Het Nationaal Cyber Security Centrum (NCSC) heeft vandaag onder de titel Help! Mijn website is beklad een factsheet uitgebracht.

Dit factsheet is in feite niets anders dan een opsomming van een aantal maatregelen die je kan nemen om de kans te verkleinen dat je website gehackt wordt.

Is het nuttig? Eigenlijk zijn het allemaal open deuren, maar het is altijd nuttig om die zo af en toe eens op je eigen site te projecteren. Dit geldt voor een simpele hobby-site, maar ook voor een uitgebreide bedrijfswebsite, al dan niet voorzien van een webshop.

Content Management System

Help! Mijn website is beklad is dus bedoeld voor alle websites ongeacht waarmee die gemaakt zijn, maar het factsheet spreekt in vrijwel alle gevallen over een CMS. Een Content Management System (CMS) is de beheerinterface met je database bijv. van je Joomla!,  Drupal of WordPress site.

In dit artikel wil het factsheet in het kort tegen een WordPress site houden.

Voorkom een defacement van WordPress

Je kan nooit helemaal voorkomen dat je site gehackt wordt, je kan de kans wel enorm verkleinen door een aantal eenvoudige acties uit te voeren.

Het factsheet Help! Mijn website is beklad geeft je in het kort de volgende tips:

Voorkomen

Zorg dat uw webserver en CMS op een veilige manier zijn ingericht en installeer altijd de laatste beveiligingsupdates.

Die veilige inrichting is lastig te achterhalen als je WordPress site bij een provider draait. Je mag aannemen dat een duurdere professionele provider beter en dus veiliger is dan een budget provider. Maar informatie hierover zullen ze niet snel verstrekken.

Updates installeren spreekt voor zich. WordPress kan zelf kleine updates uitvoeren. Grotere updates moet je zelf doen. Plug-ins en je thema moet je ook zelf updaten. Security plug-ins zoals Wordfence scannen je site en sturen je een e-mail als er voor een plug-in een update is. Als je het aandurft om je plug-ins ook automatisch laten updaten kijk dan eens naar Automatic Plugin Updates of Advanced Automatic Updates.

Maak waar mogelijk gebruik van 2-factor authenticatie voor toegang tot uw webserver en CMS.

In de betaalde versie van Wordfence kan je 2-factor authenticatie aanzetten m.b.v. een SMS-code. Wil je liever een gratis oplossing, gebruik dan de Google Authenticator app met de WordPress plug-in. De installatie is uiterst eenvoudig.

Voorbereiden

Maak regelmatig een back-up van uw site.

WordPress backuplossingen zijn er in vele soorten en maten. Een betrouwbare oplossing biedt WordPress to Dropbox i.c.m. met een tweetal zeer betaalbare premium add-ons.  Wil je het nog eenvoudiger maken, kijk dan eens naar BackupBuddy.

Stel een responsplan op, waarin u vastlegt wat te doen in geval van een defacement.

Klinkt als een heel dik rapport, maar nu vast nadenken en een paar regels op een A4-tje kan geen kwaad.

Herstellen

Plaats een vervangende webpagina.

Een “onderhouds” pagina kan je waarschijnlijk eenvoudig binnen je eigen thema maken door een blanco-pagina te maken en deze te voorzien van een korte boodschap. WP Maintenance Mode was een mooie plug-in, maar lees eerst even de reacties, want er lijken nog al wat problemen met de recente versies te zijn.

Communiceer intern en extern tijdig over het incident en de mogelijke gevolgen.

Laat bijv. via social media weten dat je site “even” uit de lucht is. Of je de reden wilt laten weten is aan jou.

Stel de gecompromitteerde content veilig in verband met een strafrechtelijk onderzoek en doe aangifte bij de politie.

Maak een extra backup maar overschrijf je oude backup(s) niet!

Richt uw website opnieuw in en controleer voorafgaand aan publicatie zorgvuldig de beveiligingsinstellingen.

Draai na de inrichting bijv. iThemes Security om stap voor stap je site door te lichten en te verbeteren.

Onderzoek waar u verbeteringen kunt aanbrengen in de inrichting of het beheer van de site of de incident respons en voer de onderkende verbeteringen door.

Ben je gehackt omdat je updates niet geïnstalleerd waren dan is het simpel. Anders moet je wellicht op WordPress– en Security forums en sites gaan kijken wat er momenteel speelt.

Han Balk | Fotografie | Windows | Blog | Security | old skool Bragg-watcher | Webdesign | Canon | Getrouwd | WordPress | Lightroom | Fuji | Vader van Iris | Social media | Internet en Meer...