Vrijwel elke website kan het doelwit zijn voor hackers. Van weinig bekende blogs tot grote webshops, cybervandalen zijn altijd op zoek naar een gemakkelijke prooi.
Waarom wordt een website gehackt?
Vaak worden websites gehackt om daarna gemakkelijk spam te kunnen versturen. Meestal is de hacker dan ook helemaal niet geinteresseerd in jouw website. En de hacker heeft ook niet iets tegen jou. Hij of zij kent jou waarschijnlijk niet eens.
Een website staat op een server en de hacker wil via jouw site toegang krijgen tot de webserver om zo honderdduizenden spammails te kunnen verzenden.
Een andere keer gaat het om het plaatsen van (terroristische) propaganda op je domeinnaam of wordt een nauwkeurig nagebouwde website van een bank op jouw hosting geplaatst. Natuurlijk met als doel om mensen geld afhandig te maken.
Grote websites worden vaak gehackt om persoonlijke informatie te bemachtigen zoals creditcardgegevens of adressen van mensen.
En soms is hacken gewoon voor de fun, dus zonder reden. Meestal zijn het dan kinderen of jongeren die er lol in hebben om een website te hacken.
Oorzaken van een gehackte website
Hieronder lees je enkele van de meest voorkomende oorzaken van een gehackte website. Natuurlijk geef ik ook aan hoe je je website kunt beschermen tegen de aanvallen van hackers.
1. Het CMS is niet up-to-date
De meest voorkomende oorzaak van een gehackte website is een CMS dat niet up-to-date is. Wist je dat van alle gehackte WordPress websites 61% niet up-to-date is? Voor Joomla is dat zelfs 88%.
Net als voor het besturingssysteem van je computer, bijvoorbeeld Windows, komen voor WordPress en Joomla updates uit. Die updates dichten gevonden veiligheidslekken en voegen soms ook nieuwe functies toe. Het is belangrijk om zo’n update zo snel mogelijk te installeren, want zodra bekend is dat er een lek is gevonden, gaan hackers via software op internet scannen naar websites die de update nog niet hebben geïnstalleerd.
Een populair CMS zoals WordPress is extra interessant voor hackers omdat er zoveel websites van zijn. Als daar een lek in is gevonden, kan de hacker te kust en te keur gaan en duizenden websites hacken.
CMS up-to-date houden
Het is dus super belangrijk om het CMS van je website, zoals WordPress of Joomla, up-to-date te houden. Komt er een update uit voor jouw CMS, installeer deze dan binnen een paar dagen. Zo blijft het risico om gehackt te worden zo klein mogelijk.
Host je je website bij Stip Hosting, dan hoef je je geen zorgen te maken over het updaten van je CMS. Updates worden binnen enkele dagen nadat deze uitkomen automatisch geïnstalleerd door Installatron. Installatron is een handige tool waarmee je een CMS kunt installeren en updaten. Ook kun je gemakkelijk terug te zetten back-ups van je website maken. Installatron is bij Stip Hosting meegeleverd in je hostingpakket.
Als er een update uitkomt voor bijvoorbeeld WordPress of Joomla, installeert Installatron de update automatisch. Voordat de update wordt geïnstalleerd maakt Installatron eerst een back-up van je website. Je hebt er dus geen omkijken naar!
2. Plugins of extensies zijn niet up-to-date
Stel dat Worpress of Joomla wel up-to-date is, maar de plugins of thema’s niet, dan betekent dit helaas nog steeds betekenen dat je website kwetsbaar is en het risico loopt om gehackt te worden. Vooral extensies en plugins die populair zijn onder gebruikers, zijn dat ook voor hackers. Ze zijn op veel websites geïnstalleerd en daarom interessant voor hackers. Het vergroot het aantal doelwitten.
Plugins of extensies up-to-date houden
Het is dus belangrijk om ook plugins en extensies altijd up-to-date te houden.
Heb je je WordPress website bij Stip Hosting ondergebracht, dan worden de thema’s en plugins van je website automatisch up-to-date gehouden. Voor betaalde thema’s en plugins, dien je een geldige licentie te hebben, omdat we anders het thema of de plugin niet kunnen updaten.
Joomla templates en extensies dien je zelf up-to-date te houden.
3. Plugins of extensies worden niet meer onderhouden
Sommige extensies of plugins worden niet meer onderhouden door de ontwikkelaars. Deze extensies en plugins zijn vaak extra gevaarlijk. Doordat ze een jaar of langer niet zijn onderhouden, bevatten ze vaak meerdere veiligheidslekken.
Checken of extensies of plugins worden onderhouden
Je moet erop letten of een extensie of plugin nog wel wordt onderhouden door de ontwikkelaar. Als het je opvalt dat je al een tijdje geen updates meer hebt gezien voor een bepaalde plugin of extensie, zoek dan uit wanneer de laatste update is geweest.
Bij Joomla kun je dat zien in de Extensions Directory. Bij de extensie staat onder andere de datum van de laatste update. Als een extensie niet meer onderhouden wordt, dan wordt deze verwijderd en als de verwijdering nog niet heel lang geleden is, wordt dit gemeld als je zoekt naar de extensie.
Bij WordPress kun je het zien in het plugin overzicht van je website. Als je bij de plugin op Details klikt, dan krijg je een pop-up met informatie over de plugin. Bij betaalde plugins is er soms geen mogelijkheid om meer details te zien. Je moet dan naar de website van de ontwikkelaar of de plek waar je de plugin hebt aangeschaft om te achterhalen wanneer de laatste update is geweest.
Omdat extensies en plugins die niet meer onderhouden worden een risico zijn voor je website, raden we aan om te zoeken naar een vervangende extensie of plugin en die te gebruiken. Vergeet niet de verouderde extensie of plugin te verwijderen van je website. Alleen deactiveren is niet voldoende, omdat de bestanden dan nog aanwezig zijn.
4. Extensies, plugins, templates of thema’s van warez sites gebruiken
Je weet misschien dat je elk premium WordPress-thema of betaalde plugin gemakkelijk kunt vinden en downloaden op een torrent- of warez-site. Datzelfde geldt voor premium Joomla templates en betaalde extensies. Daardoor kan je website overgenomen worden, spam worden verstuurd, etc. Je hoeft dat niet eens direct te merken. Soms houden de hackers zich bewust een tijd stil. Na een tijdje ben je er niet meer alert op en slaan hackers toe.
Gebruik niets van warez sites op jouw hosting
Het gebruik van software van een warez site is zeer gevaarlijk. De kosten van het herstel van je website zijn hoger dan de aanschaf van de software via de ontwikkelaar of een legaal kanaal.
Bij Stip Hosting scannen we regelmatig de bestanden op de servers op malware en virussen. Blijkt een website besmet, dan zetten we deze offline en achter een wachtwoord tot het probleem is opgelost door de eigenaar. Met het uit de lucht halen van een besmette website beschermen we de andere gebruikers op de hostingserver en ook de server zelf.
5. Een zwak wachtwoord
Met een wachtwoord bescherm je de toegang tot het beheer van je website. Elke hacker weet dat er nog steeds veel mensen zijn die onveilige wachtwoorden gebruiken, zoals 123456, wachtw00rd, p@ssword, etc. Zodra een kwaadwillende toegang heeft tot je website, kan deze malware installeren, spam versturen, etc.
Bescherm de toegang tot je website met een veilig wachtwoord
Hoe veilig is jouw wachtwoord? Zorg altijd voor een veilig wachtwoord dat je niet voor andere doeleinden gebruikt, dus een uniek wachtwoord.
6. De standaard gebruikersnaam gebruiken
Als je vroeger Joomla installeerde, stelde Joomla bij de installatie automatisch de gebruikersnaam administrator voor. Bij WordPress is dat admin. Veel gebruikers veranderen dat niet. En dat weet een hacker ook. Bovendien komt de combinatie ‘standaard gebruikersnaam’ en ‘zwak wachtwoord’ veel voor. En dat, ja, dat weet de hacker ook.
Gebruik geen standaard gebruikersnaam of wijzig deze
Kies altijd een veilige gebruikersnaam. Gebruik je de standaard gebruikersnaam, wijzig deze dan in een veilige gebruikersnaam.
7. Onveilige hosting
Een goed beveiligde website op een slecht beveiligde server zetten is vrij zinloos. Op een webserver staat een hoop software, onder andere om ervoor te zorgen dat jouw websites draait en je e-mail kunt ontvangen en versturen. Voor die software komen regelmatig veiligheidsupdates uit die de hostingprovider moet installeren. Is deze daar laks in, dan kan dat tot gevolg hebben dat jouw website bijvoorbeeld draait op een onveilige PHP-versie en daardoor gehackt kan worden.
Goede hostingproviders beveiligen hun servers bovendien tegen aanvallen van buitenaf. De firewall van de server kan op die manier ook aanvallen op jouw website tegenhouden. Dit is wel altijd een samenspel: zoals een goed beveiligde website op een slecht beveiligde server geen goede combinatie is, is andersom een slecht beveiligde website op een goed beveiligde server ook vragen om een gehackte website.
Kies een hostingprovider met aandacht voor veiligheid
Kies niet de goedkoopste hosting hoor je vaak, maar aan de prijs kun je helaas niet altijd zien of een hostingprovider veilige hosting aanbiedt. Je merkt dat vaak pas achteraf omdat je website trager is dan je had verwacht en misschien zelfs wel eens is gehackt. Veilige hosting hoeft niet duur te zijn.
Een goede hostingpartij plaatst jouw website en e-mail op een veilige server. Host je bij Stip Hosting, dan zit je goed. Veiligheid heeft bij ons prioriteit.
Jouw domeinnaam is bij ons beveiligd met DNSSEC en bij elke domeinnaam is een gratis SSL-certificaat inbegrepen, zodat je veilig kunt mailen en je website bereikbaar is via HTTPS. Natuurlijk kun je bij Stip Hosting ook rekenen op goed geregelde back-ups van jouw website en e-mail. De back-ups hebben lange bewaartijden. Zo worden de dagelijkse back-ups een week bewaard en de back-ups van de eerste van de maand een half jaar. Als het nodig is, kunnen we je website dus een half jaar terug in de tijd zetten en een al lang verdwenen mailtje terugzetten.
De server is beschermd met een firewall die kwaadaardige IP-adressen blokkeert. Kies je voor een WordPress hostingpakket Compleet, dan beveiligen we je WordPress website ook nog met een firewall en monitoren we je website. Indien nodig grijpen we in. En mocht jouw website toch gehackt worden, dan herstellen wij deze gratis.
Onze malware scanner zorgt ervoor dat kwaadaardige scripts onschadelijk worden gemaakt.
Het CMS van alle WordPress en Joomla websites wordt automatisch up-to-date gehouden in al onze hostingpakketten. Bij WordPress websites geldt dat ook voor de gratis plugins. Eventuele betaalde plugins worden automatisch geupdatet als je er een geldige licentie voor hebt. Vooral voor WordPress plugins komen vaak updates uit. Door onze automatische updates heb jij minder omkijken naar je website en is je website veel beter beveiligd tegen hackers.
Wat te doen als je website is gehackt
Als jouw site gehost wordt bij Stip Hosting, dan is de kans klein dat je op een dag met schrik constateert dat je website is gehackt. Door de automatische updates zijn de twee meest voorkomende redenen voor een gehackte website al afgedekt.
Met Installatron installeer je gemakkelijk en veilig Joomla of WordPress. Een veilig wachtwoord wordt daarbij afgedwongen.
Onze malware scanner detecteert kwaadaardige scripts die bijvoorbeeld aanwezig zijn in thema’s en plugins van warez websites.
Bij onze WordPress hosting kun je voor nog meer zekerheid kiezen voor een hostingpakket Compleet, want dan heb je een hack-free garantie. Als je WordPress website toch gehackt wordt, herstellen we hem gratis. Heb je een WordPress hostingpakket Basis of Extra bij ons, dan kun je met onze tips je website zelf herstellen. Zowel voor het zelf herstellen van een gehackte WordPress website als voor het zelf herstellen van een gehackte Joomla website hebben we een artikel geschreven.
Dit artikel is oorspronkelijk gepubliceerd op 30 januari 2022 en voor het laatst geactualiseerd op 7 juli 2024.
