Gehackt worden is heel vervelend. Er is ingebroken op jouw website en je weet niet wat je moet doen om de controle terug te krijgen. Onze eerste tip is: denk als een hacker. Blijf kalm en ga op zoek naar de zwakste plek in jouw website. Hoe je dat doet vertellen wij in dit blog.
Gehackt? Mindset is everything
Hét kenmerk van websites is: ze zijn zo sterk als de zwakste schakel. Je kunt nog zo´n goede, veilige website hebben opgetuigd… Er hoeft maar één detail niet in orde te zijn en het is een achterdeur voor een hacker om naar binnen te gaan.
Nu denk je misschien: bedankt, leuk dat je mij bang maakt.
Dat is niet de bedoeling. Wij lossen al jaren hacks op voor bedrijven en helpen bedrijven al jaren om hun websites sneller en veiliger te maken. En liever doen wij dit niet uit angst, maar uit ambitie. Vanuit een mindset van uitdaging. Dat is precies de manier waarop een hacker ook werkt. Hackers zijn er in soorten en maten, maar vaak zijn het pubers die zich vervelen. En het leuk vinden om te kijken hoe veilig systemen zijn. Ze vinden het leuk om te testen hoe goed ze zijn, waar de lekken zitten en hoe zwak het systeem is. Voor veel hackers, is hacken gewoon een erg leuk spel.
Om het hackers-spel op niveau te kunnen meespelen, of beter: om hackers jouw deurtje voorbij te laten gaan, kun je de volgende stappen zetten.
1. Controleer je folders op je server
Ben je bang dat je gehackt bent, of wil je het voorkomen? Het eerste wat je kunt doen is controleren of er niet gerommeld is in de files van je (S)FTP-server. Veilig verbinden met je server is essentieel, het is als de deur op slot doen zodra je je woning verlaat.
Hackers nemen vaak als eerste even een kijkje op je server. En passen daar de bestandsrechten aan via de FTP-server. Als de inloggegevens voor een MySQL database bijvoorbeeld ontfutseld wordt, betekent dat dat iemand de inhoud (content) van je site kan aanpassen en toegang heeft tot bijvoorbeeld je klantenbestand.
Dus ons advies: ga als eerste naar deze plek om te kijken of de rechten nog hetzelfde zijn zoals je deze hebt ingesteld. Als je hier nooit aandacht aan hebt besteed, dan controleer je de serverinstellingen als volgt.
- Ga naar je hostingpartij en log in bij je FTP, deze actie kun je dus niet in WordPress zelf uitvoeren
- Controleer of de bestandsrechten: de juiste standaarden zijn: 664 voor de bestanden en 755 voor de mappen. Staan de rechten op 777, dan is er iets mis.
Om ervoor te zorgen dat hackers niet bij je FTP komen, raden wij jou een versleutelde verbinding aan naar jouw server.
De ´sleutel´ in dit verhaal is de SSL. Wat je doet, is een SSL-sleutel gebruiken voor toegang naar jouw FTP. De naam van de FTP is dan officieel FTPS. Deze kun je bestellen bij je hostingpartij. Vervolgens kun je ook een firewall activeren.
In dit blog van TransIP lees je meer over het verschil tussen FTP en SFTP.
2. Maak een custom login pagina voor WordPress
Is dit wat je ziet als je inlogt in WordPress?
Dan gebruik je een standaard login pagina van WordPress. Deze zijn allemaal op dezelfde manier opgebouwd, en daardoor default. Je herkent het URL-pad aan het feit dat er /wp-admin/ op het eind van het URL-pad staat. Dit standaard pad maakt het hackers makkelijker om toegang te krijgen tot jouw website.
Hackers hebben meer moeite om een gepersonaliseerde loginpagina achter een website te vinden.
Zoals een slotenverkoper mij ooit toevertrouwde: hoe meer goede sloten je op je fiets doet, hoe meer tijd je koopt om jouw fiets niet te stelen. Dieven schatten bij elke fiets en slot in: ongeveer zoveel secondes om het door te breken. Hetzelfde geldt voor hackers. Bij alle stappen die je zet, vergroot je de moeite die een hacker moet doen om binnen te komen.
In de video kun je de complete uitleg bekijken hoe je een gepersonaliseerde WordPress loginpagina maakt
3. Wees slimmer dan Trump met two-step verification
De Amerikaanse president Trump Twittert nogal graag. Een sterk wachtwoord instellen voor zijn Twitter-account was hij echter vergeten. Victor Gevers kwam daardoor gemakkelijk zijn Twitter-account binnen, door het wachtwoord MAGA2020 te gebruiken. Een extreem zwak en makkelijk te raden wachtwoord, en… hij had ook geen two-step-verification toegepast.
Gehackt worden, dat zal míj wel niet overkomen heeft de mighy man wellicht gedacht. Wees slimmer dan the american president, kies een sterk wachtwoord voor je website en pas de two-step verification toe!
Dit is een methode van 2 stappen waarbij je, na inloggen op je website, een extra inlogcode ontvangt op je telefoon. In het volgende artikel kun je meer lezen over het instellen van een two-step-verification in WordPress.
4. Beperk het aantal plugins
We schreven het al in ons blog over WordPress onderhoud: hoe meer plugins, hoe meer codes en hoe zwakker jouw website wordt. Gehackt worden is met meer plugins een groter risico.
Less is more.
Ons advies: gebruik zo min mogelijk plugins, en als je deze gebruikt, wees voorzichtig. De populaire plugin FileManager, had bijvoobeeld een security lek, waardoor vele gebruikers zijn gehackt. Plugins waarin een security-lek zit, maken het voor hackers mogelijk om jouw code in de back-end te wijzigen.
Hoe je kunt weten of een plugin veilig is voor gebruik?
- Is de ontwikkelaar van de plugin te vertrouwen? Heeft hij meerdere plugins ontwikkeld of is dit de eerste (rode vlag!), is zijn of haar naam verder nergens op Google te vinden (rode vlag!), ziet de website van de developer er zeer oud uit etc.
- Is de plugin slechts een paar keer gedownload? Minder dan 1000 downloads klinkt niet erg veilig.
- Is de plugin niet compatible met de laatste WordPress-versie? Dat kan betekenen dat de plugin onveilig is. WordPress developers houden hackers buiten door de code van WordPress constant veilig te houden.
In dit artikel kun je nog meer tips vinden over hoe je kunt een plugin kunt scannen op veiligheid voordat je deze download en installeert.
5. Vergeet niet om je WordPress onderhouden
We schreven het al in ons blog over het belang van WordPress onderhoud: werkt altijd de nieuwste versie bij. Dat is zo simpel als constant op de button ´bijwerken´ klikken zodra je daar een melding over ziet.
WordPress is een open source-dienst waar duizenden ontwikkelaars wereldwijd aan meewerken. Dat is prachtig. Nadeel: wanneer iemand kwaad wil, dan komt de veiligheid van onze websites in gevaar. Dat is de reden dat WordPress voortdurend updates uitvoert.
Zie het als het groeien van je haar. Dat stopt nooit. En wil je strak voor de dag komen, dan moet je het scheren. Scheren is als het constant bijwerken van de nieuwe WordPress-versie. De nieuwe versies van WordPress blijven maar groeien en terugkomen, het is een kwestie van bijhouden.
6. Encodeer je e-mailadres
Gebruik jij ook een e-mailadres op jouw contactpagina?
Hartstikke leuk als jouw klanten je vinden, maar voor hackers is jouw e-mailadres ook waardevol. Ze scrapen deze van het web en zetten ze op een lijst. Vervolgens kunnen hackers vanuit jouw naam spam en virussen versturen.
Ons advies: encodeer jouw e-mail. Klanten kunnen jou dan nog steeds makkelijk bereiken door op het mailadres te klikken, alleen ontstaat er een hele lange code die jouw daadwerkelijke e-mailadres onherkenbaar maakt.
Wij gebruiken hiervoor zelf deze HTML encoder.
7. Maak gebruik van Captcha
Hoe vaak heb jij al aan iemand laten weten dat je geen robot bent?
Online vast heel vaak.
Contactformulieren op websites zijn gevoelig voor spam e-mails. Robots vullen jouw formulieren in met ongewenste berichten. Vanwege de veiligheid is het online belangrijk om mensen te onderscheiden van (kwaadaardige) robots. Eén van de manieren om dit te doen is door een captcha toe te voegen op je formulieren. Zo maak je het gehackt worden een minder groot risico voor jouw business.
Wanneer wij websites bouwen gebruiken wij altijd Gravity forms, een fijne plugin waar Captcha ook in zit. Ook MailChimp biedt een mogelijkheid om captcha toe te voegen aan jouw contactformulier.
Pas op voor digitale robots! En beloon jezelf na de noeste beveilig-arbeid met een online robotconcert van de Japanse robotband Z-machines
Ik ben gehackt, wat nu?
- Wat is de datum en het tijdstip waarop je bent gehackt?
Als je daarachter bent, dan is het een kwestie van jouw website terugzetten naar de code van voor de hack en dan maak je de hack ongedaan. Om hier informatie over te krijgen, is jouw eerste aanspreekpunt jouw hostingpartij. Vraag daar een stappenplan op, en vraag ze om een back up terug te zetten. Per provider verschilt het of ze jouw website een week terugzetten, of een maand. Dit gaat afhankelijk van jouw wensen en in overleg. - Code: controleer de verschillen
Als de hacker eenmaal ´binnen´ is, is de kans groot dat hij of zij verder aan de slag gaat met jouw code. Daarom is het belangrijk om de broncode van jouw website te controleren op verschillen. Deze controle kun je alleen maar uitvoeren door elke dag een nieuwe back-up te maken van jouw website en deze te vergelijken met de broncode van jouw website van voor de hack.Hoe je een back-up maakt? Dit doe je door de code en files lokaal te downloaden en in een folder te zetten. Dit doe je door naar je FTP-server te gaan, in te loggen en alle files en mapjes naar je harde schijf verslepen. Via phpmyadmin kun je ook inloggen en dan een dumb maken van de database. Een dump maken van alle data kun je ook doen met de WordPress plugin all in one migration. - Zoek hulp van slimme nerds zoals wij
Gehackt worden: je denkt al snel dat het jou niet zal overkomen. Toch overkomt het veel bedrijven en ondernemers. Ben je teveel in paniek om rustig alle stappen te doorlopen, of kom je er niet uit? Zoek hulp en wacht daar niet te lang mee. Wij zijn ervaren hackfixers en helpen je graag verder om jouw hack op te lossen en jouw website veilig te houden.
WordPress onderhoud liever uitbesteden?
Kies het WordPress-onderhoudspakket dat bij je past.
Zodat jij relaxed achterover kunt leunen. Maak voordelig kennis: de eerste twee maanden krijg je pakket Veilig & Rapportage voor 49 euro in plaats van 99 euro. Gebruik hiervoor de code #weergesmeerd
Hoe werkt het?
Wanneer je een pakket hebt gekozen, ontvang je in je mail de factuur van het maandbedrag. Graag ontvangen wij de login van je WordPress website, zodat wij de connectie kunnen maken met de software van het onderhoud. Deze informatie kan je veilig en vertrouwd sturen in aparte mailtjes, of uploaden op onze Basecamp omgeving. Je ontvangt hiervoor dan een invite. De onderhoudspakketten gelden per maand. Wil je ermee stoppen, geef dit dan drie dagen voor het einde van de maand aan. Mogen wij je website een jaar onderhouden, dan betaal je maar 11 maanden.
Heel veel succes met jouw WordPress onderhoud. Of je ervoor kiest om het zelf te doen of uit te besteden: zorg ervoor dat het gebeurt. Een hack kan je duur komen te staan, net als een website die niet functioneert over eruit ligt. Beter voorkomen dan genezen.
Heb je een vraag? Bel gerust naar 030 231 23 03 / 06 45 60 41 97 of mail naar René via rene@debeelddenkers.nl.