Tag archieven: wordpress

^{Is WordPress al je tijd en moeite wel waard?}

Een kijkje naar alternatieven en WordPress-plugins om sites te beschermen.

Je kunt je WordPress-site natuurlijk goed beveiligen, maar dan moet je er wel bovenop zitten. Misschien is dat de tijd en moeite niet waard en ben je beter af met een systeem dat dit voor je doet.

Is WordPress al je tijd en moeite wel waard?

WordPress-sites liggen weer eens onder vuur door aanvallers die ervoor zorgen dat sites redirecten naar een exploitpagina in plaats van een domein dat advertenties host. De gebruikte exploitkit is Nuclear, die onder meer wordt gebruikt om ransomware Cryptowall te verspreiden. Als sitebeheerder of gebruiker heb je natuurlijk liever niet dat je hiermee in aanraking komt.

Voor de vorm zal ik hier nog even de zes richtlijnen voor het omgaan met ransomware opsommen:

1. Zorg voor back-ups.
2. Test de back-ups of deze kan herstellen.
3. Ga niet in op losgeldeisen.
4. Doe aangifte van de softwaregijzeling.
5. Onderzoek hoe de malware is binnengekomen en dicht het gat.
6. Werk je netwerkbeveiligingsplan bij.

WordPres is kwetsbaar omdat het een populair CMS is met een marktaandeel zo’n dertig procent van alle websites, er veel plugins van derden zijn met elk hun eigen beveiligingsissues en omdat de broncode van binnen en van buiten bekend is bij aanvallers. Nou hoor ik je denken: “Ik kan de boel beveiligen door alle plugins bijgewerkt te houden.” Dat is vaak zo, maar de recente aanvallen maken waarschijnlijk gebruik van een WordPress-zeroday.

Sniffers opgemerkt

Het aanvalsoppervlak van WordPress is door zijn complexe ecosysteem enorm groot. Zelf gebruik ik bijvoorbeeld de plugin 404 to 301 voor een aantal sites die ik beheer. Die zorgt ervoor dat 404-fouten die je krijgt als pagina’s niet bestaan worden omgezet naar redirects als 301, 302, 307. Ik had de e-mailmeldingen niet aangezet omdat ik na een maand testen enkele jaren geleden geen enkele melding had gekregen.

Maar toen ik de meldingen recentelijk inschakelde, zag ik een hoop requests van pagina’s waar een aanvaller naar zoekt, zoals

/404.php

/wp-content/themes/fonts/fontawesome-webfont.svg?v=4.1.0

/wp-includes/SimplePie/Net/IPv7.php

Die requests kwamen vooral uit Duitsland, Nederland en Rusland. De sites werden beschermd door WordFence en die had goed nieuws: de aanvallers zijn niet binnengekomen.

WordPress-back-up

Kijk trouwens eens naar de plugin Updraft als je back-up-oplossing voor je WordPress-site zoekt. Deze brengt back-ups automatisch (of handmatig, zo je wilt) naar allerhande opslagbronnen als Dropbox, Google Drive, S3, Rackspace, FTP, SFTP of WebDav. Het kan ook sites dupliceren en migreren en de plugin heeft mij al twee keer uit de problemen gered. Voor extra beveiliging kun je terecht bij Plugin Vulnerabilities die je geïnstalleerde plugins controleert op bekende beveiligingsfouten en waarschuwt als er nieuwe worden geconstateerd.

Maar met de risico’s die je loopt door dat grote aanvalsoppervlak, kun je je afvragen of het de tijd en moeite wel waard is om WordPress te beveiligen voor jouw organisatie of dat je beter kunt uitwijken naar een alternatief. Wat voor (wettelijke) risico’s loop je eigenlijk als jouw site wordt gehackt en wat zijn de standaardeisen van bijvoorbeeld een verzekeraar die wil dat je je data beveiligt?

Back-end uitbesteden

Er zijn alternatieven, zoals een ‘platte site’ – een statische pagina zonder gekoppelde databases die eenvoudiger kan worden beveiligd. Je zult nog steeds server-side diensten nodig hebben om bijvoorbeeld formulieren te verwerken. Met diensten als JotForm of FormStack heb je minder last van mogelijke kwetsbaarheden in je eigen back-end.

Wat WordPress betreft kun je een lokale of anderszins beveiligde versie van je site maken (die m.a.w. niet publiekelijk toegankelijk is) en deze als statische HTML te uploaden naar de publieke site. Of dat werkt is afhankelijk van allerlei factoren, maar het is de moeite van het kijken naar de mogelijkheden waard als je geen dynamische content die afhankelijk is van back-end diensten gebruikt. Lees dit artikel voor de haken en ogen van dit concept.

Met templates werken

Er zijn uiteraard ook plugins die nuttig kunnen zijn om statische content te maken van WordPress-installaties, zoals Really Static en Simply Static. Ik heb ze zelf nog niet geprobeerd, dus laat het graag weten als je ervaring hebt met een van deze.

Verder heb ik gekeken naar enkele aternatieven die WordPress laten voor wat het is en content aanmaken vanaf templates. Mocht je nog een nieuw webproject beginnen, is het wellicht de moeite waard om even te kijken naar Jekyll of Cactus (laatstgenoemde is alleen geschikt voor OS X). Voor meer opties kun je een kijkje nemen bij StaticGen, die een lijst bijhoudt van open source generatoren voor statische sites.

Bron: computerworld.nl