De beveiligingsrisico’s van Wordpress

Wordpress is een zeer populair softwarepakket om websites te bouwen en te beheren, vooral vanwege de laagdrempeligheid ervan. De populariteit van Wordpress zorgt ervoor dat het platform een doelwit is van hackers. Immers, er zijn veel verschillende websites te hacken met dezelfde trucjes, omdat de onderliggende software vergelijkbaar is.

In dit artikel wordt uiteengezet welke beveiligingsrisico’s en kwetsbaarheden Wordpress met zich meebrengt en op welke beginnersfouten wordt ingespeeld door hackers.

Niet updaten van verouderde software

In de software van Wordpress worden regelmatig beveiligingsproblemen ontdekt en opgelost. Dit gebeurt door middel van nieuwe versies, oftewel: updates. Voor de beheerder van een Wordpress-website is het vervolgens noodzakelijk deze updates te installeren om de website te blijven beveiligen.

Toch gebeurt dit in veel gevallen niet. Soms vergeet de beheerder om de updates uit te voeren of wordt er niet opgemerkt dat er nieuwe updates zijn. Bij het gebruik van de website valt het namelijk niet op dat er een update nodig is; de website draait zonder problemen. Het kan ook zo zijn dat de updates bewust niet worden geïnstalleerd. Dit gebeurt wanneer de updates (mogelijk) ten koste gaan van plug-ins. Deze plug-ins kunnen belangrijk zijn voor het functioneren van de website en daarom wordt er besloten om de werking ervan niet te riskeren. Het gevolg daarvan is dat de website wordt blootgesteld aan beveiligingsrisico’s en mogelijke hacks, omdat de beveiligingsproblemen van de verouderde versie op straat kunnen komen te liggen.

Over het algemeen geldt dat de beveiligingsrisico’s groter worden naarmate de website achterloopt wat betreft updates.

Geïnstalleerde plug-ins als beveiligingsrisico

Plug-ins zijn extensies van het softwarepakket, die nieuwe mogelijkheden bieden. Een zeer bekend voorbeeld is de Yoast SEO plug-in. Deze plug-ins worden in veel van de gevallen gemaakt door amateurs en zijn daarom niet altijd even veilig. Vooral gratis plug-ins zijn vaak verouderd en bevatten beveiligingslekken. Als een plug-in door een relatief klein team beheerd en bijgewerkt wordt, dan kan het gebeuren dat een beveiligingsprobleem niet wordt opgemerkt. Daarnaast kan het zo zijn dat een ontwikkelaar niet langer werkt aan een plug-in, maar dat deze plug-in nog wel in gebruik is.

Een ander risico is de extra toegangsweg die een plug-in biedt voor hackers. Kwaadwillenden kunnen een plug-in creëren, waardoor hen de toegang tot de website wordt vergemakkelijkt. Een hack zit in een klein hoekje.

Lees meer...

Lees ook:
Cybersecurity en de waarde van uw dataset

Supplychain-aanval

Een supplychain-aanval is een vorm van hacken waarbij een plug-in wordt opgekocht door een hacker en deze hacker vervolgens een zogenaamde backdoor toevoegt aan de code van de plug-in. Als de gebruikers van de plug-in deze updaten, dan wordt de backdoor geactiveerd en krijgt de hacker toegang tot de website. Hier wordt door Wordpress intensief op gemonitord, waardoor dit risico relatief laag is.

XML-RPC

Deze afkorting is een vrij technische term in de software van Wordpress. Door middel van XML-RPC kan je vanuit andere toepassingen berichten publiceren op de website. Dit kan voor de gebruikers van Wordpress functioneel zijn, maar het brengt ook beveiligingsrisico’s met zich mee.

Zo wordt het voor hackers gemakkelijker om zeer veel wachtwoorden te testen met slechts één druk op de knop. Hierdoor zal de hackpoging veel minder snel opgemerkt worden en kan de hacker ongestoord zijn gang gaan. Voor een technischere en gedetailleerde uitleg, verwijzen wij je naar dit blog van Sucuri.

Gebruikersnamen en wachtwoorden hacken

Het is een oude truc, maar het is nog steeds zeer effectief: het hacken van wachtwoorden. De vrij standaard gebruikersnamen (zoals admin, test, <domeinnaam>, administrator, backup) zijn zeer gemakkelijk te raden. Bovendien gebruiken beheerders vaak hun eigen voor- of achternaam als gebruikersnaam, terwijl die voor- of achternaam te vinden is op hun website. Het wordt voor hackers helemaal gemakkelijk om een website binnen te dringen als er een voor de hand liggend wachtwoord wordt gebruikt.

Wordpress genereert automatisch veilige wachtwoorden voor gebruikers, maar het is natuurlijk wel van belang dat deze wachtwoorden veilig worden bewaard en niet worden veranderd in een gemakkelijk te raden wachtwoord. Daarnaast is het belangrijk om ook voor hosting- en FTP-accounts een sterk wachtwoord te kiezen.

Als gebruiker van Wordpress kan je de beveiligingsrisico’s minimaliseren door regelmatig de updates te installeren, door zorgvuldig om te gaan met het gebruik van plug-ins en door een gebruikersnaam en wachtwoord te kiezen die niet gemakkelijk te raden zijn. Een extra tip is om regelmatig de logfiles van de webserver te bekijken. Op die manier is zichtbaar wie er probeert toegang te krijgen tot de website en op welke manier.

Bronnen:

Gepubliceerd in IT Security

Geschreven op 14 Juni 2021 door