Vorige week donderdag ontstond er wat ophef over een artikel in Trouw met als titel: “Overheden negeren basale beveiligingsregels: tientallen websites gevoelig voor hacks.“
Maar is dat wel zo?
Websites zijn niet eenvoudig te hacken als ze een inlogpagina tonen, zoals techjournalist Daniel Verlaan al twitterde. Het artikel van Trouw lijkt te suggereren dat als je weet waar iemands voordeur is, het een kleine moeite is om binnen te komen. Dat is natuurlijk niet zo. Om bij een deurmetafoor te blijven: als je een goed slot op de deur hebt waarvoor weinig mensen de sleutel hebben, kom je toch niet binnen. Louter ‘Security through obscurity’ is geen echte veiligheid.
De belangrijkste factoren voor beveiliging van WordPress-sites zijn:
- een goede hoster die brute force attacks monitort en voorziet in een goede firewall
- developers die kritisch kijken naar hun eigen werk en de plugins van anderen
- regelmatig updates installeren
- gebruikers die zorgvuldig omgaan met hun inloggegevens
- management dat zich bewust is van beveiligingsrisico’s
Dat een pagina op een bekende plek staat is voor 1 soort aanval nuttig: een brute-force attack. Hierin proberen indringers via vele pogingen om in te loggen. Dit is goed af te vangen door bijvoorbeeld een maximum aantal inlogpgingen per account per uur in te stellen.
WordPress is geen obscuur systeem vol gaten. Sterker nog: geschat wordt dat ruim 40% van alle websites op het web gebruik maken van WordPress. De economische waarde van activiteiten rondom WordPress bedraagt naar schatting 523 miljard Euro. Dit om aan te geven dat WordPress een serieus te nemen systeem is.
Developers, developers, developers
Er zijn heel veel uitbreidingen van de functionaliteit beschikbaar via plugins. Developers kunnen het zichzelf makkelijk maken door deze plugins te gebruiken. Maar er zijn goedgebouwde plugins die voldoen aan alle standaarden voor beveiliging en er zijn slechte plugins met slechte code en beladen met veiligheidsrisico’s.
Het is de verantwoordelijkheid van een ontwikkelaar om alleen plugins te gebruiken die een zo laag mogelijk beveiligingsrisico vormen. Hier toont zich de kracht van open source. Door het grootschalige gebruik van open source software is de kans dat gaten ontdekt en verholpen worden veel groter dan die van closed source software.
Standaarden
Een factor is ook of je webserver en mail voldoen aan moderne internetstandaarden. Gaat het inloggen via een versleutelde verbinding met de server? Is het mogelijk om inlogpogingen om te leiden via een omweg. Schaamteloze plug: hoe scoort je website op de internet.nl test?
Gebruikers
Gebruikers zijn meestal de zwaktste schakel in de keten voor beveiliging. Ze kiezen uit gemak een wachtwoord dat ze al eerder gebruikt hebben. Of ze loggen in op het account van iemand anders. Management moet maatregelen nemen om te voorkomen dat gebruikers makkelijk te raden wachtwoorden gebruiken en inloggegevens met anderen delen.
Voor veiliger inloggen kan een beheerder ook het gebruik van 2FA vereisen. Dit staat voor Two Factor Authentication. Je logt in met iets wat je weet (factor 1: je inlognaam + wachtwoord) plus iets wat je hebt (factor 2: een inlogcode via een app op je telefoon o.i.d.)
Kortom: dat je weet waar mijn voordeur staat, betekent niet dat je zonder moeite in mijn slaapkamer kunt komen.