WordPress Security – De vaktaal vertaald

Veel WordPressers waar ik in contact mee kom hebben over verschillende vormen van malware gehoord of gelezen. Maar wat betekenen deze verschillende vormen nou eigenlijk? En wat zijn de gevolgen wanneer je hiermee in aanraking komt of als je website geïnfecteerd raakt? Hieronder vind je de 6 meest voorkomende WordPress security vaktermen.

1.    Spam

Er zijn verschillende manieren waarop hackers spam verspreiden via een website. Mogelijk worden er stukjes code geïmplementeerd in bestanden van je applicatie die ongewenste mails (spam) versturen. Je website kan hierdoor onbereikbaar worden omdat de server overbelast raakt. Een ander voorbeeld is dat je site geïnfecteerd raakt voor “Black Hat SEO” doeleinden (spam links). Er worden dan keywords met kwaadaardige links aan jouw content toegevoegd waardoor er op jouw site links geplaatst worden naar sites waar jouw business niet mee geassocieerd wil worden (viagra, seks, goksites etc.). Er komen gevallen voor dat deze content niet vertoond wordt aan de gebruiker zelf maar aan bijvoorbeeld specifieke browsers, zoekmachine bots of zelfs mobiele apparaten. Hierdoor komt het vaak voor dat veel tijd verstreken is voordat je tot de ontdekking komt dat jouw site spam vertoont of verstuurt. Dit resulteer meestal in argwaan bij je bezoekers waardoor een tweede bezoek zal uitblijven.

2.    Malicious redirects

Wanneer je site besmet is met malware kan de hacker malafide doorverwijzingen inzetten om ervoor te zorgen dat jouw bezoekers niet op jouw website terecht komen maar op een willekeurige website. En ja, dat kan zelfs naar de website van jouw concurrent zijn. Meestal wordt dit ingezet om meer bezoekers te genereren en te stijgen in de Google ranking. Het gevaar van een malafide doorverwijzing is dat de bezoeker geen melding of waarschuwing zal ontvangen zoals vertoond wordt bij een site die op een blacklist staat. Net als bij spam kan ook hierbij de hacker het zo inregelen dat alleen bezoekers met bepaalde browsers of vanuit gerichte locaties doorverwezen worden.

3.    Drive-by-Downloads

Wanneer jouw website is gehackt, betekent het niet alleen jouw applicatie slachtoffer is. Een drive-by-download is voornamelijk een risico voor bezoekers die jouw website bezoeken. Een betere benaming zou dus zijn: Bezoek-is-Download. Wanneer jouw site bezocht wordt zal het virus van de hacker zich verspreiden naar de computers van jouw bezoekers. Ze geven per ongeluk toestemming voor de download óf de download wordt onbewust uitgevoerd. Op deze manier zal malware zich razendsnel vermenigvuldigen en duizenden nietsvermoedende surfers infecteren. Je wilt te alle tijden voorkomen dat jouw bezoekers een melding ontvangen dat ze geïnfecteerd zijn door een bezoek aan jouw website. Sterker nog, stel je voor dat ze niet beschikken over een efficiënte virusscanner. In dat geval kan de hacker hun computer volledig beheren en heeft hij alle data tot zijn beschikking. Een complete identiteit kan worden overgenomen waardoor de uitkomsten niet te voorzien zijn.

4.    Data Exfiltration

Data exfiltration wilt zeggen dat data ongeautoriseerd een applicatie of bedrijf verlaat. Dit gebeurt meestal via bestaande user accounts die geautoriseerde toegang hebben tot de database van een applicatie. Het is mogelijk dat medewerkers koffers, laptops of Yubikeys/USB-tokens verliezen. Natuurlijk kan het ook zijn dat deze uit voertuigen of huizen gestolen worden. Het volgende is zeker niet minder onschuldig: een medewerker die data van bijvoorbeeld zijn klantenbestand opslaat op zijn USB-stick of laptop voor alle zekerheid en na ontslag deze behoud voor wellicht zijn volgende job, maar het kan ook zijn dat hij deze informatie verkoopt aan internet criminelen. Hierin staan namelijk vaak alle persoonsgegevens van klanten. Denk hierbij aan creditcard- en bankgegevens maar ook bijvoorbeeld sofinummers en adresgegevens. Dit komt steeds vaker voor bij E-commerce bedrijven.

5.    Phishing

Last but not least… Phishing. Een phisher is iemand die informatie probeert te verzamelen van zijn slachtoffers. Dit gaat voornamelijk om bank en persoonsgegevens waarmee hij geld kan overboeken of bestellingen kan plaatsen voor goederen. Dit kan hij doen door te bellen naar slachtoffers of bijvoorbeeld mails te versturen die doen vermoeden dat ze afkomstig zijn van een bedrijf waar je zaken mee doet. De phisher doet zich dus voor als een betrouwbare partij. Hij probeert vaak druk uit te oefenen door kenbaar te maken dat er iets fout gaat. Er dient snel actie ondernomen te worden om jouw risico’s te beperken.

Denk aan een link in een email waar je op klikt en vervolgens niet bij jouw zorgverzekeraar beland, maar een site die erop lijkt. Bijvoorbeeld: https://www.vzg.nl/inloggen in plaats van  https://www.vgz.nl/inloggen, wanneer je hier jouw gegevens invult worden deze opgeslagen door de phisher. Dit fenomeen zorgt ervoor dat veel mensen op hun hoede zijn.

Bij sommige mensen (voornamelijk 50 plussers, zoals mijn moeder) is dit reden om direct al gillend hun zoon of dochter in te schakelen zodra ze online bankzaken gaan regelen of simpelweg een bestelling willen plaatsen bij de boekenclub en er GEEN groen slotje bij staat. Laat staan een certificaat dat de bank vergeten is te verlengen waardoor je de melding krijgt dat het mogelijk niet veilig is. Uiteraard is dit iets wat ons door veilig bankieren is ingegoten met commercials die boodschappen verkondigen als “Hang op, klik weg, bel uw bank”. Hoe naar ik het ook vind dat mijn moeder telkens in paniek raakt, is dit helaas wel de realiteit waarin we moeten leven in dit online tijdperk. Blijf alert en blijf up-to-date. Veilig is heilig.

6.    Blacklisting

Blacklisting kan het gevolg zijn van een van de eerdere 5 hacks. Toch willen we het in dit artikel bespreken omdat het zo veel impact heeft op je website. Wanneer een website op de zwarte lijst van Google beland krijgen bezoekers een rode waarschuwing te zien of kunnen zoekresultaten een waarschuwingstekst weergeven. Dit gebeurt wanneer Google malware op de site detecteert.  Het vervelende hiervan is dat het geregeld voor komt dat je pas na 24 uur weer van de zwarte lijst verwijderd wordt, daarbij moet de malware eerst compleet van de website verwijderd zijn zodat de applicatie weer volledig clean is. Hierdoor loopt jouw merk schade op. Naast het feit dat bezoekersaantallen zullen instorten bestaat ook het gevaar dat bezoekers nooit meer terugkeren, omdat de integriteit van jouw site onherstelbaar beschadigd is na het vertoon van deze melding.

Naast Google kunt je ook bij allerlei andere partijen op een blacklist komen, denk aan virusscanners (deze zullen de bezoeker ook waarschuwen je site niet te bezoeken) of e-mail SPAM bestrijders. Als je op een e-mail spamlijst staat zullen de e-mails die door je site verstuurd worden op z’n best in de SPAM folder komen en op zijn slechtst helemaal niet meer aankomen. Via deze tool kun je checken of je op zo’n e-mail blacklist staat.

Conclusie

Ik spreek vaak klanten die zeggen; ik heb niet veel bezoekers of ik werk niet met gevoelige informatie dus voor mij is veiligheid onbelangrijk. Of: ‘ik ben niet interessant voor hackers’. De meeste hacks zijn echter niet specifiek op één website gericht maar zijn onderdeel van een geautomatiseerd proces. Met dit proces proberen ze bij zo veel mogelijk websites in te breken, dus ook bij jouw website! Dus ik zeg: “Better safe than sorry”. Zorg dat je WordPress security optimaal is. 

We geven je zes WordPress beveiliging tips om je site veilig te maken en houden:

1. Zorg ervoor dat je sterke wachtwoorden hebt. Mijn advies is gebruik te maken van een wachtwoord generator zodat de reeks compleet random is.
2. Gebruik plugins uit officiële kanalen en verdiep je in de developer ervan zodat je weet wat je in huis haalt. Het is belangrijk dat de plugin regelmatig onderhouden wordt.
3. Houd je core, thema en plugins altijd up-to-date, controleer hier dagelijks op.
4. Kies voor een Managed WordPress Hoster zodat specifieke veiligheidsmaatregelen genomen zijn. Je dient het hackers zo moeilijk mogelijk te maken en voor te blijven.
5. Zorg dat er op serverniveau maar ook op applicatie niveau gescand wordt. Mocht je site toch besmet raken is het natuurlijk belangrijk dat dit ook gedetecteerd wordt.
6. Zorg ervoor dat je altijd een back-up / herstelpunt hebt. Mocht je site geïnfecteerd raken of onherstelbaar beschadigd zijn gaat anders alle data verloren.

Gijs Hovens - Gijs is marketing manager bij Savvii. Hij heeft al bijna 10 jaar lang diverse WordPress websites en houdt zich bezig met o.a. SEO, SEA, onze producten en het organiseren van de WordPress Meetup Nijmegen.