren hun bevindingen aan de plug-in- of thema-ontwikkelaar. Zoals we in het vorige gedeelte al zeiden, zullen de verantwoordelijke ontwikkelaars proberen het probleem op te lossen en een update uit te brengen.
Wanneer de kwetsbaarheid is verholpen, zal de beveiligingsonderzoeker van de site hun bevindingen publiceren. De ontwikkelaar heeft een oplossing uitgebracht om websites veilig te houden, toch? Niet echt.

Hackers lezen ook over de kwetsbaarheid en zoeken naar websites die hun versies niet hebben bijgewerkt. Openbare kwetsbaarheden zijn aantrekkelijk voor beginnende hackers (ook wel scriptkinderen genoemd) omdat ze nu moeiteloos websites kunnen gebruiken. Ze weten precies waar hun doelwit is.

Wat moet er worden gedaan om de site te beschermen tegen kwetsbaarheden?

Nu zal ik het hebben over specifieke stappen die u kunt nemen om uw website veilig te houden en te beschermen tegen hackers. Deze stappen lijken misschien eenvoudig, maar het zijn effectieve manieren om uw site veilig te houden.

1. Maak back-ups

Back-ups zijn het meest onderschatte onderdeel van de beveiligingsstrategie van een site. Ik kan het belang van regelmatige back-ups niet genoeg benadrukken. Ze zijn je vangnet, het enige waarop je kunt vertrouwen als er iets misgaat. Met back-ups kunt u de site snel terugdraaien naar een gezonde staat.

2. Update plug-ins en thema's

Dit lijkt misschien heel voor de hand liggend, vooral als je het vorige gedeelte hebt gelezen over hoe belangrijk updates zijn. Het is echter heel gemakkelijk om de rode melding op het dashboard te negeren en door te gaan met iets dringenders.

Daarom zal ik herhalen. Ontwikkelaars van plug-ins brengen hiervoor updates uit met beveiligingsoplossingen. Zelfs als u besluit de installatie van updates uit te stellen, moet u de plug-in op een later tijdstip bijwerken, in ieder geval na het lezen van de release-opmerkingen.

3. Kies plug-ins en thema's van goede kwaliteit

Het is onwaarschijnlijk dat er ooit volledig betrouwbare software zal zijn, er zijn belangrijke factoren waarmee u rekening moet houden bij het kiezen van de juiste plug-ins en thema's voor uw website:

  • De plug-in wordt regelmatig bijgewerktA: Een plug-in of thema dat consistent wordt onderhouden door de ontwikkelaar, krijgt eerder een beveiligingspatch als er een kwetsbaarheid wordt ontdekt.
  • Is de plug-in populair?? Dit is een tweesnijdend zwaard. Een populaire plug-in met miljoenen installaties zal het doelwit zijn van hackers. Maar dergelijke plug-ins zijn ook vaak veiliger omdat ze door veel meer ontwikkelaars worden beheerd.
  • Is dit een premium plug-inA: Betaalde plug-ins ondersteunen het werk van ontwikkelaars en zullen daarom veel minder snel worden opgegeven dan gratis plug-ins. Dit betekent niet dat open source software nooit veilig is, maar met een premium product betaal je voor klantenondersteuning en productkwaliteit.
  • Installeer nooit nulled-plug-ins en thema'sA: De gratis premium software die beschikbaar is, is op veel niveaus problematisch. Zeroed-software bevat vaak malware of backdoors waarmee hackers, eenmaal geïnstalleerd, toegang kunnen krijgen tot uw website.
4. Gebruik een firewall

Er is geen betrouwbare manier om te voorkomen dat hackers of hun bots websites zoals die van u aanvallen. U kunt de kans echter sterk verkleinen door een firewall te installeren.

2. Bescherm uw gebruikersnaam en wachtwoord

Ongeveer 6% van de gehackte websites was kwetsbaar voor aanvallen vanwege zwakke wachtwoorden. Dit lijkt misschien een klein aantal in vergelijking met directe kwaadwillende activiteit, maar het is nog steeds belangrijk genoeg om uw aandacht te trekken.

Het kwijtraken van het beheerderswachtwoord van uw site is als het verliezen van uw appartement of autosleutels. Met de sleutel heeft de dief volledige controle over uw waardevolle bezittingen. Evenzo hebben hackers met een wachtwoord volledige toegang tot uw site en de bijbehorende informatie. Op dit moment kan zelfs een firewall of beveiligingsplug-in niet voorkomen dat hackers uw site beschadigen.

De behoefte aan sterke wachtwoorden wordt nog steeds actief gepromoot, maar vanwege de moeilijkheden die ermee gepaard gaan, negeren websitegebruikers dit vaak. Voordat ik inga op de mechanismen van het verkrijgen van een goede reputatie, laten we een aantal veelgestelde vragen beantwoorden die mensen over hen hebben.

Hoe kan een wachtwoord worden gestolen?

Het antwoord komt misschien als een verrassing: de hacker probeert het wachtwoord te raden. Daarmee bedoel ik dat ze handmatig verschillende wachtwoorden proberen, maar daar zijn bots voor. Dit staat ook bekend als een brute-force-aanval of, als de bot de woorden raadt, een woordenboekaanval.

Deze aanvallen werken om verschillende redenen erg goed.:

  • Makkelijk te raden wachtwoorden: gewone woorden, korte woorden, het woord "wachtwoord" zelf in verschillende combinaties.
  • Gegevens van eerdere hacks: Er is een reden waarom mensen aanraden om verschillende wachtwoorden te gebruiken voor verschillende diensten en sites.

Hoe u uzelf kunt beschermen tegen wachtwoorddiefstal

1. Gebruik een sterk wachtwoord - Sterke wachtwoorden gebruiken een willekeurige combinatie van letters, cijfers en symbolen omdat ze moeilijk te kraken zijn. Het kan jaren duren voordat hackerbots het juiste wachtwoord vinden. U kunt zelf proberen een sterk wachtwoord te maken of een wachtwoordgenerator gebruiken.

2. Beperk het aantal inlogpogingen - Een goede manier om een brute-force-aanval te voorkomen, is door indringers na meerdere mislukte inlogpogingen te blokkeren. Dit is een effectief mechanisme, aangezien dit type aanval bestaat uit hacker-bots die herhaaldelijk verschillende wachtwoorden proberen.

3. Implementeer tweefactorauthenticatie - Sommige services gebruiken tweefactorauthenticatie tijdens het aanmeldingsproces, wat in wezen betekent dat u twee (idealiter) afzonderlijke tokens nodig heeft om toegang te krijgen tot uw account. Het is meestal een combinatie van wachtwoorden en een vervaltoken, zoals een pincode of QR-code, die naar uw e-mail of apparaat wordt verzonden.

4. Implementeer CAPTCHA-beveiliging - CAPTCHA's kunnen alleen door mensen worden opgelost. Ze zijn ontworpen om te voorkomen dat hackerbots toegang krijgen tot een account. U kunt het gebruiken om uw site te beveiligen.

5. Gebruik een firewall - Sommige firewalls voor websitebeveiliging bewaken ook wereldwijd kwaadwillende IP-adressen. De firewall leert op alle sites waarop de plug-in is geïnstalleerd. Vervolgens worden slechte IP-adressen automatisch geblokkeerd voordat ze proberen uw wachtwoord te kraken. Dit, in combinatie met de mogelijkheid om aanmeldingen te beperken, kan uw site beschermen tegen hackers die proberen in te breken in het beheergedeelte van uw site.

3. Kies een goede hostingprovider

Er is een neiging om de webhost de schuld te geven van alles wat er misgaat met een website. Hoewel webhosts meestal verantwoordelijk zijn voor veel aspecten van een website, hebben ze zelden de schuld wanneer een website wordt gehackt. In feite is het tegenovergestelde over het algemeen waar: webhosts verbeteren de beveiliging van websites.

Natuurlijk zijn er enkele webhosts die een rol spelen bij het compromitteren van websites die op hun server worden gehost. Dit gebeurt zelden, maar als het gebeurt, is het een groot incident dat duizenden websites in gevaar brengt.

4. Installeer een SSL-certificaat

Secure Sockets Layer, beter bekend als SSL, is een beveiligingsprotocol dat alle verbindingen met een website versleutelt. Eenmaal geïnstalleerd, verschijnt het als een hangslot aan het begin van de URL van uw site.

De voordelen van het gebruik van een SSL-certificaat zijn als volgt:

  • Alle gegevens die van en naar uw website worden verzonden, zijn versleuteld.
  • Dit is een teken van vertrouwen in uw site. In feite zullen de meeste browsers niet-SSL-sites markeren als "onveilig" in de adresbalk.
  • Google houdt van websites met een SSL-certificaat en beloont ze zelfs met hogere rankings.

Goede beveiligingspraktijken voor websites

Zoals ik in het begin al zei, is websitebeveiliging een voortdurende praktijk. In dit gedeelte zal ik technieken noemen die handig zijn om op te nemen in uw algehele websitebeveiligingsstrategie. Als u er eenmaal aan gewend bent geraakt om dit te doen, zal de kleine investering van uw tijd en moeite zich vele malen terugbetalen met een veilige website.

1. Wijzig uw wachtwoord vaak — Ik begrijp dat het instellen van moeilijk te raden wachtwoorden lastig is, vooral omdat ze vaak synoniem zijn met moeilijk te onthouden wachtwoorden. We kunnen ons ook de angst voorstellen die wordt veroorzaakt door de vraag om regelmatig ons uitstekende wachtwoord te wijzigen.

De reden is dat wachtwoorden de zwakste schakel in beveiliging zijn, vooral als u dezelfde wachtwoorden voor meerdere accounts gebruikt. Zelfs als één site wordt gehackt, kunt u er gerust van uitgaan dat al uw accounts mogelijk zijn aangetast. Regelmatig kan ook verschillende dingen betekenen voor verschillende mensen. Sommige financiële instellingen, zoals banken, vereisen dat wachtwoorden elke 90 dagen worden gewijzigd.

2. Controleer websitegebruikers, volg nieuwe beheerders — hackers laten vaak beheerders achter zodat ze weer toegang tot de site kunnen krijgen. Daarom kan het regelmatig controleren van beheerders de veiligheid van een website verhogen.

Ten tweede kunnen de co-auteurs van de site veranderen. Als een gebruiker geen toegang meer nodig heeft, is het het beste om de toegang tot de site te verwijderen. De reden is tweeledig:

  1. u wilt niet dat de gebruiker wijzigingen aan uw site aanbrengt;
  2. hun inactieve accounts kunnen worden aangetast door hackers.
In de loop van de tijd, terwijl we onze site bouwen met nieuwe inhoud en ontwerpen, blijven we nieuwe gebruikers aan onze site toevoegen. U dient deze gebruikers regelmatig te controleren. U kunt zelf de beveiligingsregels volgen, maar een andere gecompromitteerde gebruiker heeft invloed op uw site. Geef bij het toevoegen van gebruikers, waar mogelijk, alleen de vereiste toegangsniveaus. Als iemand bijvoorbeeld alleen artikelen schrijft, geef hem dan geen beheerdersrechten.

3. Stel een activiteitenlogboek op uw site in Hackers gebruiken de kern-API's van WordPress niet om de website aan te passen, dus veel van de wijzigingen die ze aanbrengen, worden niet weergegeven in het activiteitenlogboek. Ze kunnen echter sporen achterlaten, zoals het aanmaken van beheerdersaccounts voor zichzelf om toegang te krijgen tot de site. Deze onverwachte activiteiten kunnen helpen bij het opsporen van een inbreuk. Omgekeerd, als er wijzigingen worden aangebracht door een bijdrager, kunnen activiteitenlogboeken onnodige paniek helpen voorkomen wanneer u wijzigingen op uw site ziet.

4. Blokkeer PHP in uw map Downloads - Een hele reeks kwetsbaarheden (om precies te zijn: uitvoering van externe code) stelt hackers in staat kwaadaardige PHP-bestanden te uploaden naar de map Uploads. De hacker kan het vervolgens gebruiken om elke code op uw site uit te voeren. Met andere woorden, ze hebben volledige controle over uw site.

De aanval kan effectief worden beperkt als u de uitvoering van de PHP-bestanden in de map Uploads blokkeert. Maak je geen zorgen. Het blokkeren van PHP-bestanden in de map Downloads is veilig omdat ze daar helemaal niet zouden moeten zijn. In de map Uploads bewaart u uw mediabestanden, geen scripts.

Wat moet je vermijden bij het beschermen van je website?

Een snelle Google-zoekopdracht geeft u tal van tips en strategieën om uw site te beveiligen. Verschillende beveiligingsplug-ins bieden ook verschillende opties om uw site te beschermen tegen wachtwoordkrakers. Het beschermen van uw website is iets dat u zou moeten doen, maar er zijn enkele dingen die u moet vermijden.

De redenen variëren voor elk van de punten die ik hieronder bespreek, maar in wezen moeten uw maatregelen tastbare beveiligingsvoordelen bieden, vooral als u uw gebruikers vraagt om extra beveiligingsbarrières te overwinnen. Als u bijvoorbeeld zowel captcha als tweefactorauthenticatie gebruikt, wordt het moeilijk om naar uw site te gaan, met weinig extra voordeel.

Je kunt een extra gevoel van veiligheid krijgen door alle beschikbare opties toe te passen, maar qua kosten-batenanalyse zijn ze niet scherp.

1. Verberg de wp-inlogpagina - Je zult dit op veel forums zien: verander de wp-login-pagina naar de eigen URL van je site. De logica is dat als hackers de inlogpagina niet kunnen vinden, ze geen brute force-aanvallen kunnen gebruiken om toegang tot uw site te krijgen. Dit heeft verschillende nadelen:

  • Met WordPress kunt u ook inloggen met behulp van XML-RPC.
  • Dit maakt uw site moeilijk te gebruiken. Als je de speciale URL vergeet die je voor jezelf hebt gemaakt in plaats van wp-login, kan herstel hiervan moeilijk zijn.
  • Als u de generieke URL of de standaard-URL gebruikt die bij de beveiligingsplug-in wordt geleverd, is het nog steeds gemakkelijk voor hackers om te raden wat uw doel volledig zal mislukken.
  • Om deze pagina te verbergen, moeten complexe instellingen op uw site worden toegepast, wat andere onverwachte bijwerkingen kan hebben.
2. Geoblocking Een andere vaak aanbevolen beveiligingsmaatregel is geoblocking. Mogelijk hebt u geen legitiem verkeer uit bepaalde landen nodig of verwacht u er daarom voor om de toegang te beperken.
  • IP-adressen voor regio's zijn niet ideaal en kunnen fouten bevatten.
  • Als je jezelf per ongeluk blokkeert, zal het moeilijk zijn om dit ongedaan te maken.
  • U kunt uiteindelijk goede bots zoals Google blokkeren die uw site niet kunnen schaden.
Een goede firewall kan en zal uw site beschermen tegen kwaadaardige bots en ongewenst verkeer. In het vorige gedeelte heb ik de voordelen van firewalls behandeld.

3. Beveilig de wp-admin-directory met een wachtwoord - De map wp-admin is een van de belangrijkste mappen op uw site. Natuurlijk trekt het veel aandacht van hackers. Daarom lijkt het beschermen met een wachtwoord misschien een briljante zet, maar het is contraproductief.

Het wachtwoord dat uw wp-admin-directory beschermt, verbreekt de AJAX-functionaliteit op uw WordPress-website. AJAX is een coderingstechniek die delen van uw website van de server downloadt zonder de momenteel weergegeven pagina te wijzigen.

Als dat klinkt als gebrabbel, betekent het in wezen dat het uw site dynamisch maakt zonder gebruikers constant opnieuw te laden telkens wanneer er iets verandert.

Denk aan het scrollen door je social media-feed. Nieuwe verhalen of tweets worden geladen terwijl u degene leest die al op uw scherm staan, en u kunt uw nieuwsfeed vernieuwen wanneer u nieuwe inhoud wilt laden.

4. Verberg WordPress-versie - De logica achter het verbergen van de versie van uw WordPress-site is te wijten aan beveiligingsupdates. Als uw website niet de nieuwste versie van WordPress gebruikt, kan een hacker misbruik maken van een kwetsbaarheid in een oudere versie. Het heeft echter geen zin om uw versie van WordPress te verbergen. Er zijn verschillende manieren om de WordPress-versie van een website te bepalen: de externe code van de site controleren, de RSS-feed controleren, enz. Ze zijn trouwens allemaal legaal.

De manier om met WordPress-kwetsbaarheden in oudere versies om te gaan, is door uw versie bij te werken naar de nieuwste versie. Veel websitebeheerders vrezen dat het updaten van een live site deze kapot kan maken. Het is dus het beste om het eerst op een testsite te doen.

Wat te doen als je site gehackt is?

Wat te doen als de site is gehackt?

Als uw site onlangs is gehackt, is het nog belangrijker dat u uiterst alert bent op de beveiliging van uw site. Als het niet correct wordt gedaan, kan dit leiden tot herhaalde site-hacks en verandert de hele situatie in een complete nachtmerrie.

  1. Ruim eerst malware opA: Gebruik een goede beveiligingsplug-in om malware automatisch te verwijderen zonder een spoor achter te laten.
  2. Werk alles bijA: Zoals ik al zei, software-updates zijn essentieel. Zorg ervoor dat je de nieuwste versies van WordPress, thema's en plug-ins hebt geïnstalleerd. Als je dat niet doet, is de kans groot dat dit de reden is dat je site in eerste instantie is gehackt.
  3. Bekijk elke beheerder: bekijk elk beheerdersaccount nauwkeurig. We hebben het er in dit artikel al over gehad, maar hackers maken beheerdersaccounts aan om weer toegang te krijgen tot een gehackte website als er malware wordt gevonden.
  4. Wijzig alle wachtwoorden. Stel dat uw inloggegevens zijn gecompromitteerd, verander uw wachtwoorden. Ik hoop dat je niet hetzelfde wachtwoord voor verschillende producten en diensten gebruikt, anders moet je ook de rest van de wachtwoorden wijzigen.
  5. Databasereferenties wijzigen (indien mogelijk): Het bestand wp-config.php bevat de inloggegevens die de WordPress-site gebruikt om verbinding te maken met de database van de site. In veel gevallen is de toegang tot de database beperkt, zelfs als de inloggegevens van de database zijn aangetast. Op sommige hosts kunnen hackers deze informatie echter gebruiken om de database rechtstreeks te wijzigen. Dit kan leiden tot herinfectie van de site.
  6. Beveiligingssleutels wijzigenA: WordPress gebruikt beveiligingssleutels om sessies voor geregistreerde gebruikers te beheren.
  7. Stel uw WordPress-firewall in: Ik heb dit al in detail behandeld in dit artikel. De WordPress-firewall is je beste verdediging tegen kwaadaardige bots en slecht verkeer.

Alles in één WP-beveiliging en firewall - Beveiliging van WordPress-sites

Beveiligingsplug-in voor WordPress All In One WP Security Firewall.In het kort: De eenvoudigste manier om uw site te beschermen is door een plug-in voor sitebeveiliging te installeren, zoals: All In One WP Security & Firewall is een uitgebreide, gebruiksvriendelijke, stabiele en goed onderhouden WordPress-beveiligingsplug-in.
All In One WP Security & Firewall heeft de volgende eigenschappen:

All In One WP Security & Firewall wordt continu ondersteund.

1. Beveiliging van gebruikersaccounts

  • Bepaal of er een gebruikersaccount bestaat met de standaard gebruikersnaam "admin" en wijzig de gebruikersnaam eenvoudig in een waarde naar keuze.
  • De plug-in zal ook detecteren of je WordPress-gebruikersaccounts hebt met dezelfde logins en weergavenamen. Het hebben van een account met dezelfde weergavenaam als de login is een slechte beveiligingspraktijk omdat u een login voor hackers maakt die al gereed is op de 50% omdat ze de login al kennen.
  • Een tool voor wachtwoordsterkte waarmee u zeer sterke wachtwoorden kunt maken.
  • Stop met het vermelden van gebruikers. Gebruikers/bots kunnen dus geen gebruikersinformatie ontdekken via de permalink van de auteur.

2. Inlogbeveiliging voor de gebruiker

  • Verdedig je tegen "Brute Force Login Attack" met de functie voor het blokkeren van aanmeldingen. Gebruikers met een specifiek IP-adres of -bereik worden uitgesloten van het systeem voor een vooraf bepaalde periode, afhankelijk van de configuratie-instellingen, en u kunt ook meldingen ontvangen.
    via e-mail wanneer iemand is geblokkeerd vanwege te veel inlogpogingen.
  • Als beheerder kunt u een lijst met alle geblokkeerde gebruikers bekijken, die wordt weergegeven in een gemakkelijk leesbare en gemakkelijk te navigeren tabel waarmee u ook individuele of groeps-IP-adressen kunt deblokkeren met één klik op de knop.
  • Forceer het uitloggen van alle gebruikers na een instelbare tijdsperiode.
  • Volg/bekijk mislukte inlogpogingen, die het IP-adres, de gebruikers-ID/gebruikersnaam en de datum/tijd van de mislukte inlogpoging van de gebruiker toont.
  • Volg/bekijk accountactiviteit van alle gebruikersaccounts op uw systeem door gebruikersnaam, IP-adres, inlogdatum/-tijd en uitlogdatum/-tijd bij te houden.
  • Mogelijkheid om automatisch bereiken van IP-adressen te blokkeren die proberen in te loggen met een ongeldige gebruikersnaam.
  • Mogelijkheid om een lijst te zien van alle gebruikers die momenteel zijn ingelogd op uw site.
  • Hiermee kunt u een of meer IP-adressen opgeven in een speciale witte lijst. IP's op de witte lijst hebben toegang tot uw WP-inlogpagina.
  • Voeg Google reCaptcha of een eenvoudige wiskundige captcha toe aan uw WordPress-inlogformulier.
  • Voeg Google reCaptcha of een eenvoudige wiskundige captcha toe aan het vergeten wachtwoordformulier van uw WP-inlogsysteem.

3. Beveiliging van gebruikersregistratie

  • Schakel handmatige verificatie van WordPress-gebruikersaccounts in. Als uw site mensen toestaat om hun eigen accounts aan te maken via het WordPress-registratieformulier, kunt u SPAM of valse registraties minimaliseren door elke registratie handmatig te bevestigen.
  • Mogelijkheid om Google reCaptcha of eenvoudige wiskundige captcha toe te voegen aan uw WordPress-gebruikersregistratiepagina om u te beschermen tegen spam-gebruikersregistratie.
  • De mogelijkheid om een Honeypot toe te voegen aan het gebruikersregistratieformulier van WordPress om het aantal registratiepogingen van bots te verminderen.

4. Bescherming van de WordPress-database

  • Stel eenvoudig het standaard WP-voorvoegsel in op een waarde naar keuze met één klik op de knop.
  • Plan automatische back-ups en e-mailmeldingen, of maak op elk gewenst moment met slechts één klik direct DB-back-ups.

5. Bestandssysteembeveiliging van een WordPress-site

  • Identificeer bestanden of mappen met onveilige machtigingsinstellingen en stel machtigingen in op aanbevolen veilige waarden met één klik op de knop.
  • Bescherm uw PHP-code door bestandsbewerking uit te schakelen in het WordPress-beheergebied.
  • Bekijk en bewaak eenvoudig alle logboeken van het hostsysteem vanaf één enkele menupagina en blijf op de hoogte van eventuele problemen of problemen die zich voordoen op uw server, zodat u deze snel kunt oplossen.
  • Voorkom dat mensen toegang krijgen tot de bestanden readme.html, license.txt en wp-config-sample.php van uw WordPress-site.

6. Back-up en herstel van htaccess- en wp-config.php-bestanden

  • Maak eenvoudig een back-up van uw originele .htaccess- en wp-config.php-bestanden voor het geval u ze nodig heeft om kapotte functionaliteit te herstellen.
  • Wijzig de inhoud van momenteel actieve .htaccess- of wp-config.php-bestanden vanuit het admin-paneel met slechts een paar klikken.

7. Blacklist-functionaliteit

  • Blokkeer gebruikers door IP-adressen op te geven of gebruik een jokerteken om reeksen IP-adressen op te geven.
  • Weiger gebruikers door user-agents op te geven.

8. Firewall-functionaliteit

Met deze plug-in kunt u eenvoudig veel firewallbeschermingselementen aan uw website toevoegen via een htaccess-bestand. Het htaccess-bestand wordt door uw webserver verwerkt vóór enige andere code op uw site.
Deze firewallregels zullen dus de kwaadaardige script(s) stoppen voordat het de kans krijgt om bij de WordPress-code op uw site te komen.

  • Toegangscontrole-object.
  • Activeer direct een reeks firewall-instellingen, variërend van basis, gemiddeld tot geavanceerd.
  • Schakel de beroemde "6G Blacklist" firewallregels in met dank aan Perishable Press.
  • Schakel het plaatsen van reacties via een proxy uit.
  • Blokkeer de toegang tot het foutopsporingslogbestand.
  • Schakel tracering en tracking uit.
  • Weiger ongeldige of schadelijke querytekenreeksen.
  • Bescherm uzelf tegen cross-site scripting (XSS) door een uitgebreid geavanceerd tekenreeksfilter te activeren.
    of kwaadaardige bots die geen speciale cookie in hun browser hebben. U (de sitebeheerder) weet hoe u deze speciale cookie moet instellen en kunt inloggen op uw site.
  • WordPress PingBack beveiligingsfunctie voor kwetsbaarheden. Met deze firewallfunctie kan de gebruiker de toegang tot het xmlrpc.php-bestand weigeren om zich te beschermen tegen bepaalde kwetsbaarheden in de ping-functie. Dit is ook handig om te voorkomen dat bots voortdurend toegang krijgen tot het xmlrpc.php-bestand en uw serverbronnen verspillen.
  • De mogelijkheid om valse Googlebots te blokkeren voor het crawlen van uw site.
  • Mogelijkheid om hotlinking van afbeeldingen te voorkomen. Gebruik dit om te voorkomen dat anderen uw afbeeldingen hotlinken.
  • Mogelijkheid om alle 404-gebeurtenissen op uw site te loggen. U kunt ook automatisch IP-adressen blokkeren die te veel 404-fouten krijgen.
  • De mogelijkheid om uw eigen regels toe te voegen om de toegang tot verschillende bronnen op uw site te blokkeren.

9. Voorkom brute force-aanvallen bij inloggen

  • Blokkeer brute force-aanvallen direct met onze aangepaste cookie-gebaseerde login brute force-preventiefunctie. Deze firewallfunctie blokkeert alle inlogpogingen van mensen en bots.
  • Mogelijkheid om eenvoudige wiskundige captcha toe te voegen aan het WordPress-inlogformulier om te beschermen tegen brute force-aanvallen.
  • Mogelijkheid om de inlogpagina van de beheerder te verbergen. Hernoem de URL van uw WordPress-inlogpagina om te voorkomen dat bots en hackers toegang krijgen tot uw echte WordPress-inlog-URL. Met deze functie kunt u de standaard inlogpagina (wp-login.php) wijzigen in iets dat u aanpast.
  • De mogelijkheid om de Login Honeypot te gebruiken, die het aantal inlogpogingen door brute kracht van robots zal helpen verminderen.

10. Beveiligingsscanner voor websitebestanden

  • De File Change Detection Scanner kan u waarschuwen als er bestanden zijn gewijzigd op uw WordPress-systeem. U kunt dan onderzoeken of het een legitieme wijziging was of dat er slechte code is geïntroduceerd.

11. Reageer op spambescherming

  • Volg de meest actieve IP's die consequent de meeste spamreacties produceren en blokkeer ze onmiddellijk met een klik op de knop.
  • Voorkom dat opmerkingen worden verzonden als ze niet van uw domein zijn (dit zou het aantal opmerkingen dat door spambots op uw site wordt geplaatst, moeten verminderen).
  • Voeg een captcha toe aan uw WordPress-reactieformulier om uw bescherming tegen reactiespam te verbeteren.
  • Blokkeer automatisch en permanent IP-adressen die een bepaald aantal als SPAM gemarkeerde reacties overschrijden.

12. Kopieerbeveiligingstekst voorzijde

  • Mogelijkheid om rechtsklikken, tekstselectie en kopieeroptie voor uw frontend uit te schakelen.

13. Extra functies van de plug-in

  • Mogelijkheid om meta-informatie van de WordPress-generator te verwijderen uit de HTML-broncode van uw site.
  • Mogelijkheid om WordPress-versie-informatie te verwijderen uit de JS- en CSS-bestanden van uw site.
  • Mogelijkheid om te voorkomen dat mensen toegang krijgen tot de bestanden readme.html, license.txt en wp-config-sample.php.
  • De mogelijkheid om de voorkant van uw site tijdelijk te blokkeren voor reguliere bezoekers terwijl u verschillende interne taken uitvoert (onderzoeken naar beveiligingsaanvallen op de site, uitvoeren van site-updates, onderhoud, enz.)
  • Mogelijkheid om beveiligingsinstellingen te exporteren/importeren.
  • Voorkom dat andere sites uw inhoud weergeven via een frame of iframe.

Het is ideaal voor diegenen die gewoon geen tijd hebben om zich met websitebeveiliging bezig te houden. Gewoon installeren en de plug-in vergeten. Maar als u zich de extra tijd kunt veroorloven om uw beveiliging aan te scherpen, raad ik u ten zeerste aan alle bovenstaande maatregelen te implementeren.

Uitgang

Ik begon dit artikel over het beveiligen van een website met een duidelijke aanwijzing: de eerste stap is om de beveiliging van uw site op orde te krijgen. Dit is een continu proces. Het is een goede standaardpraktijk in elke organisatie om periodieke audits uit te voeren om maximale controle over de beveiliging van de site mogelijk te maken. Het bedreigingslandschap verandert voortdurend en hackers zullen creatievere manieren vinden om de beveiliging te doorbreken. Beveiligingsexperts blijven constant waakzaam, en dit is de belangrijkste conclusie van alles: ontspan niet.

Bedankt voor het lezen Nicola Top

Hoe nuttig is de post?

Klik op de smiley om te beoordelen!

gemiddelde score 4.9 / 5. Aantal beoordelingen: 50

Er zijn nog geen beoordelingen. Beoordeel eerst.

2 reacties

  1. Евгений schreef:
    10.08.2022 om 02:46

    Dit is de eerste keer dat ik zo'n lang artikel zie. Respect voor de auteur van de site, hoeveel tijd heb je eraan besteed? Een prachtige gids die bijna alle aspecten beschrijft van het beschermen en onderhouden van de veiligheid van de site. Ik lees je blog nu al een tijdje. Bedankt, zeer nuttig materiaal.

    Beantwoorden

Добавить комментарий

Het e-mailadres wordt niet gepubliceerd. Обязательные поля помечены *

2 × 4 =