WPdesk

Waarom je WordPress website wordt gehackt en door wie

Als het je ooit gebeurde, kun je je waarschijnlijk nog exact het moment herinneren waarop het tot je doordrong: je WordPress website is gehackt. Eerst twijfel je nog, dan is er ongeloof, daarna wordt je boos (héél erg boos!) en uiteindelijk vraag je je alleen nog maar af: wie en waarom?

Als je website is gehackt, heb je acuut een probleem. Je bent in bijna alle gevallen direct onzichtbaar voor bestaande klanten. Voor nieuwe klanten ben je bovendien onvindbaar. Je bezoekersaantal stort in. Je online reputatie brokkelt in rap tempo af. Google heeft per direct een hekel aan je. Grote kans dat je domein ‘geblacklist’ wordt waardoor je e-mailverkeer wordt lamgelegd. Online besta je al snel niet meer.

Je moet nu twee dingen doen: ten eerste je website weer schoon en overeind krijgen. Ten tweede moet je het vertrouwen van klanten, relaties en Google herwinnen. En je hebt geen tijd te verliezen. Hoe langer je offline bent, des te groter is de schade.

Eerst even terug naar de oorspronkelijke vraag: waarom je WordPress website wordt gehackt en door wie.

Je bent gehackt omdat het kan en door wie je bent gehackt maakt niet uit. Kom je waarschijnlijk toch nooit achter. En dat is niet erg. Als je net bent gehaackt, voelt het misschien als een aanval op wie je bent en wat je doet. Maar laat me je uitleggen waarom je het niet persoonlijk moet nemen.

Ten eerste: je bent niet de enige

Niemand weet precies hoeveel websites er per jaar onderuit gaan, maar over één ding zijn alle onderzoekers het eens; het zijn er veel. Héél veel.

Forbes magazines over website hacksVier jaar geleden meldde het vooraanstaande Business Magazine Forbes al dat er zo’n 30.000 website per dag (per dag!) worden gehackt. Dat aantal is de laatste jaren alleen maar opgelopen. WordPress heeft een marktaandeel van bijna 30%. Het gaat wat betreft WordPress dus al snel om zo’n 10.000 websites. Om dat getal wat meer handen en voeten te geven: in de paar minuten dat je dit artikel leest, gaan er pakweg 50 WordPress websites koppie-onder.

Ten tweede: het is niet persoonlijk

Als we gebeld worden door webmasters die gehackt zijn, vragen ze bijna altijd verwonderd waarom juist hun relatief kleine en (in het grote geheel) onbeduidende website is gehackt. Wie schiet daar nou wat mee op? Waarom hacken ze de mijne en niet de website van een groot bedrijf of bekend merk?

Als een groot bedrijf of bekend merk wordt gehackt, dan is dat bijna altijd een gerichte aanval. Maar in 99% van de gevallen gaat het niet om grote websites maar om de website van een ZZP’er of MKB’er: een zangleraar, consultant, timmerman of een hoveniersbedrijf. Dat zijn geen gerichte aanvallen. Het is niet persoonlijk. Het gaat de hacker niet om jou, niet om je bedrijf en niet om de omvang of populariteit van je website.

Je site wordt gehackt omdat er (misschien zonder dat je het weet) ergens een bovenlicht openstaat, een sleutel onder mat ligt of een achterdeur wagenwijd open staat. Click To Tweet

Kortom: je site wordt gehackt omdat het kan. Omdat je het de hackers niet al te moeilijk hebt gemaakt.

Ten derde: je bent niet gehackt door iemand maar door software

Het beste bewijs voor de tweede punt is dat bijna alle hacks worden uitgevoerd door software. Er komt geen fysieke muisklik aan te pas. Het is volledig geautomatiseerd. De hacker zit met een koud biertje aan het strand terwijl jouw website overhoop wordt gehaald. De hacker wéét niet eens dat jouw website aan de beurt is. Sterker nog: zijn software klopt op duizenden achterdeuren tegelijk, in de hoop dat er een paar op een kiertje staan.

Kortom: als je WordPress website wordt gehackt, is dat (met 99,9% zekerheid) geen gerichte aanval, niet persoonlijk bedoeld en je bent zeker niet de enige.

Het is wel zwaar kl*te…

Brengt ons op de volgende vraag: wat heeft een hacker er aan om jouw kleine, onbeduidende website te hacken? Niks beter te doen…?

Wat heeft een hacker er aan om jouw kleine, onbeduidende website te hacken? Niks beter te doen...?Click To Tweet

Als je een webshop hebt, waar mensen iets kopen en online betalen, dan ligt het antwoord op het eerste gezicht voor de hand. Financiële gegevens zijn tenslotte geld waard. Maar als je dieper zoekt, blijkt ook dat lang niet altijd de reden van een hack te zijn. Zeker voor websites die zich richten op de Nederlandse markt, waar we ‘iDealen’ en dus relatief weinig gebruik maken van creditcards. Het kan ze gaan om persoonsgegevens (met name om gebruikersnaam/wachtwoord – omdat veel mensen diezelfde combinatie op allerlei verschillende site gebruiken) maar zelfs dat zijn relatief weinig voorkomende hacks.

Maar als het ze daar niet om te doen is, waar is het ze dan wel om te doen? In bijna alle ongerichte, niet persoonlijke hacks hierom:

* Spam Je site wordt gebruikt om spam te versturen. Je weet wel: promo’s over gokken, Viagra, porno en meer zaken uit de krochten van het internet.

* Drive by downloads Via je site wordt malware of ‘ransomware’ geplaatst op de PC, laptop of telefoon van de bezoekers van je website.

* Redirection. De hacker stuurt al het verkeer dat op jouw website komt naar een van zijn eigen websites. Bijvooerbeeld in de hoop dat er iemand op een advertentie klikt waarmee de hacker een paar centen (letterlijk) verdiend.

* Via jouw site probeert de hacker toegang te krijgen tot je server. Daar zal het cybertuig proberen andere websites op dezelfde server te hacken.

Sites worden soms gehackt omdat een puber dacht dat het wel ‘dope’ zou zijn om eens te kijken of er digitaal wat te slopen valt. Click To Tweet

* Vandalisme. wordpress malware verveelde puberHet klinkt misschien te simpel voor woorden, maar sites worden soms ook gehackt omdat een puisterige puber op een zolderkamer zich verveelde en bedacht dat het wel ‘dope’ zou zijn om eens te kijken of er niet ergens digitaal wat te slopen valt. En toevallig kwam jouw website op zijn radar…

Waarschijnlijk begrijp je inmiddels beter waarom de omvang en de bekendheid van je website voor een hacker totaal onbelangrijk is. Je wordt gehackt omdat het kan. Omdat het niet ingewikkeld was. Doe er wat aan. Voorkom het als het even kan. Maar lig er niet wakker van omdat je denkt dat het een persooonlijke aanval is. Want dat is het niet.

Waarom lijkt WordPress voor hackers “Het snoepje van de week?”

WordPress is niet gevoeliger voor hacks dan welk ander softwareprogramma dan ook. Sterker nog, WordPress is bovengemiddeld dichtgetimmerd. Dus waarom zou je je tanden zetten in WordPress als er CMS-systemen zijn die makelijk te hacken zijn…?

Denk even als een hacker. Als je een programma nodig hebt waarmee je websites kunt controleren of ze hackbaar zijn? Schrijf (of koop) je dan een programma dat zijn werk doet op 1% van alle websites of een die op bijna 30% van alle websites werkt?

Dat dacht ik ook al…

De realiteit is dat een WordPress website met up-to-date software op een fatsoenlijke server bijna niet te hacken is. Het kan (want elk CMS is te hacken, WordPress dus ook) maar je moet van goede huize komen.

Als een WordPress website wordt gehackt, is dat niet omdat er een lek in WordPress zit. In 99,99% van alle gevallen gaat zo’n website tegen de vlakte omdat de webmaster nalatig, lui, slordig of dom is. Of niet beter weet.

Klinkt niet zo vriendelijk, maar het moest gezegd worden.

Hackers weten namelijk exact waar luie, slordige webmasters de mist in gaan en waar hun scripts dus een kans maken. Ze weten dat rond de 10% van alle webmasters zwakke ‘credentials’ gebruikt: gebruikersnaam ‘admin’ en wachtwoord ‘wachtwoord’ of 12345 of een soortgelijke, voor de hand liggende combinatie. Dat is die ‘sleutel onder de deurmat’ waar we steeds over hebben. Als een hacker zijn script loslaat op 1.000 WordPress websites, lopen er 100 direct, rechtstreeks gevaar om op deze kinderlijk simpele manier gehackt te worden.

Als het met die wachtwoorden wel snor zit, weet een hacker dat (schrik niet!) op 70% van alle WordPress websites verouderde, niet ge-update software draait.

Is dat een ‘big deal’? Nou en of. Dat is geen sleutel onder de deurmat meer, dat is een achterdeur die wagenwijd openstaat. Laat het me uitleggen.

Als software wordt ge-update, publiceert de ontwikkelaar wat er precies veranderde. Tot in detail. Een béétje programmeur kan daaruit snel en makkelijk afleiden welke beveiligingslekken er met die update zijn gedicht. En daarmee ligt open en bloot op straat welke lekken er zijn in de vorige versie(s) van de software.

Als een webmaster de software van zijn website niet update, heeft hij dus een website waarvan iedereen die daar wat aan heeft, weet waar de lekken zitten. En met ‘iedereen’ bedoelen we vooral hackers. In binnen- en buitenland, in alle krochten en de diepste kelders van het internet.

Voor een hacker is het vervolgens kinderspel een scriptje te schrijven dat WordPress websites zoekt met die verouderde software. De gevolgen mag je zelf invullen…

Nu je weet waarom je website wordt gehackt (omdat het kán) en dat je er waarschijnlijk nooit achter komt wie de achterdeur heeft ingetrapt, is het tijd om te kijken wat je daar aan kunt doen.

Om te beginnen: wees bereid op het ergste. Je site kan de afgelopen 10 jaar zonder problemen hebben gedraaid en de komende 10 seconden worden gehackt.

Gehackt worden is hartstikke vervelend. Maar het enige dat nog véél vervelender is, is gehackt worden zonder dat je een backup achter de hand hebt.

Gehackt worden is hartstikke vervelend. Maar het enige dat nog véél vervelender is, is gehackt worden zonder dat je een backup achter de hand hebt.

Ook al is dat het enige dat je doet: zorg voor een professioneel backup plan. Geloof me, er komt helaas een dag dat je me dankbaar bent voor dit advies. Dat kan een paar jaar duren maar het kan ook morgenochtend zijn.

Je kunt WordPress backups zelf regelen met een plugin. Daar zijn er nogal wat van. Maar handiger is het te laten doen door professionals. Dat kan zelfs gratis met het WordPress Backup Abonnement.

Een backup-plan is absoluut onmisbaar als je je website serieus neemt, maar het voorkomt niet dat je gehackt wordt. Als je daar wat aan wilt doen, moet je daar tijd en energie voor vrij gaan maken. Of geld. Je kunt het ook voor €10 per maand uitbesteden aan vaklui. Komen we straks op terug.

Trouwens, voor de duidelijkheid: wat je ook doet, je kunt je website niet voor 100% beschermen tegen hacks. We zeiden het al eerder: elk programma is te hacken. WordPress dus ook. Maar je kunt er wel voor zorgen dat er geen sleutel onder de deurmat ligt en dat alle achterdeuren stevig in het slot zitten. Dat gaat niet vanzelf. Het vraagt om discipline en een pro-actieve houding.

Dit is wat je minimaal moet regelen:
* Hou alle software ge-update.
* Controleer software minimaal twee keer per week op updates. Liefst dagelijks.
* Verander zwakke wachtwoorden in sterke wachtwoorden. Doe dat voor alle (!) gebruikers.
* Verwijder plugins en themes die niet actief zijn.
* Gebruik alleen plugins en themes die je kunt terugvinden op WordPress of websites die je vertrouwt, zoals CodeCanyon of WPMUdev. Bij twijfel niet oversteken. Google de plugin of het theme om een review te vinden.
* Wees kritisch op je hosting. Prijsvechters hebben niet de beste reputatie. Wantrouw elk hosting-aanbod onder de pakweg €60 per jaar.

Kun je meer doen? Absoluut. Je kunt bijvoorbeeld de inlogpagina van je website ‘verbergen’ zodat scripts die niet kunnen vinden. Je kunt 2-step verificatie toevoegen. Je kunt de ‘table-prefix’ van je database veranderen. Je kunt de versie van WordPress uit de broncode van je website verwijderen zodat de scripts van hackers je website je negeren.

En zo zijn er meer mogelijkheden. Maar met het rijtje 2 alinea’s terug, gecombineerd met ijzeren discipline (!), ben je al beter af dan de gemiddelde website. Zoveel beter zelfs, dat de meeste hack-scripts je website negeren of overslaan.

Het onderhouden van je WordPress websites kost tijd en discipline. Heb je dat?

Het onderhouden van je WordPress website vergelijken we nogal eens met een Goed Voornemen. De eerste week van januari gaat dat goed. De tweede week is al lastiger en tegen de tijd dat het februari is, is dat Goede Voornemen ver uit zicht.

Menselijk. Schaam je niet. Bovendien: als je onderneemt, is tijd altijd schaars. Als het goed is, heb je wel wat anders te doen dan wachtwoord-beheer het checken van software-updates. Overweeg dan het onderhoud van je WordPress website uit te besteden. Dat kan voor €10 per maand. Dan hoef je je daarna nooit meer af te vragen waarom je WordPress website werd gehackt en door wie. Dat risico is dan namelijk te verwaarlozen. En mocht het toch een keer misgaan, dan is je website weer snel online.

Voor het gratis WordPress Backup Abonnement, klik hier

Voor het WordPress Onderhoudscontract, klik hier

Geef een reactie

Top
Stel je voor: je website gaat
onderuit en je
hebt géén backup...
Shit happens. Daarom is er het GRATIS WordPress Backup Abonnement. Professionele backups waarmee je beschermd bent tegen cybertuig, rammelende servers, domme pech en zelfs tegen klungelige webmasters.

Regel het vóórdat de bliksem inslaat. Vandaag dus.
Stel je voor: je website gaat
onderuit en je
hebt géén backup...
Shit happens. Daarom is er het GRATIS WordPress Backup Abonnement. Professionele backups waarmee je beschermd bent tegen cybertuig, rammelende servers, domme pech en zelfs tegen klungelige webmasters.

Regel het vóórdat de bliksem inslaat. Vandaag dus.
Stel je voor: je website gaat
onderuit en je
hebt géén backup...
Shit happens. Daarom is er het GRATIS WordPress Backup Abonnement. Professionele backups waarmee je beschermd bent tegen cybertuig, rammelende servers, domme pech en zelfs tegen klungelige webmasters.

Regel het vóórdat de bliksem inslaat. Vandaag dus.