Beveiliging van onze Marketheme omgevingen

Hoe wij onze websites zo veilig mogelijk houden

Gemiddelde leestijd: 6 minuten

Onlangs ging het op het forum over een mogelijk gehackte website. Omdat er een vraag was van één van onze gebruikers ga ik in dit bericht zo goed mogelijk proberen wat het beveiligen van een groot WordPress netwerk inhoud.

Server inrichting

Een groot netwerk als Marketheme draait in tegenstelling tot een kleine website niet op een shared hosting pakket, maar op een eigen (virtuele server). De beveiliging van een server zelf kan je goed vergelijken met dat van een computer of laptop.

Besturingssysteem en software

Net zoals op een computer kent een server ook een besturingssysteem en software. Het is van belang om deze met regelmaat te blijven updaten om minder kwetsbaar te raken voor potentiële exploits (achterdeuren voor hackers). Voor sommige van deze updates is een herstart van de server vereist, vandaar dat deze werkzaamheden voornamelijk s’avonds laat of zelfs s’nachts worden uitgevoerd.

Om er voor te zorgen dat de server niet onnodig wordt bezocht door bots/onbevoegden is er verschillende software actief om er voor te zorgen dat deze automatisch worden geblokkeerd, dit is dus nog op server niveau, niet binnen de website zelf.

Service level agreement 24/7

Met onze hostingprovider hebben we een contract lopen welke 24/7 de gebeurtenissen op onze server controleert. Gebeurd er iets geks, dan grijpen ze direct in. Zien we zelf dat er iets aan de hand is? Dan hebben we snelle communicatielijnen op het probleem tegen te gaan.

Brute force beveiliging

Standaard hebben al onze loginpagina’s (van alle sites binnen het Marketheme netwerk) een extra Captcha (ik ben geen robot) beveiliging op de login pagina.

Ondanks dat deze soms vervelend zijn om opnieuw aan te moeten vinken, zorgt het er wel voor dat bots niet zomaar de loginpagina op kunnen roepen om een brute force aanval op los te laten.

Een brute force aanval is het lukraak proberen in te loggen met een gebruikersnaam en een verzonnen wachtwoord. Als je maar vaak genoeg verschillende combinaties van letters uitprobeert dan raad je uiteindelijk het wachtwoord dat je nodig hebt. Om deze reden wordt altijd geadviseerd om hoofdletters, cijfers en tekens in een wachtwoord te gebruiken. Ondanks dat deze manier van aanval niet de voorkeur geeft voor hackers, wil ik toch een paar voorbeelden delen.

Het wachtwoord “test” zou met de huidige rekensnelheid van computers binnen 8 minuten al geraden zijn. Dit is natuurlijk een vrij kort en makkelijk wachtwoord, maar vergeet niet dat zulke hackers/bots niet één specifieke site in proberen te komen, ze proberen er gewoon duizenden tegelijk. Zou je het wachtwoord aanpassen naar “Test123!” dan zou dit al ruim 2 duizend eeuwen kosten om te raden.

Zelf kijken hoe lang het duurt om een bepaalde tekst te brute forcen? Probeer het via https://www.grc.com/haystack.htm

Een meer gebruikte manier om een website proberen in te komen is een zogenaamde Library Attack. Hackers proberen dan aan de hand van een lijst met wachtwoorden in te loggen op jouw website. Zulke lijsten zijn gratis op het internet te vinden, maar worden ook samengesteld op basis van verkregen informatie van gehackte computers. Het is niet makkelijk om een dergelijke lijst te vinden.

Binnen 5 minuten heb je een lijst met 100.000 verschillende wachtwoorden, zoals te vinden is via deze link
LET OP: laden van deze link kan lang duren!

WordPress beveiliging

We hebben de server van Marketheme op verschillende manieren beveiligd. Uiteraard kan ik in dit bericht niet volledige openheid geven van de data/methodes die we hiervoor gebruiken, daar zou het minder veilig door raken.

Plug-ins

Door het gebruik van plug-ins te beperken heb je minder potentiële kwetsbare scripts in je codebase (het geheel van de code van je website). Plug-ins die we wel gebruiken worden sowieso wekelijks geüpdatet en worden direct bijgewerkt op het moment dat er een update zichtbaar is tijdens andere werkzaamheden.

Thema’s

Omdat Marketheme een eigen geschreven thema is, is de code van dit thema niet openbaar. Dit maakt het voor hackers lastiger om op zoek te gaan naar zwakheden in de code.

Instellingen

Met behulp van verschillende instellingen (met behulp van een plug-in) beschermt de installatie van Marketheme zich tegen de volgende zaken:

  • Te vaak foutief inloggen zorgt voor een (tijdelijke) IP ban
  • Te vaak een 404 pagina bezoeken zorgt voor een (tijdelijke) IP ban
  • Het standaard voorzetsel (wp_) van de WordPress database is aangepast
  • De bestanden van WordPress worden continue vergeleken met de standaard bestanden, bij wijzigingen wordt er melding gemaakt
  • Verschillende ongebruikte functionaliteiten binnen WordPress zijn uitgeschakeld

Ben je op zoek naar een goede oplossing voor het beveiligen van jouw WordPress website? WPMUdev is niet goedkoop, maar bied o.a. “Defender Pro”, back-up mogelijkheden en een verbeterde versie van WP Smush om je afbeeldingen te comprimeren. De plug-ins die zij aanbieden zijn een paar van de uitzonderingen die wij gebruiken voor beide Marketheme netwerken.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *