WordPress beveiligen met de OWASP standaard

Het beveiligen van WordPress kan vrij overweldigend zijn als je hier nog niet mee bekend bent. Standaarden zoals de OWASP Top 10 kunnen je hier een handje bij helpen.

Wat is de OWASP Top 10?

De OWASP Top 10 is een overzicht van de 10 veiligheidsrisico’s die het meest voorkomen bij web applicaties. Het is geen officiële lijst, maar wordt door veel bedrijven gebruikt als richtlijn bij het beveiligen van hun applicaties.

Het overzicht van de Open Web Application Security Project werd voor het eerst in 2003 gepubliceerd en wordt iedere drie jaar bijgewerkt op OWASP.org.

De 10 meest voorkomende veiligheidsrisico’s

 

1: Broken Access Control

Ontwikkelaars dienen hun applicaties zo te ontwikkelen dat niet alle data in één keer te benaderen is. Weet een kwaadwillende dan toch een kwetsbaarheid in de code te exploiteren dan kan die persoon niet direct bij alle data.

Wil je het risico dat dit voorkomt op jouw WordPress website minimaliseren? Zorg dan dat de plugins, thema’s en WordPress installatie altijd up-to-date zijn zodat eventuele lekken snel gedicht kunnen worden.

2: Gebrek aan versleuteling

Het lekken van gevoelige data is een onderwerp dat de afgelopen jaren vaak in het nieuws is gekomen en ook extra onder de aandacht is gebracht met de komst van de AVG.

Om te voorkomen dat privacygevoelige data gelekt kan worden, dien je gebruikers niet meer toegang tot data te geven dan nodig is en de data zoveel mogelijk te versleutelen. Verder is het belangrijk dat je een SSL-certificaat hebt.

Je kunt ook overwegen om het beheer van gevoelige data uit handen te geven aan partijen die daarin gespecialiseerd zijn. Denk hierbij aan Mollie Payments voor het beheer van betalingen en MailChimp voor het verzamelen en beheren van e-mailadressen.

3: Injectie

Injectie is een kwetsbaarheid dat vooral voorkomt bij slecht onderhouden WordPress websites die niet up-to-date zijn. Hackers exploiteren de veiligheidslekken in verouderde code om toegang te krijgen tot de informatie in de database.

WordPress staat erom bekend dat ze zulke lekken binnen enkele dagen oplossen. Dit geldt over het algemeen ook voor ontwikkelaars van plugins en thema’s. Het is dus ook hier van groot belang dat je de plugins, thema en WordPress installatie van jouw WordPress website up-to-date houdt.

4: Onveilig ontwerp

Ontwikkelaars dienen bij het ontwikkelen van applicaties al rekening te houden met eventuele veiligheidsrisico’s die kunnen ontstaan bij het gebruik van hun applicatie. Dit blijkt in de praktijk nog best lastig omdat veel kwetsbaarheden pas achteraf worden ontdekt en vervolgens worden opgelost door het uitbrengen van updates.

Zijn er na het uitbrengen van een applicatie nog veiligheidsrisico’s dan spreken we van een insecure design ofwel een onveilig ontwerp.

Bij WordPress maak je in de meeste gevallen gebruik van kant-en-klare applicaties. Denk hierbij aan plugins, thema’s en de WordPress installatie zelf. Minimaliseer het risico op insecure design en zorg dat deze altijd up-to-date zijn.

5: Misconfiguratie beveiliging

Vele applicaties waaronder ook plugins, thema’s en WordPress maken in veel gevallen gebruik van standaard instellingen. Dit lijkt handig en gebruiksvriendelijk, maar maakt het ook makkelijk voor kwaadwillenden om dit te exploiteren.

WordPress is zich hier ook bewust van en doet er dan ook alles aan om instellingen steeds minder standaard te maken. Zo zijn ze bijvoorbeeld al even gestopt met het gebruik van de standaard gebruikersnaam “admin”.

Maak je gebruik van plugins dan kan het raadzaam zijn om niet de standaard instellingen te gebruiken. Verdiep je in de opties en pas de standaard instellingen waar mogelijk aan. Wordt er gevoelige data bewaard op je website probeer dat de standaard paden te wijzigen en dit eventueel extra te beveiligen met een sterke authenticatie.

6: Kwetsbare en verouderde componenten

Het lijkt vrij logisch om geen gebruik te maken van plugins of thema’s die verouderd zijn of bekende kwetsbaarheden bevatten, maar het gebeurt toch meer dan je denkt.

WordPress probeert dit tegen te gaan door veiligheidsupdates voor WordPress automatisch door te voeren. Daarnaast worden plugins die al een tijd niet zijn geüpdatet gemarkeerd of zelfs helemaal verwijderd.

Zorg dus dat alles up-to-date is en verwijder plugins en thema’s die je niet gebruikt. Controleer ook of ze regelmatig worden geupdate en wat hun beoordeling is op de website van WordPress en op Google. Een check op Google kan voorkomen dat je gebruik maakt van plugins of thema’s die bekende problemen bevatten.

7: Identificatie en authenticatie mislukkingen

De verantwoordelijkheid om niet geautoriseerde gebruikers buiten te houden ligt voor een groot deel bij de ontwikkelaars van een applicatie. Denk hierbij aan de ontwikkelaars van WordPress of een plugin.

Toch kun je als beheerder van een WordPress website ook extra maatregelen nemen om te zorgen dat anderen niet ongeautoriseerd toegang kunnen krijgen. Denk hierbij aan het instellen van tweestapsverificatie, brute-force bescherming, het aanpassen van de standaard login URL of IP whitelisting.

Bij xel maken we standaard gebruik van brute-force bescherming en IP whitelisting. Voor de overige kun je plugins gebruiken.

8: Software and data integriteit ongelukken

Heb je een plugin of thema gevonden op een onbekende website? Controleer dan eerst of deze betrouwbaar is. Niet-geverifieerde applicaties kunnen namelijk onbetrouwbaar zijn en misbruikt worden om malafide code op jouw WordPress website te plaatsen.

9: Het niet monitoren van beveiligingslogs

Het bijhouden van logs op jouw WordPress website geeft je als beheerder de mogelijkheid om verdachte activiteiten tijdig te signaleren en actie te ondernemen. Uit onderzoek is gebleken dat een groot deel van de onveilige situaties hiermee voorkomen kan worden.

Om logs effectief in te zetten is het belang dat ze regelmatig worden gecontroleerd. Als jij je hierin gaat verdiepen dan zul je merken dat er verschillende log plugins beschikbaar zijn voor WordPress.

10: Server-Side Request Forgery (SSRF)

Server-side Request Forgery is als nieuwkomer op de lijst gezet omdat er in 2021 veel misbruik van is gemaakt. Als de applicaties deze kwetsbaarheid bevatten dan kan deze techniek worden misbruikt om verzoeken te versturen en zo gevoelige informatie te achterhalen.

Om dit te voorkomen op jouw WordPress website is het van belang dat je enkel betrouwbare plugins en thema’s gebruikt en alle updates goed bijhoudt.

Zoals je merkt, kun je bij WordPress een flink deel van de OWASP Top 10 afvangen door de updates op je WordPress website regelmatig bij te houden. Neem je een WordPress Compleet, Groei of veilig pakket af dan kun dit automatisch laten uitvoeren.