Is WordPress al je tijd en moeite wel waard?

Je kunt je WordPress-site natuurlijk goed beveiligen, maar dan moet je er wel bovenop zitten. Misschien is dat de tijd en moeite niet waard en ben je beter af met een systeem dat dit voor je doet.

WordPress-sites liggen weer eens onder vuur door aanvallers die ervoor zorgen dat sites redirecten naar een exploitpagina in plaats van een domein dat advertenties host. De gebruikte exploitkit is Nuclear, die onder meer wordt gebruikt om ransomware Cryptowall te verspreiden. Als sitebeheerder of gebruiker heb je natuurlijk liever niet dat je hiermee in aanraking komt.

Voor de vorm zal ik hier nog even de zes richtlijnen voor het omgaan met ransomware opsommen:

  1. Zorg voor back-ups.
  2. Test de back-ups of deze kan herstellen.
  3. Ga niet in op losgeldeisen.
  4. Doe aangifte van de softwaregijzeling.
  5. Onderzoek hoe de malware is binnengekomen en dicht het gat.
  6. Werk je netwerkbeveiligingsplan bij.

WordPres is kwetsbaar omdat het een populair CMS is met een marktaandeel zo'n dertig procent van alle websites, er veel plugins van derden zijn met elk hun eigen beveiligingsissues en omdat de broncode van binnen en van buiten bekend is bij aanvallers. Nou hoor ik je denken: "Ik kan de boel beveiligen door alle plugins bijgewerkt te houden." Dat is vaak zo, maar de recente aanvallen maken waarschijnlijk gebruik van een WordPress-zeroday.

Sniffers opgemerkt

Het aanvalsoppervlak van WordPress is door zijn complexe ecosysteem enorm groot. Zelf gebruik ik bijvoorbeeld de plugin 404 to 301 voor een aantal sites die ik beheer. Die zorgt ervoor dat 404-fouten die je krijgt als pagina's niet bestaan worden omgezet naar redirects als 301, 302, 307. Ik had de e-mailmeldingen niet aangezet omdat ik na een maand testen enkele jaren geleden geen enkele melding had gekregen.

Maar toen ik de meldingen recentelijk inschakelde, zag ik een hoop requests van pagina's waar een aanvaller naar zoekt, zoals

/404.php /wp-content/themes/fonts/fontawesome-webfont.svg?v=4.1.0 /wp-includes/SimplePie/Net/IPv7.php

Die requests kwamen vooral uit Duitsland, Nederland en Rusland. De sites werden beschermd door WordFence en die had goed nieuws: de aanvallers zijn niet binnengekomen.

WordPress-back-up

Kijk trouwens eens naar de plugin Updraft als je back-up-oplossing voor je Wordpress-site zoekt. Deze brengt back-ups automatisch (of handmatig, zo je wilt) naar allerhande opslagbronnen als Dropbox, Google Drive, S3, Rackspace, FTP, SFTP of WebDav. Het kan ook sites dupliceren en migreren en de plugin heeft mij al twee keer uit de problemen gered. Voor extra beveiliging kun je terecht bij Plugin Vulnerabilities die je geïnstalleerde plugins controleert op bekende beveiligingsfouten en waarschuwt als er nieuwe worden geconstateerd.

Hierna: Alternatieven en handige plugins om sites soepeler te beheren.

1 2 Page 1
Page 1 of 2
7 inconvenient truths about the hybrid work trend
 
Shop Tech Products at Amazon