Share
In het eerste deel van deze serie hebben we uitgelegd wat u moet doen als uw website wordt gehackt. In dit tweede deel leren we over veilig te blijven en snel te kunnen handelen wanneer zich een ander onaangenaam incident voordoet.
Blijkbaar wordt deze vraag nooit oud en mensen benaderen WordPress altijd met scepsis als het gaat om beveiliging.
WordPress is veilig. Er zijn tientallen, misschien wel honderdduizenden ontwikkelaars die zorgen voor het welzijn van WordPress, en ze patchen het systeem voortdurend om het veilig te houden. Voor nog veiligere websites zijn er gratis en commerciële beveiligingsplug-ins voor het afhandelen van aanvallen die reguliere websites helemaal niet moeten ondergaan.
Maar WordPress is dat wel niet 100% veilig. Waarom? Om dezelfde reden dat wetenschappers er langzaam in slagen om uw gedachten te lezen en zelfs te overschrijven: Geen systeem ter wereld is 100% veilig. Natuurlijk zullen die kwaadaardige hackers nog een andere beveiligingsfout vinden in de kern van WordPress, het is niets anders dan natuurlijk. Dat is waar de waarde van de ontwikkelaarscommunity uitkomt, zoals ik eerder al zei. Maar zelfs een community als WordPress kan toekomstige kwetsbaarheden niet voorkomen.
En zelfs als ze dat wel doen, zelfs als WordPress het eerste systeem is dat 100% veilig is, betekent dat niet automatisch dat uw website veilig is. Je WordPress-versie is mogelijk up-to-date, maar je hostingprovider kan vergeten cPanel of zelfs PHP te updaten, of een zero-day-kwetsbaarheid komt op MySQL of de Linux-distributie van je server.
Of, weet u wat, het besturingssysteem van uw eigen computer is ook niet 100% veilig. (Ja, ik kijk naar jou, Yosemite!) Je computer (of telefoon of tablet) kan geïnfecteerd raken door een trojan en je wachtwoorden aan de hackers op een presenteerblaadje geven. U kunt uw server of uw computer niet loskoppelen, en u kunt geen zilverfoliehoed over uw hoofd hangen, dus vertrouw niet op hoe veilig WordPress is.
Maar WordPress is veilig, en daar moet je je geen zorgen over maken. Maar u moet zich zorgen maken over wat u gaat doen als u op WordPress of uw hostingprovider of uw computer of uzelf vertrouwt. De enige belangrijke dingen die u hoeft te doen, zijn voorzorgsmaatregelen nemen om uw website veiliger te maken en snel te kunnen handelen om uw website weer op de rails te krijgen wanneer uw website wordt gehackt.
Zoals ik al zei, geen enkel systeem kan 100% beveiliging bieden, inclusief WordPress. Maar er is geen reden waarom u die 99% niet naar 99,5% zou stoten, toch? Bovendien kan een gebrek aan gezond verstand dat percentage steil laten dalen. Daarom gaan we in dit gedeelte door hoe je veilig kunt zijn tijdens het gebruik van WordPress.
"Serieus?", Hoor ik je zeggen. Ja, up-to-date blijven is waarschijnlijk de meest voor de hand liggende tip over beveiliging, daar ben ik het mee eens. Maar er is een reden dat elk afzonderlijk beveiligingsartikel over WordPress een sectie bevat over up-to-date blijven: mensen vergeten te updaten. Ernstig.
Er is geen schande om dingen te vergeten, maar dat zou je moeten weten niet up-to-date blijven heeft de kosten van een zittende eend tegen hackers. Wanneer u vergeet om WordPress of uw thema's en plug-ins bij te werken, weigert u in principe het repareren van beveiligingskwetsbaarheden en stemt u ermee in om een vrijwilligersdoel te zijn voor newbie (n00b) hackers.
WordPress introduceerde automatische updates voor kleinere releases (zoals 4.0.1 tot 4.0.2, niet 4.1 tot 4.2), maar patchen van de kern is niet altijd voldoende. Zorg ervoor dat u uw plug-ins en thema's (en de kern van belangrijke updates) bijwerkt zodra ze worden vrijgegeven.
Zoals ik in het vorige deel van deze serie al zei, had een beveiligingslek in een van de plug-ins die ik gebruikte een hacker een shellscript op mijn server laten uitvoeren. Net als in dit voorbeeld kunnen slecht gecodeerde plug-ins of zelfs thema's gaten in de beveiliging van uw website veroorzaken.
Dus, hoe kies je "veilige" plug-ins en thema's? Welnu, denk er zo over na: hoe meer een software populair wordt, hoe meer de ontwikkelaars gemotiveerd zijn om het te verbeteren. Dus, het kiezen van populaire WordPress plug-ins en thema's kan logisch zijn. Er is natuurlijk de mogelijkheid dat een populaire plug-in een groot beveiligingslek heeft, maar de ontwikkelaars reageren sneller op patching in tegenstelling tot minder populaire plug-ins.
Als u een plug-in of een thema vindt dat niet erg populair is en u moet gebruik het, dan zou u op zijn minst de achtergrond van zijn ontwikkelaar (s) moeten controleren. Als ze professioneel voor je lijken, is het ook logischer om ze te vertrouwen, in vergelijking met het blind installeren van elke plug-in die je ziet.
En als je code kunt lezen, is het altijd de beste optie om zelf de code te controleren.
Hierover valt eigenlijk niet zo veel te zeggen: sinds ieder plugin of thema heeft een kans op een beveiligingsrisico (het maakt niet uit of het up-to-date is of niet), het is nog een logische optie om ongebruikte of onnodige plug-ins en thema's te verwijderen om de risico's te verkleinen.
Controleer uw lijst met plug-ins en kijk welke absoluut noodzakelijk zijn en welke u zonder kunt; verwijder ze dan allemaal, inclusief degene die gedeactiveerd zijn maar jij mei gebruik een dag. Verwijder ook thema's en kindthema's die niet in gebruik zijn.
Om de servercompatibiliteit te maximaliseren, onthoudt WordPress soms sommige functies, en deze functies omvatten beveiligingsoptimalisaties voor bepaalde servertypen. Dat is waar beveiligingsplug-ins van pas komen: ze stellen u in staat de beveiliging van uw website te maximaliseren via hun vele, vele opties.
Er zijn vier "grote" spelers in het ecosysteem van WordPress-beveiligingsplug-ins: Wordfence, Bulletproof Security, iThemes Security (voorheen bekend als Better WP Security) en Sucuri Security. Ze zijn allemaal echte high-end producten, en ze hebben zoveel opties dat het bekijken en vergelijken van deze plug-ins met elkaar ertoe zou kunnen leiden dat we niet langer "veilig in WordPress" blijven. Mijn advies is, lees al hun beschrijvingen zorgvuldig, vergelijk ze met elkaar (ze hebben allemaal premiumversies, dus vergelijk ze ook als je er een wilt kopen), en beslis één (of misschien twee) van hen.
En onthoud: deze plug-ins zijn meestal bedoeld voor ervaren gebruikers die weten hoe servers werken en die in principe weten wat de opties van de plug-ins echt doen. (Dat is nog een beveiligingsmaatregel: speel niet met dingen die u niet volledig begrijpt.) Als u weet wat u met deze plug-ins moet doen, aarzel dan niet om op zijn minst een of twee van hen te proberen.
Notitie: Sucuri heeft een geweldige post op het ecosysteem van de WordPress-beveiligingsplug-in, dus kijk er zeker even naar.
Hier valt ook niet veel over te zeggen: een beveiligde host is net zo belangrijk als een veilige WordPress-installatie. Zorg ervoor dat u onderzoek doet naar goede hostingproviders die hun systemen regelmatig bijwerken, aanvullende beveiligingsopties bieden en over degelijke technische ondersteuningsteams beschikken.
Beveiliging is een dodelijk kwestie op alles (inclusief uw huis, uw smartphone, uw land en WordPress) en daar kun je niet tegeninvechten. Daarom moet je het strak houden om je WordPress-website veilig te houden. In deze serie heb ik twee dingen met je gedeeld: een plan om een gehackte website te behandelen en de voorzorgsmaatregelen die je moet nemen nadat (en voordat) je website wordt gehackt. Ik hoop dat je het net zo leuk vond om het te lezen als ik het leuk vond om het te schrijven.
Wat is jouw mening over dit onderwerp? Vertel ons wat je denkt door hieronder te reageren. En als je deze serie leuk vond, vergeet dan niet om de artikelen met je vrienden te delen!
Accentsconagua