Hacker voor een dag. Hack je eigen website.

Door webmasterCybersecurity

In een eerder artikel legden we uit dat dieven jouw persoonsgegevens stelen en dat dat de maatschappij miljarden kost1. We lieten ook zien dat er heel veel kwetsbaarheden zitten in WordPress plugins. De eerste stap van een hacker is dan ook om te ontdekken welke kwetsbaarheden er in een WordPress website zitten. In dit artikel leggen we je uit hoe een hacker de kwetsbaarheden van jouw bedrijfswebsite blootlegt. 

Kies je gereedschap

Hackers gebruiken ontzettend veel verschillende manieren om kwetsbaarheden te ontdekken in jouw digitale infrastructuur. Wij hebben gekozen voor WPScan2, dit is software om kwetsbaarheden in wordpress websites te ontdekken. Heeft jouw bedrijf een wordpress website? In deze software zit alles dat je nodig hebt om de kwetsbaarheden bloot te leggen. 

Hoe het werkt

De software scant je website voor kwetsbaarheden in ongeveer drie stappen:

  1. WordPress identificatie: De software navigeert naar je website en kijkt eerst of de website is gemaakt met WordPress. Hiervoor kijkt de software naar referenties naar WordPress in de HTML broncode, en de HTTP headers.
  2. Plugin identificatie: De software kijkt naar alle onderdelen van de website. Zo brengt het in kaart welke wordpress versie wordt gebruikt en welke componenten actief zijn. Denk aan welke plugins er worden gebruikt, en wat de versie nummers zijn van deze plugins. Er wordt ook gekeken naar het gebruikte thema.
  3. Kwetsbaarheden identificatie: Alle geïdentificeerde onderdelen kunnen nu worden gecheckt tegen een database met bekende kwetsbaarheden. 

De software genereert vervolgens een rapport met relevante informatie, zoals de kwetsbaarheid, de ernst ervan, en mogelijke oplossingen.

Probeer het zelf

Als je naar de website gaat van WPScan krijg je de mogelijkheid om je eigen website te scannen op kwetsbaarheden. Wanneer de scan klaar is krijg je per mail een rapport met daarin de kwetsbaarheden voor jouw website. Heb je kwetsbaarheden gevonden? Lees dan door!

Is het echt zo makkelijk?

Wellicht had je verwacht dat het ingewikkelder zou zijn. Maar nee, het is net zo moeilijk om je aan te melden voor een online nieuwsbrief, als het ontdekken van de kwetsbaarheden in een WordPress website. Een hacker kan daarna gericht op zoek gaan naar een manier om misbruik te maken van een kwetsbaarheid.

Verzamel jij persoonsgegevens op je website?

Wanneer er kwetsbaarheden zijn geconstateerd moet je deze oplossen. Zeker als je gebruik maakt van een contactformulier op je website. Inzendingen van deze formulieren worden namelijk vaak op de server waar jouw website draait opgeslagen. Dit betekent dat als een hacker een kwetsbaarheid kan misbruiken, de inzendingen gestolen kunnen worden.

Hoe los je de kwetsbaarheden op?

Er zijn een aantal stappen die je al flink kunnen helpen:

  • Vervang alle wachtwoorden voor sterke (lange) wachtwoorden met kleine en grote letters, cijfers, en speciale tekens.
  • Update al je WordPress plugins naar hun meest recente versies.
  • Pak veelvoorkomende configuratie fouten aan zoals bijvoorbeeld beschreven in ‘Niemand weet, niemand weet, dat ik jouw gebruikersnaam weet’3.
  • Maak gebruik van onze software.

Onze software

Met onze software worden de persoonsgegevens niet langer opgeslagen op de server met de kwetsbaarheden. Dit voorkomt dus dat een hacker er bij kan als een kwetsbaarheid misbruikt wordt. Los daarvan stelt de AVG een aantal eisen aan bedrijven die persoonsgegevens verwerken4. Onze software helpt jou ook aan die eisen te voldoen. 

Met onze software verzamel je persoonsgegevens op een verantwoorde en veilige manier

  • Onze formulieren communiceren het doel van de verwerking, de rechtsgrondslag, ontvangers van de gegevens en hun rechten onder de AVG op het moment dat de data verzonden wordt.
  • We slaan deze gegevens vervolgens versleuteld op
  • We helpen je de toegang te beperken tot alleen de personen die de gegevens moeten verwerken.
  • We verwijderen gegevens automatisch wanneer de bewaartermijn is verlopen
  • We houden logbestanden bij met wie toegang had tot welke gegevens, en wanneer. 

Op organisatorisch vlak ben je zelf verantwoordelijk. De eerste stap is echter snel gezet. Wijs een verantwoordelijke aan voor de informatiebeveiliging en laat die contact met ons opnemen.

Bronvermelding

  1. www.formknox.com/blog/dieven-stelen-jouw-persoonsgegevens ↩︎
  2. https://wpscan.com/ ↩︎
  3. www.formknox.com/blog/niemand-weet-niemand-weet-dat-ik-jouw-gebruikersnaam-weet ↩︎
  4. www.formknox.com/blog/welke-eisen-stelt-de-avg-aan-mijn-contactformulier ↩︎
Categorie:
Tags: [, , , , , ]