De WordPress 5.6 release brengt een nieuw risico voor je website. Wat doen we daaraan?

WordPress 5.6 – de laatste grote WordPress update van dit jaar – is gisteren, 8 december 2020, verschenen. Deze versie bevat een paar belangrijke features en updates, en ook een aantal kleinere verbeteringen en bug fixes, zoals nieuwe versies meestal hebben. Er is echter ook een nieuw risico met de update meegekomen.

Daarom volgt er wat uitleg in deze post, die gemaakt is naar aanleiding van een publicatie van WordFence. WordFence is de software die ook jouw WordPress website beschermt tegen hacking en andere ellende die van buitenaf je website kan bedreigen. Mocht je nu denken, “Maar ik heb toch een kleine website met weinig bezoekers, waarom zouden hackers mijn onbekende site willen hacken?!”, lees dan mijn blogbericht Waarom ook jouw website doelwit kan zijn van hackers.

Functionaliteit voor externe toegang van applicaties en het risico daarvan

WordPress 5.6 heeft een nieuwe feature die het externe applicaties mogelijk maakt toestemming te vragen om verbinding te maken met je website en een wachtwoord te genereren specifiek voor die applicatie. Als de applicatie eenmaal toegang heeft gekregen, kan deze handelingen uitvoeren namens een gebruiker via de WordPress REST API.

Helaas is het een favoriete bezigheid van hackers om te proberen een site wachtwoord te pakken te krijgen, en een website-eigenaar zover krijgen dat deze applicatiewachtwoorden toestaat is natuurlijk een van de manieren die ze zullen proberen. Een hacker zou jou als website-eigenaar kunnen bedriegen met een link die niet is wat het lijkt terwijl zijn applicatie een onschuldig uitziende naam heeft. Maar klik je op de link van zo’n onschuldig ogend verzoek, dan kan je onbedoeld een ongewenste applicatie een wachtwoord in handen geven.

wachtwoord voor applicatie genereren risico

Erger nog, de URLs van applicatiewachtwoord-verzoeken zijn zo opgezet dat ze het nieuw gegenereerde wachtwoord voor je website versturen via een redirect URL. En aangezien applicatiewachtwoorden functioneren met de toestemming van de gebruiker die ze gegenereerd heeft, kan een hacker dit gebruiken om zich de controle over je website toe te eigenen.

Applicatiewachtwoorden standaard uitgeschakeld om het risico te verkleinen

Om deze reden zijn in de nieuwste versie van WordFence, versie 7.4.14, de applicatiewachtwoorden standaard uitgeschakeld. Als je een specifieke situatie hebt waarin je wel een applicatiewachtwoord moet genereren, dan kun je deze functie terug inschakelen in de backend van je website, onder Wordfence -> Firewall -> Manage Brute Force Protection:

applicatie wachtwoorden uitschakelen wordpress risico beperken

Ondanks het risico zitten er ook goede kanten aan applicatiewachtwoorden. Ze kunnen in de toekomst nuttig blijken. Enkele voorbeelden van hoe ze goed en handig zijn is de mogelijkheid om blogberichten te publiceren naar je WordPress website vanaf een andere interface, voor toegang of het updaten van data in de WordPress database, of zelfs voor het aanmaken van een nieuwe gebruiker. Deze functionaliteit is op het eerste gezicht vergelijkbaar met XML-RPC, maar de REST API biedt duidelijk bredere mogelijkheden. Bovendien zijn applicatiewachtwoorden 24 karakters lang zodat brute force attacks en credential stuffing attacks weinig kans op succes maken.

Beperk het risico indien je applicatiewachtwoorden gaat gebruiken

Indien je besluit gebruik te maken van applicatiewachtwoorden raadt WordFence je sterk aan om een gebruiker met minimale permissies in te stellen, in het ideale geval met alleen de rechten om datgene te doen wat nodig is voor de applicatie die verbinding wil maken, maar niet meer.

Andere ongeoorloofde pogingen om in te loggen in je website

Als je wel eens in het WordFence dashboard van je website hebt gekeken zul je allicht gezien hebben dat er regelmatig blokkeringen zijn van malafide pogingen om in te loggen in je website. Er is dan te vaak geprobeerd met een foute loginnaam in te loggen die ze gewoon gokken (Dit is waarom ik nooit de standaard loginnaam admin gebruik maar zelf altijd andere loginnamen aanmaak voor jou en mij), of je krijgt een mailtje van je website dat iemand het wachtwoord heeft geprobeerd te resetten terwijl je dat zelf niet bent geweest. Dit gebeurt best vaak en gelukkig worden onze sites door WordFence hiertegen beschermd.

Nog meer beveiliging tegen risico’s: 2FA

Om de risico’s van hacking te verkleinen is het mogelijk je website te beveiligen met 2FA, 2 Factor Authenticatie. Een begrip dat je misschien wel kent van je digiD of van je bank app. Het wordt ook tweestapsverificatie genoemd. Omdat er voor je website 2 mensen zijn die kunnen inloggen, jij als website-eigenaar en ik als je website-bouwer, zet ik de 2FA niet standaard aan voor jouw website. Je zou er dan mee geconfronteerd worden dat je bij je eerstvolgende inlogpoging een code moet ingeven als tweede stap bij het inloggen, na je naam en wachtwoord, die je niet weet.
Omdat ik het erg belangrijk vind dat je website goed beveiligd is, raad ik je aan om de 2FA wel te gaan gebruiken.

Wil je weten wat je nodig hebt voor 2FA en hoe je het inschakelt, lees dan hier verder.

beveiliging

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Contact

  • Telefoon

    0115-78 51 47
  • E-mail

    info@studio-vici.nl