Je website staat net een paar dagen online. De eerste bezoekers komen binnen. Maar dan ontvang je ineens vreemde berichten: aanbiedingen uit het buitenland, SEO-bedrijven die je nooit hebt benaderd, neppe contactformulier-aanvragen en inlogpogingen vanuit onbekende landen.
Veel ondernemers denken dan: hoe weten deze mensen überhaupt dat mijn website bestaat? Het eerlijke antwoord stelt meestal gerust:
Het zijn meestal geen mensen. Het zijn bots.
Hoe weten bots dat jouw website bestaat?
Het internet wordt continu, dag en nacht, geautomatiseerd afgespeurd. Zodra een nieuwe website online komt, wordt die binnen enkele uren tot dagen ontdekt, of je hem nu hebt aangemeld bij Google of niet. Daar is geen mens voor nodig.
Die bots doen meer dan alleen ontdekken. Ze herkennen ook welke techniek een website gebruikt, en zoeken gericht naar websites die op een bekend systeem draaien. Want een bekend systeem betekent: bekende zwakke plekken.
Belangrijk om te beseffen: deze aanvallen zijn vrijwel nooit persoonlijk. Een hacker zoekt zelden specifiek naar jouw bedrijf. Hij zoekt naar websites die lijken op duizenden andere websites, en pakt die in bulk aan.
Waarom WordPress vaker wordt aangevallen
Laten we eerlijk zijn: dit komt niet doordat WordPress slecht is. WordPress is juist ontzettend populair, en dáár zit precies de uitdaging. Een groot deel van alle websites ter wereld draait erop, vaak met dezelfde plugins en dezelfde opbouw.
Daardoor weten geautomatiseerde aanvallers bij een WordPress-site bijna altijd:
- waar de loginpagina zit (denk aan /wp-admin)
- welke plugins populair zijn en hoe die werken
- welke versies bekende kwetsbaarheden hebben
- welke standaardfouten vaak voorkomen
Het lastige: zodra er één lek in een populaire plugin wordt gevonden, zijn in één klap honderdduizenden websites kwetsbaar die diezelfde plugin gebruiken. Bots scannen dan massaal het hele internet af op die ene zwakke plek. Wie niet op tijd heeft bijgewerkt, ligt open. We schreven eerder over hoe te veel plugins een website kwetsbaar maken.
Waarom maatwerk websites minder interessant zijn voor bots
Bij OneDaySite werken we met maatwerk software in plaats van een standaard WordPress-installatie. Voor een bot die op zoek is naar WordPress-doelen verandert dat het plaatje volledig. Er is namelijk:
- geen standaard WordPress-loginpagina om op in te breken
- geen verzameling van tientallen externe plugins
- geen standaardinstallatie die miljoenen keren identiek voorkomt
- geen bekende plugin-lekken die massaal worden gescand
Een bot die geautomatiseerd naar WordPress zoekt, herkent bij zo'n maatwerkplatform vaak simpelweg niets bruikbaars en gaat verder. Het resultaat is een aanzienlijk kleiner aanvalsoppervlak en een sterk verminderd risico op dit soort geautomatiseerde aanvallen.
Een inbreker die duizenden identieke huizen afloopt, loopt meestal voorbij aan een gebouw dat compleet anders in elkaar zit.
Veiligheid begint niet bij een beveiligingsplugin
Veel ondernemers proberen hun website achteraf veiliger te maken: een extra beveiligingsplugin, een captcha bij het formulier, blokkades en firewalls. Dat helpt zeker, maar het is symptoombestrijding. Je plakt beveiliging op een fundering die er niet voor gemaakt is.
Echte veiligheid begint eerder: bij de keuze van het platform. De vraag is niet alleen "hoe houden we de aanvallers buiten?", maar vooral "hoe zorgen we dat onze website überhaupt veel minder opvalt voor geautomatiseerde aanvallen?" Twijfel je tussen kant-en-klaar en maatwerk? Lees dan WordPress of maatwerk website.
Hoe dat in de praktijk werkt, lees je in het klantverhaal van Hondengedragsdeskundige Miss Molly: zij verruilde een WordPress-site vol spam voor een rustiger maatwerkplatform.