Vele websites zijn gebouwd in WordPress, maar worden niet altijd correct onderhouden en gebruiken vaak verouderde versies waardoor er in je site lekken ontstaan, die je gelukkig ook zelf kunt opsporen. Kwetsbare plug-ins en thema’s worden misbruikt door aanvallers, hackers. We laten zien hoe je met behulp van een Ruby-tool de website kan beveiligen.
WordPress is populair en kwetsbaar
Het contentmanagementsysteem WordPress is zeer populair – ook bij aanvallers. Door gebrek aan aandacht en kennis van het onderhoud wordt het vaak gebruikt met verouderde – en kwetsbare – versies of met kwetsbare plug-ins en thema’s.
Configuratiefouten werken een overname door derden in de hand. Het opsporen van dergelijke mazen is nu kinderspel – bijvoorbeeld met de WordPress Security Scanner WPScan. Dat kan een grote hulp zijn bij het beveiligen van je website.
Als je de volgende stappen te angstaanjagend vind kun je natuurlijk ook het beheer over de website aan een externe partij overdragen. Je kunt dan wel een eigen website ontwerp maken, maar de beveiliging en update aan de beheerder overlaten.
Blijf op de hoogte van tips voor beveiliging van netwerk en website!
Schrijf je in voor de nieuwsbrief:
WPScan voor opsporen lekken in WordPress
Op de GitHub-pagina van deze Ruby-tool staat hoe je die onder Linux, macOS en als Docker-container kunt downloaden en aan de gang kunt krijgen. Kali-gebruikers kunnen zich de moeite besparen, het programma is daar al geïnstalleerd.
De instructie voor WPScan staan in de handleiding
Om je WordPress-installatie te scannen, geef je WPScan gewoon de url mee:
wpscan –url https://jouw-website.nl/wordpress
Voordat de analyse begint, haalt de veiligheidsscanner een database met actuele informatie van internet. Dat wordt normaal gesproken automatisch gedaan, maar als je die wilt gebruiken op de onveilige WordPress-installaties van RasPwn (zie hieronder het kopje ‘Geschikt aanvalsdoel: RasPwn’), zul je geen internetverbinding hebben zolang je verbonden bent met het Raspberry Pi-testnetwerk.
In dat geval moet je eerst verbinding maken met je normale netwerk en de update handmatig starten met
wpscan –update
Verbreek daarna de verbinding voordat je de scan van het RasPwn-netwerk start.
Geeft informatie over WordPress
WPScan geeft gaandeweg interessante informatie over de WordPress-installatie, waaronder de WordPress-versie inclusief de releasedatum en een beoordeling of die editie veilig is volgens de huidige stand van zaken.
Lekken opsporen
Bovendien identificeert de tool de versies van de webserver en PHP, alsmede thema’s, plug-ins en diverse configuratiefouten. In principe kun je zelf op onderzoek uitgaan op internet om na te gaan welke veiligheidsproblemen er in de geïdentificeerde versies bestaan, maar WPScan kan dat ook voor je doen.
De tool vraagt die informatie op bij de server van de ontwikkelaars via een Web-API (voor vulnerability-informatie) – waarvoor eerst gratis registratie vereist is .