WordPress is het meest gebruikte Content Management Systeem (CMS) wereldwijd met een marktaandeel van ruim 34%. WordPress is onderdeel van Automattic dat ervoor zorgt dat WordPress altijd up-to-date is met de nieuwste features en beveiligingsupdates. Dit is nodig, omdat veel hackers hun dagtaken hebben ingericht rond het hacken van WordPress.
WordPress en hackers
Automattic is een uiterst bekwaam bedrijf die de veiligheid van WordPress meer dan serieus neemt: WordPress is populair en ze zijn er alles aan gelegen om dit zo te houden. Eigenlijk kunnen we bijna vanzelfsprekend zeggen dat WordPress veilig is en een van de veiligste CMS-systemen ter wereld. Toch worden dagelijks vele WordPress websites gehackt. Als WordPress zo veilig is, waar gaat het dan fout?
Met de jaren web development ervaring die Digital Wizards nu heeft opgebouwd kunnen we zeggen dat dit niet aan WordPress ligt. In alle gevallen waarin wij gehackte websites hebben opgelost of bijna WordPress hacks hebben voorkomen kwam het door de gebruiker zelf of een onzorgvuldige of onervaren webbouwer.
Grootste problemen WordPress
We hebben hier de 10 grootste problemen van WordPress op een rijtje gezet:
1.) Niet up-to-date brengen WordPress;
2.) Veel (onbetrouwbare) plug-ins gebruiken;
3.) Plug-ins niet updaten;
4.) Geen beveiligingsplug-ins;
5.) Veiligheidsmaatregelen niet nemen;
6.) Eigen code toevoegen;
7.) Wachtwoorden niet regelmatig aanpassen;
8.) Geen back-ups;
9.) Goedkope en/of slechte hosting;
10.) Website met thema bouwen;
WordPress website gehackt?
Als je bovenstaande 10 punten goed opvolgt, dan kun je ervan uitgaan dat je WordPress website gewoon veilig is en ook veilig zal blijven. Je kunt de vergelijking maken met inbrekers: als je op jouw huis goede sloten zet, een goed alarm en nog andere maatregelen, dan gaan inbrekers naar de buren of een straatje verderop. Voor hackers geldt hetzelfde, ze hebben liever veel websites die ze makkelijk kunnen hacken, dan een paar waar ze veel moeite voor moeten doen.
Er zijn veel kenmerken van een gehackte WordPress website, maar een kenmerk is dat dit geleidelijk gebeurt en niet in één keer. Stel dat ze in een keer grote wijzigingen doen, dan kun je redelijk makkelijk een back-up terugzetten van 1-2 dagen eerder en dan kunnen ze in principe niet meer in je website.
We hebben in de loop der jaren een aantal soorten hacks meegemaakt:
a.) Spam e-mails versturen na hack
Je WordPress website kan zelf ook e-mails versturen, denk bijvoorbeeld aan orderbevestigingen voor je webshop of bevestigingen voor contactaanvragen via het contactformulier. Als hackers binnen zijn, dan kunnen ze uit naam van jouw website en e-mail spam mailberichten gaan versturen. Indien je een goede webhosting hebt, dan zal je e-mailaccount tijdelijk worden geblokkeerd en krijg je een waarschuwing met bijvoorbeeld:
“Je e-mailaccount heeft vandaag meer dan 500 e-mails verstuurd en is tijdelijk geblokkeerd”
b.) Veel nep pagina’s toegevoegd op WordPress
Voor een van de klanten waarvan we het onderhoud van een ander internetbureau hebben overgenomen zagen we al veel problemen toen we admin-rechten kregen. WordPress en plug-ins waren al maanden niet up-to-date en de simpele website was gebouwd met 30 plug-ins én een goedkoop thema. Genoeg voortekenen van de problemen die we zouden vinden!
Vanuit deze website werden geen e-mails verstuurd, maar er waren nieuwe pagina’s aangemaakt: bijna 47.000 nep pagina’s! In de Google Search Console kwamen we dit tegen:
Deze pagina’s waren niet beschikbaar vanuit WordPress zelf en zijn ook niet ingediend in de sitemap. Waarschijnlijk heeft de hacker in de code een script geplaatst waarin deze pagina’s worden aangemaakt en tevens in het Japans. We kwamen namelijk binnen de prestatierapportage deze goed gevonden zoektermen tegen:
Volgens Google Translate betekent het in het Nederlands:
復縁 タロット
vertaald: wedergeboorte tarot
鈴木ハーブ研究所 パイナップル豆乳ローション
vertaald: Suzuki Herb Institute Ananas Sojamelk Lotion
Kortom, de website van de klant is gebruikt voor diverse malafide SEO-praktijken die we zeker ‘black hat SEO’ zouden noemen. We hebben een aantal SEO-strategieën om dit probleem voor de klant op te lossen, maar het moge duidelijk zijn dat dit niet ideaal is voor de betrouwbaarheid van je merk en ook niet voor de SEO van je website.
c.) Misleidende website gedetecteerd
Voor de klant uit voorbeeld b.) waren we er laat, maar nog wel op tijd bij. Voor een andere klant waarvoor we problemen aan de WordPress website moesten oplossen was nog een stap verder afgegleden:
Deze website had naast de duizenden Japanse nep pagina’s ook een ban gekregen van Google doordat ze problemen niet hadden opgelost. De website was daardoor dusdanig onbetrouwbaar dat Google gebruikers actief afraadde de website te betreden via bovenstaande melding. Deze melding is op te lossen, maar eigenlijk al veel te laat. We hebben hiervoor een ander blogartikel geschreven: misleidende website gedetecteerd oplossen.
WordPress veiligheid
Zoals wellicht al duidelijk is uit dit artikel: WordPress is veilig. Het gaat om gebruikers en onervaren en/of onnauwkeurige webbouwers die WordPress onveilig maken. Als je stelselmatig WordPress en plug-ins up-to-date houdt en andere veiligheidsmaatregelen volgt, dan is dit al een goede eerste stap. Kies voor je nieuwe website liever voor een maatwerk website en niet voor een goedkope thema website van een onervaren webbouwer.
Met een maatwerk website heb je niet alleen een website die snel laadt en volledig voldoet aan je webdesign wensen, ook zal dit de veiligheid ten goede komen doordat er met veel minder plug-ins een website wordt gebouwd en alles veilig en goed gecodeerd is.
