Twentse WordPress sites slecht beveiligd

wordpress site beveiligen

In de afgelopen tijd heb ik meer dan 150 WordPress websites gecontroleerd van bedrijven, verenigingen en instellingen in de buurt van Enschede, Hengelo en Almelo. Wat blijkt? Meer dan 60% van de WordPress sites kunnen een makkelijke prooi zijn voor hackers. Zo’n 15% van de sites zijn zo slecht beschermd dat het een kwestie van tijd is voordat ze gehackt worden.

Wat is WordPress?

WordPress is een open source Content Management Systeem (CMS) waarmee je heel gemakkelijk een website kunt maken én onderhouden. WordPress begon ooit als simpele CMS (Content Management System) om een weblog mee te maken en is inmiddels veel meer dan alleen een blogplatform. WordPress is met grote voorsprong het meest gebruikte platform wat als basis gebruikt voor de site van bedrijven, verenigingen en zelfs overheidsorganisaties.

Wat kan er mis gaan met een WordPress site?

Doordat WordPress zo populair is, is het voor kwaadwillenden efficiënt om een lek of methode te vinden om zo toegang te krijgen tot de site. Zodra een hacker toegang heeft gekregen wordt er in de meeste gevallen malware geplaatst om de pc’s van bezoekers die op de site komen te infecteren. Het is dus belangrijk om een WordPress site goed te beveiligen zodat hackers geen kans krijgen.

Het voordeel van WordPress is de community die er achter zit; een lek in de code is snel ontdekt en er is een heel scala aan plugins beschikbaar voor uiteenlopende toepassingen. Plugins kunnen echter ook weer lek zijn waardoor er regelmatig updates beschikbaar zijn met niet alleen nieuwe functies maar vaak ook met een oplossing tegen beveiligingslekken. Een goede beveiliging is dus niet voldoende; je site up-to-date houden is ook belangrijk.

Database met kwetsbaarheden in WordPress

Het is goed om te weten dat er een database beschikbaar is waarin alle kwetsbaarheden die gemeld zijn binnen WordPress en WordPress plugins. Dit is belangrijk voor ontwikkelaars, maar kan natuurlijk net zo goed misbruikt worden door kwaadwillenden.

Automatische updates

Sinds versie 3.7 heeft WordPress de mogelijkheid ingebouwd om je site automatisch te laten updaten. Wanneer er een kwetsbaarheid ontdekt wordt, kan WordPress dit direct dichten met een spoedupdate. In de maand dat ik dit onderzoek doe heeft WordPress alle sites met versienummer 4.7.2 voorzien van een update naar versie 4.7.3 en kortgeleden alweer naar 4.7.4 omdat er een aantal zeer grote kwetsbaarheden waren ontdekt. Sites die al heel lang hun website niet hebben geüpdate zijn dus erg kwetsbaar omdat ze ook de automatische updates van WordPress missen.

Het onderzoek

Met behulp van Google heb ik meer dan 150 websites gevonden in de omgeving van Almelo, Hengelo of Enschede. Per site heb ik via HackerTarget een sitescan gedaan en de volgende punten gecontroleerd:

  1. De WordPress versie van de site
  2. Of alle plugins up-to-date zijn
  3. Of er een gebruiker met gebruikersnaam “Admin” bestaat
  4. Het wel of niet hebben van een SSL certificaat

Wat kan iemand met deze data?

Door een site te scannen kun je achterhalen welke mogelijkheden een site heeft om het te kunnen hacken. Een beetje programmeur kan met behulp van Youtube, deze informatie en de diverse databases met kwetsbaarheden redelijk eenvoudig bedenken hoe hij je site gaat hacken.

“Admin” als gebruiker

Wanneer “Admin” gebruiker niet bestaat is in de meeste gevallen wel de gebruikersnaam te achterhalen. Dit wordt al moeilijker bij sites waar een beveiligingsplugin is geïnstalleerd.

Wanneer de gebruikersnaam bekend is, is het mogelijk om middels een script het wachtwoord te achterhalen. Een goed, lang wachtwoord maakt het weer moeilijk. Als je dit combineert met 2-stapsverificatie dan wordt het wel heel erg lastig voor hackers. Het jaarlijkse lijstje van meest gebruikte wachtwoorden laat echter nog steeds zien dat mensen niet van moeilijke wachtwoorden houden.

Resultaten

Goed, wat heb ik uit mijn onderzoek gehaald?

Aantal%
Sites waarbij WordPress niet up-to-date is8557%
Sites waarbij plugins niet up-to-date zijn*9362%
Sites die geen SSL geïnstalleerd hebben12684%
Sites met “Admin” als gebruikersnaam4329%
Sites die op alles slecht scoren2315%

*Het is een momentopname; sommige sites hebben het goed voor elkaar maar hun plugins niet up-to-date omdat misschien enkele dagen geleden een nieuwe update beschikbaar is gekomen.

Wat is mij opgevallen?

Er zitten heel wat extremen tussen; sites die echt heel goed beveiligd lijken te zijn, maar ook behoorlijk wat websites die heel slecht scoren. Wat mij opviel is dat enkele marketingbedrijven die websites bouwen voor klanten, hun eigen website niet goed voor elkaar hebben. Daarnaast zijn er advocatenkantoren, notarissen, maar ook zorginstellingen die gebruik maken van een WordPress website, maar geen SSL toepassen. Ik weet uit ervaring dat bij het invullen van een contactformulier er zo nu en dan wel meer dan alleen een naam en e-mailadres verstuurd wordt naar bijvoorbeeld een advocaat of psycholoog.

Wat doen bedrijven met deze informatie?

Een deel van de bedrijven heb ik inmiddels op de hoogte gebracht van mijn bevindingen over hun website. Een maand later lijkt slechts 1 website iets gedaan te hebben aan de beveiliging; alle andere websites zijn nog steeds niet goed genoeg beveiligd. Bedrijven komen doorgaans pas in actie zodra de website ook daadwerkelijk gehackt is. Hebben we niet een spreekwoord over het dempen van een put zodra het kalf verdronken is?

Het is heel wat goedkoper om de site bij te houden i.p.v. achteraf de gehackte site weer op orde te krijgen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *