9 veelvoorkomende problemen met WordPress-kwetsbaarheden (en hoe deze te verhelpen)

Een van de beste manieren om uw WordPress-website veilig te houden, is door vaak te controleren op mogelijk schadelijke code op uw website. Wanneer u een kwetsbaarheid vindt, kunt u onmiddellijk corrigerende maatregelen nemen voordat u iemand toestaat deze te misbruiken en zogenaamd uw WordPress-beheerderspaneel binnen te gaan.

Het is geen wonder dat hackers zich enorm richten op WordPress-websites, omdat dit het populairste CMS op de markt is. Standaard zijn er verschillende manieren om uw WordPress-installatie veiliger te maken. De harde realiteit is echter dat slechts een fractie van de sites ze volgt. Dit maakt WordPress een van de gemakkelijkste doelwitten voor hackers.

 

Aanbevolen literatuur: 17 manieren om WordPress-hacking te voorkomen

9 Kwetsbaarheidsproblemen in WordPress

1. Goedkope WordPress-hosting

Als u kiest voor uw WordPress-hosting uitsluitend op basis van hosting, zult u meer dan waarschijnlijk een aantal WordPress-kwetsbaarheden tegenkomen. Dit komt omdat goedkope hosting meer dan waarschijnlijk verkeerd is ingesteld en niet correct van elkaar is gescheiden.

Dit betekent dat sites die op één installatie zijn uitgebuit, zich kunnen verspreiden naar niet-gerelateerde websites die op dezelfde server worden gehost. Dit probleem kan ook optreden als u meerdere websites host voor een aantal van uw klanten op hetzelfde hostingaccount.

In dit geval, nogmaals, als een van uw websites wordt gecompromitteerd, kan de infectie zich verspreiden naar ALLE websites in uw account. Je moet voorzichtig zijn om ervoor te zorgen dat je een installatie gebruikt zoals een VPS, waarmee je scheiding kunt maken tussen de verschillende gehoste websites.

Een ander probleem met goedkope hosting is de kwestie van "dodgy buren". Goedkope hosting zal de neiging hebben om spammy of onbetrouwbare klanten aan te trekken - dit kan betekenen dat de eigenlijke server waar de website wordt gehost op de zwarte lijst of spamlijst komt te staan.

FIX: Zorg er allereerst voor dat je niet kiest voor de goedkoopste hosting die je kunt vinden. Kies in plaats daarvan voor hosting waarbij beveiliging een prioriteit is. Ten tweede, als u websites host voor uw klanten, zorg er dan voor dat u de verschillende klanten in compartimenten verdeelt door voor elke klant verschillende gebruikers aan te maken.  

IMH

Wil je een snelle website?

Wie ben ik voor de gek aan het houden? Doen we dat niet allemaal?

Dus waarom worstelen zovelen van ons?

De grootste uitdaging is meestal het vinden van een snel, betrouwbaar hostingbedrijf.

We hebben allemaal de nachtmerries meegemaakt - ondersteuning duurt een eeuwigheid of lost ons probleem niet op, altijd iets aan jouw kant de schuld geven... 

Maar het grootste minpunt is dat de website altijd traag aanvoelt.

At CollectiveRay we hosten met InMotion-hosting en onze website is stom snel. We draaien op een custom stack van LightSpeed ​​server setup op MariaDB met een PHP7.4 engine en via Cloudflare. 

Gecombineerd met onze front-end optimalisaties bedienen we elke dag betrouwbaar 6000 gebruikers, met pieken van 50+ gelijktijdige gebruikers. 

Wil je een snelle installatie zoals de onze? Breng uw site gratis over naar InMotion-hosting en ontvang onze 50% KORTING op de huidige prijzen.

Probeer InMotion Hosting met 50% KORTING voor CollectiveRay bezoekers ALLEEN in maart 2024!

InMotion-hosting 50% KORTING voor CollectiveRay bezoekers

2. Zwakke WordPress-aanmeldingen en wachtwoorden

Het adres van de WordPress-login is algemeen bekend en er bestaan ​​hackscripts waarvan het enige doel is om veelgebruikte wachtwoordcombinaties brute force te forceren of om een ​​lijst met wachtwoorden uit te proberen die van andere sites zijn gelekt.

Dit betekent dat als je een zwak wachtwoord gebruikt, zoals admin/admin, of admin/wachtwoord of andere stomme simpele wachtwoordcombinaties, je een ernstige WordPress-kwetsbaarheid op je website introduceert.

zwakke wachtwoorden

FIX: Het is van cruciaal belang dat WordPress-inlogwachtwoorden sterke wachtwoorden gebruiken, veilig worden opgeslagen en nooit worden gedeeld met andere installaties of platforms. En gebruik geen "admin" als gebruikersnaam, kies iets dat moeilijker te raden is.

Oudere versies van WordPress maakten vroeger een standaardgebruiker aan met de gebruikersnaam 'admin', veel hackers gaan ervan uit dat mensen nog steeds dezelfde gebruikersnaam gebruiken.

Als je admin nog steeds gebruikt als gebruikersnaam van het beheerdersaccount, maak dan een nieuw account aan op je WordPress-site en draag het eigendom van alle berichten over naar het nieuwe account. Zorg ervoor dat de rol van de nieuwe gebruiker een beheerder is.

Zodra dit is gebeurd, kunt u het gebruikersaccount verwijderen met de gebruikersnaam admin of de rol ervan wijzigen in abonnee.

Als uw website een communitysite is met meerdere auteurs, kunt u deze beter installeren https://wordpress.org/plugins/force-strong-passwords/ plug-in op uw WordPress-site. Deze plug-in dwingt gebruikers om een ​​sterk wachtwoord te gebruiken bij het aanmaken van een nieuwe gebruiker.  

3. Verouderde kern WordPress, thema's of plug-ins

Zoals met de meeste software, ontdekt WordPress meestal problemen die kunnen worden gebruikt om een ​​website te hacken. Deze problemen worden meestal opgelost telkens wanneer een update wordt uitgebracht. Maar dergelijke updates geven ook de daadwerkelijke kwetsbaarheid van WordPress vrij voor het publiek.

Dit betekent dat zodra een update wordt uitgebracht, er een exploit wordt gemaakt om websites aan te vallen die niet zijn bijgewerkt naar de nieuwste versie.

Dezelfde logica is van toepassing op WordPress-plug-ins en thema's die hetzelfde probleem kunnen vertonen. Dit kan ook gebeuren met PHP-software, MySQL-software, serversoftware en andere software die niet is bijgewerkt en op de server van uw website staat.

In wezen, als een stukje software niet is bijgewerkt, is het een zittende eend - een WordPress-kwetsbaarheid die wacht om te worden uitgebuit.

FIX: Houd alle leveranciersabonnementen actief en zorg ervoor dat u alle componenten up-to-date houdt naar hun nieuwste versies.

4. PHP-exploits

Naast exploits die in WordPress zelf bestaan, is het goed mogelijk dat er een PHP-exploit bestaat in een PHP-bibliotheek die mogelijk ook niet is bijgewerkt. Het probleem hiermee is dat u zich er meestal niet eens van bewust bent dat een dergelijke bibliotheek op uw website wordt gebruikt.

FIX: Kies daarom voor een geavanceerde WordPress-hosting zoals een VPS of beheerde WordPress-hosting, waar u PHP-bibliotheken die u niet gebruikt en niet nodig hebt, kunt aanpassen en/of verwijderen op uw server.

5. Software installeren van onbetrouwbare bronnen

Soms, om verschillende kortzichtige redenen (mogelijk geldelijk), zou je kunnen overwegen om premiumproducten te downloaden van "onbetrouwbare" sites. Met andere woorden, download illegale versies van premium plug-ins of thema's.

Dit is een zekere manier om WordPress-kwetsbaarheden op uw websites te introduceren. De reden is dat de "prijs" van het gebruik van dergelijke illegale software verborgen en schandelijk is. Deze plug-ins zijn meestal aangepast met wat bekend staat als een achterdeur. Backdoors geven gebruikers afstandsbediening voor websites waar deze plug-ins zijn geïnstalleerd en hackers hebben volledige controle over uw site en zullen deze naar believen gebruiken voor hun eigen praktijken.

illegale software achterdeuren

Dit kan het gebruik van uw website zijn als onderdeel van een zombienetwerk (netwerk van computers die deelnemen aan een botnet- of DDoS-aanval), het gebruik van uw website als onderdeel van een netwerk van websites dat wordt gebruikt om meer gebruikers te infecteren met kwetsbaarheden, het verzenden van SPAM, phishing of andere schadelijke praktijken.

FIX: Vermijd dergelijke bronnen en zorg ervoor dat u alleen software downloadt en gebruikt van officiële betrouwbare bronnen. Anders heb je zeker verborgen WordPress-kwetsbaarheden geïntroduceerd.

6. Sites die geen beveiligde certificaten gebruiken

Sites die geen SSL/TLS-certificaat hebben, versleutelen geen informatie die tussen de browser en de server wordt verzonden. Dit betekent dat dergelijke informatie, inclusief wachtwoorden of andere gevoelige gegevens, zoals persoonlijke of betalingsinformatie, kan worden opgesnoven terwijl deze via internet wordt verzonden.

Er bestaat software om dergelijke versleutelde gegevens te lezen en potentieel waardevolle informatie op te slaan om later te gebruiken en te exploiteren.

FIX: Door een beveiligd certificaat te installeren en in te stellen, wordt informatie versleuteld voordat deze van of naar de server gaat

7. Exploits voor bestandsopname

Exploitatie van bestandsinsluiting zijn enkele van de meest voorkomende WordPress-kwetsbaarheden die worden uitgebuit via PHP-code. Dit is wanneer een WordPress-kwetsbaarheid waarbij een probleem in de code "verhoging van privileges" of "omzeiling van beveiliging" mogelijk maakt, zodat een aanvaller bestanden op afstand kan laden om toegang te krijgen tot een website. Dergelijke exploits kunnen een site volledig overnemen of privé-informatie stelen door toegang te krijgen tot informatie die normaal niet beschikbaar is voor het publiek. 

FIX: Houd al uw software bijgewerkt naar de nieuwste versies en zorg ervoor dat u een WordPress-beveiligingsplug-in hebt geïnstalleerd 

8. SQL-injecties

SQL-injecties zijn een andere vorm van exploit, maar dit soort WordPress-kwetsbaarheid maakt ook misbruik van bugs in code om acties uit te voeren die niet bedoeld waren. In wezen vindt een SQL-injectie plaats wanneer een aanvaller de normale beveiligingen omzeilt om toegang te krijgen tot de WordPress-database en privégegevens van de website.

Door toegang te krijgen tot de WordPress-database, kunnen ze onrechtmatige wijzigingen aanbrengen, zoals het maken van gebruikers op beheerdersniveau die uiteindelijk kunnen worden gebruikt om volledige toegang tot de site te krijgen. Dergelijke aanvallen kunnen ook worden gebruikt om kwaadaardige gegevens aan de database toe te voegen, zoals links naar spam- of kwaadaardige websites.

SELECT * NU Gebruikers WAAR Naam ="" or ""="" EN Pas ="" or ""=""

FIX: Zorg ervoor dat u de nieuwste softwareversies op uw site hebt geïnstalleerd en dat ze up-to-date worden gehouden 

9. XSS of cross-site scripting

Dit is een andere veel voorkomende vorm van aanval. In feite zijn dit waarschijnlijk de meest voorkomende exploits.

Cross-site scripting werkt wanneer een aanvaller manieren vindt om het slachtoffer te misleiden om websites te laden die specifieke Javascript-code bevatten. Deze scripts worden geladen zonder medeweten van de gebruiker en worden vervolgens geladen om informatie te kunnen lezen waartoe ze normaal gesproken geen toegang zouden hebben. Zo'n code kan bijvoorbeeld worden gebruikt om gegevens op te snuiven die in een formulier zijn ingevoerd.

In de rest van dit bericht zullen we enkele strategieën bekijken om kwetsbaarheden in uw WordPress-website te vinden. We zullen ook verschillende methoden bekijken om WordPress-kwetsbaarheden op te lossen.

WordPress-kwetsbaarheden vinden door middel van scannen

Zoals we al zeiden als onderdeel van onze lijst hierboven, als u op zoek bent naar gratis WordPress-thema's (of thema's of plug-ins in het algemeen) om op uw WordPress-website te installeren, is het altijd aan te raden om ze te kiezen uit de officiële WordPress-themamap omdat de officiële directory zorgt voor de beveiliging van uw WordPress-thema's.

Dat gezegd hebbende, geven sommige legitieme thema-ontwikkelaars en -bureaus er de voorkeur aan om hun gratis kwaliteitsthema's niet in de officiële directory op te nemen, omdat de officiële directory-richtlijnen hen beperken om veel functionaliteiten in hun thema op te nemen.

Dat betekent dat als het gaat om het kiezen van een gratis WordPress-thema, de officiële map met WordPress-thema's niet de enige show in de stad is. Dat gezegd hebbende, als je een thema kiest buiten de officiële directory, moet je een extra dosis verantwoordelijkheid hebben op het gebied van themabeoordeling.

Hieronder vindt u een aantal methoden om de authenticiteit van uw WordPress-thema te controleren en ervoor te zorgen dat het is beveiligd tegen mogelijk schadelijke codes en WordPress-kwetsbaarheden.

De volgende services kunnen allemaal worden gebruikt om te controleren op kwetsbaarheden in WordPress: 

  • nerdflare
  • Sucuri
  • Hackerdoelwit
  • Detectify
  • WPSEC
  • Ninja Security
  • Pentest-Tools
  • WP Neuron
  • Quttera

 

WordPress-kwetsbaarheden vinden na installatie

Mogelijk hebt u al veel thema's op uw WordPress-website geïnstalleerd. Als dat het geval is, hoe zou u dan de authenticiteit van de geïnstalleerde thema's controleren? Hieronder staan ​​een aantal methoden vermeld.

Een aantal van deze plug-ins is de afgelopen jaren niet geüpdatet en de belangrijkste versies van WordPress. Dit betekent dat ze waarschijnlijk worden verlaten en dat hun resultaten niet betrouwbaar zijn. nietless u een recente versie ziet, raden we u aan te kiezen voor het gebruik van Sucuri of een ander product van onze WordPress-beveiligingsplug-ins lijst hier.

1. Thema Authenticiteit Checker

Thema Authenticiteit Checker

De Theme Authenticity Checker is een gratis plug-in waarmee u de themabestanden kunt scannen om te zien of er problemen zijn met kwetsbaarheden in WordPress waarvan u op de hoogte moet zijn. Als potentieel schadelijke code wordt gevonden in een geïnstalleerd thema, zal de plug-in u de patch, het regelnummer vertellen en de verdachte code weergeven. Dit zal u helpen om preventieve actie te ondernemen - of het thema te verwijderen.

Deze plug-in is geweldig om te controleren of het geïnstalleerde thema zonder uw medeweten een gecodeerd kwaadaardig script bevat.

Helaas heeft deze plug-in dat niet is nu de afgelopen 3 jaar geüpdatet, dus totdat u een recentere update ziet, wilt u dit misschien overslaan.

2. WP-authenticiteitscontrole

Op dezelfde manier is de WP Authenticity Checker. Naast het controleren op problemen met thema's, kijkt deze plug-in ook naar problemen met de WordPress-kern of plug-ins van het derde deel om eventuele WordPress-kwetsbaarheid te identificeren.

Helaas heeft deze plug-inomdat de afgelopen 2 jaar niet is bijgewerkt ook, dus misschien wilt u de resultaten van deze plug-in misschien niet volledig vertrouwen.

wp authenticiteit checker

Eenvoudig downloaden, installeren en uitvoeren om eventuele problemen met thema's of plug-ins te ontdekken.

3. Exploitscanner

De Exploit-scanner was ook een product dat op een vergelijkbare manier werkte, maar helaas is ook deze plug-in in de steek gelaten. Om deze reden wordt het niet aanbevolen om het onless je ziet een vrij recente update.

exploit-scanner

Exploit Scanner is een andere gratis plug-in, die robuustere functies biedt dan TAC. Het beste is dat de exploit-scannerplug-in je helpt de database van je WordPress-installatie te controleren naast de themabestanden.

Houd er rekening mee dat deze plug-ins u alleen de kwetsbaarheid laten zien en dat het aan u is om te beslissen welke preventieve maatregelen u moet nemen om de WordPress-kwetsbaarheid uit te roeien.

Aanvullende oplossingen om te beschermen tegen kwetsbaarheden in WordPress

1. Stel een aangepaste inlog-URL in voor WordPress

Tijdens de installatie van WordPress maakt WordPress standaard twee inlog-URL's. Zij zijn

  • wp-login.php
  • wp-admin.php

Het probleem met het gebruik van de standaard inlog-URL is dat iedereen kan inloggen op uw WordPress-dashboard zodra ze de gebruikersnaam en het wachtwoord hebben gevonden (of de juiste schatting hebben gemaakt). Door de URL van uw inlogpagina aan te passen, stapt u naar een betere beveiliging van uw WordPress-website en maakt u het moeilijker voor slechteriken om deze te kraken.

Hoe zou u de inlog-URL van uw WordPress-website wijzigen?

Installeer eenvoudig het Stealth-login plug-in en pas het Stealth-gedeelte van de Aangepaste login-plug-in om de login te verbergen.

aangepaste login stealth login-instellingen

 

2. Beperk het aantal inlogpogingen

Dus je hebt de inlog-URL van je WordPress-website aangepast voor een betere beveiliging. Maar wat als de slechteriken de daadwerkelijke inlog-URL ontdekten? Hoe kunt u vervolgens pogingen tot toegang tot uw website voorkomen?

In een dergelijk geval is een van de beste methoden om het aantal inlogpogingen te beperken. Standaard kunnen hackers zoveel wachtwoorden proberen om uw website binnen te komen als ze willen; door de inlogpogingen te beperken, blokkeer je deze mogelijkheid van brute force-aanvallen op je website.

Install iThemes Security (een volwaardige beveiligingsplug-in) of Inloggen LockDown inpluggen. Met beide plug-ins kunt u de pogingen die een gebruiker kan doen om het dashboard te betreden, beperken. 

wordpress brute force bescherming

3. Schakel bladeren door mappen uit

Wanneer uw bezoeker naar een pagina navigeert en de webserver kan er geen indexbestand voor vinden, wordt standaard automatisch een pagina weergegeven en de inhoud van de directory weergegeven. Het probleem hiermee is dat iedereen naar die mappen kan navigeren, die kwetsbaar kunnen zijn voor uw site en een hacker kan deze gemakkelijk misbruiken om uw site uit de lucht te halen.

directory-index wp

Sommige WordPress-mappen bevatten bijvoorbeeld gevoelige gegevens zoals wp-content of wp-includes. Door hackers door deze mappen te laten navigeren, kunnen hackers hierin potentiële exploits vinden.

Het is dus belangrijk voor de beveiliging van uw website om het bladeren door mappen uit te schakelen.

Hoe zou u het bladeren door mappen op uw WordPress-website uitschakelen?

Het enige wat je hoeft te doen is onderstaande code toe te voegen onderaan het .htaccess bestand van je WordPress website.

Options -Indexes

Note: zorg ervoor dat u een back-up van uw website maakt voordat u er wijzigingen in aanbrengt. .htaccess is een verborgen bestand en als u het niet op uw server kunt vinden, moet u ervoor zorgen dat uw FTP-client de verborgen bestanden weergeeft.

Aanbevolen lezing: Native vs. plug-in - WordPress-back-ups maken met verschillende methoden

Zodra u bladeren door mappen uitschakelt, zullen al die mappen die voorheen zichtbaar waren, een '404 Not Found'-pagina of '403 Access Forbidden'-bericht weergeven.

Download de lijst met 101 WordPress-trucs die elke blogger zou moeten kennen

101 WordPress-trucs

Klik hier om nu te downloaden

Conclusie

Geen enkele software is perfect als het om beveiliging gaat. Dat geldt zelfs voor WordPress, dus zorg ervoor dat u de WordPress-kernsoftware of thema's en plug-ins bijwerkt wanneer er nieuwe versies worden uitgebracht om eventuele vaste WordPress-kwetsbaarheid te stoppen. Zorg ervoor dat u automatische updates van WordPress inschakelt of een proces hebt om het up-to-date te houden.

Hulp nodig bij het repareren en opschonen van uw WordPress? Probeer deze best beoordeelde betaalbare optredens op Fiverr!

fiverr-logo

 

Klik hier om experts te vinden WordPress snelheidsoptimalisatie.

Klik hier om een ​​te maken volledige WordPress website.

Als je vragen hebt, stel ze dan hieronder in het opmerkingengedeelte en we zullen ons best doen om je te helpen.

Over de auteur
Shahzad Saeed
Shahzaad Saaed is te zien geweest op een groot aantal gezaghebbende websites, waaronder EasyDigitalDownloads, OptinMonster en WPBeginner, waar hij momenteel werkzaam is als senior contentschrijver. Shahzad is een WordPress-expert, webontwerper en algehele technologie- en ontwerpexpert. Hij is gespecialiseerd in contentmarketing om bedrijven te helpen hun verkeer te vergroten door middel van bruikbare en op ervaring gebaseerde artikelen, blogs en deskundige gidsen, allemaal ontleend aan zijn meer dan 10 jaar ervaring in het veld.

Nog een ding... Wist je dat mensen die nuttige dingen zoals dit bericht delen er ook GEWELDIG uitzien? ​
Alstublieft laat een nuttig geef commentaar met je mening, deel dit dan op je Facebook-groep (en) die dit nuttig zouden vinden en laten we samen de vruchten plukken. Bedankt voor het delen en aardig zijn!

Disclosure: Deze pagina kan links bevatten naar externe sites voor producten die we geweldig vinden en die we van harte aanbevelen. Als u producten koopt die we aanbevelen, kunnen we een verwijzingsvergoeding verdienen. Dergelijke vergoedingen hebben geen invloed op onze aanbevelingen en we accepteren geen betalingen voor positieve beoordelingen.

Auteur (s) Uitgelicht op:  Inc Magazine-logo   Sitepoint-logo   CSS Tricks-logo    webdesignerdepot-logo   WPMU DEV-logo   en nog veel meer ...