Aaron vertelt ons over het beveiligen van WordPress sites en begint de presentatie met de vraag wie denkt te weten waar het goed beveiligen van een website, begint. Een voor de hand liggend antwoord dat veelal genoemd wordt is: je wachtwoord.
Aaron vergelijkt het beveiligen van je website met het opgroeien van een huisdier. Vaak beginnen mensen aan het beveiligen van een website en raken de draad kwijt zodra ze horen over SQL Injectie of Brute force attacks en dat is zonde. Begin voorzichtig, met kleine stapjes, en breid je kennis en beveiliging steeds verder uit. Zie het als een huisdier dat je krijgt als het klein is en samen met jou opgroeit.
Dat het beveiligen van een website begint met een goed wachtwoord, dat viel te verwachten, maar hier wordt feitelijk al een stap overgeslagen. Vergelijk dit bijvoorbeeld met het beveiligen van je huis. Niemand wil dat er bij hun thuis wordt ingebroken, maar begint het beveiligen van je huis bij de huissleutel? Eigenlijk niet. Je slaat namelijk een stap over die van enorm belang is. In welke wijk staat het huis? Is de buurt wel veilig?
Deze vraag dien je jezelf ook te vragen bij het veilig houden van je website. wat doet jouw hoster voor het veilig houden van je website? Heb je jezelf deze vraag wel eens gesteld? Of heb je je hoster deze vraag wel eens voorgehouden? Houden ze rekening met DDOS detection? Is PHP en MySQL wel up to date?
Insteek
De insteek van deze lezing is het (drastich) veteren van de veiligheid van je site. Dit klinkt vrij rigoreus, maar de eerste stappen zijn vaak de grootste en belangrijkste stappen. Het is een utopie om te denken dat je je website 100% veilig krijgt, maar het is aan ons om er voor te zorgen dat je het een hacker zo moeilijk mogelijk maakt om te slagen in zijn poging jou te hacken.
Het kiezen van een goed wachtwoord en goede host is van belang, maar wordt volledig teniet gedaan als je niet werkt met betrouwbare software. Een schoolvoorbeeld hiervan is bijvoorbeeld "verdachte gratis" software voor FTP connecties of het bewerken van afbeeldingen. Deze "gratis" software die gedownload is van enigszins verdachte internet sites bevat nogal eens malafide codes die 1:1 je host, user en wachtwoord achterhalen en doorsturen naar hackgroepen die daarna, bij de eerste poging, direct volledig toegang hebben tot jouw site.
Hoe goed je hoster en wachtwoord ook zijn, zodra je software niet in orde is en je op deze manier gegevens verspreid, zet je de deuren open voor hackers.
Password Manager
Heb je een goede host, betrouwbare software en een veilig wachtwoord? Dan ben je goed op weg, maar wanneer is je wachtwoord eigenlijk veilig? Er zijn drie stelregels die je daar keer op keer bij kunt gebruiken.
- - Is je wachtwoord lang?
- - Is je wachtwoord willekeurig?
- - Is je wachtwoord uniek? Maar dan ook echt uniek (dus maar gebruikt op 1 site)?
- - Kies een goede hosting partij
- - Kies goede software. Niet alleen WordPress, maar ook alles daar om heen
- - Gebruik een Password manager voor lange, unieke, random wachtwoorden
- - Maak gebruik van Two Factor Authentication
- - BRute force WordPress
- - SQLi WordPress
- - XSS WordPress
- - CSRF
- - LFI / RFI
- - Directory traveral
Is het antwoord hierop ja? Dan is je wachtwoord goed. Maar dan komt direct het volgende vraagstuk, hoe beheer je al deze wachtwoorden? Immers, als je voor elke site, ieder programma en iedere account een uniek wachtwoord moet gebruiken, dan kun je deze onmogelijk onthouden. Hiervoor zijn Password Managers zoals 1Password en Lastpass ideaal.
Is dit nog niet de manier waarop je werkt, dan is het een tijdrovende klus om dit alsnog door te voeren, maar met de veiligheid van je website(s) of de websites van je klanten in het achterhoofd een stap die je heel veel gaat opleveren qua kwetsbaarheid.
We genieten van koffie
Koffie? Security? Absoluut :-) Je hebt een veilig wachtwoord, goede host, betrouwbare software, maar dan ga je in een koffietentje op een openbaar WiFi netwerk zitten en voordat je er erg in hebt heeft iemand alsnog al jouw inloggegevens onderschept. Dan is hetgeen dat je onderneemt alsnog voor niets geweest, maar ook hier is een relatief eenvoudige oplossing voor. Eenvoudig, maar ook deze stap vergt enige tijd.
Two Factor Authentication
Het doorvoeren van Two Factor Authentication zorgt ervoor dat, wie ook over de inloggegevens gaat beschikken, alleen jij in kunt loggen of toegang krijgt, doordat je dit beveiligd met iets persoonlijks. Een notificatie, SMS, app of vingerafdruk op je mobiele device. Die heb je (vrijwel) altijd bij je en niemand anders heeft daar toegang toe (zolang je er zuinig op bent). Het installeren van Two Factor Authentication is vrij eenvoudig en kun je doen via iThemes Security Pro of TwoFactor als plugin binnen WordPress.
[quote]It’s not if you get attacked, but rather how you prevent it from being successful.[/quote]Make it hard on them
Die hebben we deze lezing veel voorbij horen komen: "Make it hard on them". Zorg er voor dat je software up to date is, controleer de activiteit van plugins die je installeert, etc. Hackersgroepen doen actieve onderzoek via een crawl op Google naar websites die ouder zijn dan versie X, omdat ze weten welk lek ze binnen die installatie kunnen inzetten. Zorg ervoor dat ze die kans niet hebben.
Om alles in het kort samen te vatten, komen we op de volgende punten.
Een van de vragen, na de presentatie is of het zinvol is om WP te installeren in subfolders. Een goede vraag zegt Aaron "Security through obscurity". Hij geeft als voorbeeld dat je je auto parkeert met de deuren open en de sleutels in het slot. Vervolgens zet je de auto niet op de parkeerplaats, maar ergens om het hoekje, zodat niemand hem ziet. Dit betekent niet dat 'ie niet gestolen wordt. Het is geen echte veiligheid. Omdat Google tegenwoordig alle URL's toch wel crawlt en die informatie inzichtelijk maakt, is het voor een hacker geen probleem om de daadwerkelijke URL's te ontdekken.
Het is goed om iets te doen en ook zeker geen schijnveiligheid, maar het is niet de veiligheid die je zoekt. Wil je dieper ingaan op de veiligheid van je website, dan kun je altijd onderzoek doen naar de volgende onderwerpen: