Dit is een vraag die je jezelf stelt als je ergste nachtmerrie uitkomt. Waarom zou een hacker mijn website aanvallen? Wees gerust: de kans dat de aanval persoonlijk bedoeld is, is nagenoeg nul. Hackers hebben onderliggende motieven die niets te maken hebben met de inhoud van jouw website. Het maakt ze niet uit of je een liefdadigheidspagina runt voor dakloze puppy’s of een webshop vol merchandise.
Toch is het moeilijk om je niet aangevallen te voelen. Je website is gehackt. Er is chaos. Je voelt je gestrest en vraagt je af hoe dit kon gebeuren en of het nog een keer gaat gebeuren. Begrijpelijk. Hier is wat er echt achter zit.
Website gehackt? Dit is de motivatie van een hacker
Hackers richten zich niet op de inhoud van je website. Ze richten zich op de software die je website gebruikt. Door die software aan te vallen, kunnen ze gevoelige klantgegevens stelen of de controle over je website overnemen.
WordPress is het meest gebruikte CMS ter wereld. Dat maakt het een populair platform om op te bouwen, maar ook een populair doelwit. Als een veelgebruikte WordPress-plugin een ernstige kwetsbaarheid heeft, heeft een hacker in theorie de sleutel tot honderdduizenden websites tegelijk. Gelukkig worden de meeste kwetsbaarheden snel gepatcht door de ontwikkelaars. Maar dan moet je die updates wel hebben uitgevoerd.
De overgrote meerderheid van hackers is simpelweg uit op geld. Door gevoelige gegevens te bemachtigen, kunnen ze die doorverkopen. En steeds vaker zien we dat mensen moeten betalen om hun eigen website of data terug te krijgen. Losgeld, kortom.
Dus, wat is de belangrijkste motivatie van hackers? Simpel: cashflow. Het internet is een lucratieve plek en niet iedereen pakt dat op een legale manier aan. Een groot aantal hackers maakt winst op zelfs de kleinste website. Geld is vrijwel altijd de drijfveer, al zijn er ook hackers die het gevoel van macht waarderen dat ze krijgen als ze met succes inbreken. Maar de overgrote meerderheid doet het puur voor het geld.
SEO Spam
Een andere motivatie is het misbruiken van jouw website voor SEO-spam. SEO staat voor zoekmachineoptimalisatie: het optimaliseren van je website zodat die goed vindbaar is in Google. Door strategisch de juiste zoekwoorden te gebruiken op je pagina’s, kun je hoger scoren in de zoekresultaten.
Hackers weten alles van SEO en gebruiken het in hun voordeel. Na een inbraak installeren ze een achterdeur op jouw website. Daarmee kunnen ze op afstand de inhoud beheren: verborgen links toevoegen, bezoekers doorsturen naar malafide websites of jouw domeinautoriteit gebruiken om hun eigen rommel hoger te laten scoren. Jij merkt er aanvankelijk niks van. Totdat Google je site markeert als gevaarlijk of je ineens uit de zoekresultaten verdwijnt.
Malware-injecties
Veel hackers vallen een website aan met het doel om malware te installeren. Malware zijn stukjes kwaadaardige code die aanpassingen aan je website maken zonder dat je het doorhebt. Bezoekers van jouw site kunnen er vervolgens mee besmet raken, puur door de pagina te openen.
Als jouw site besmet raakt met malware, is het belangrijk om zo snel mogelijk te handelen. Elke minuut dat malware op je website staat, richt meer schade aan. Hoe meer schade, hoe langer het herstel duurt. Goede beveiliging en regelmatig onderhoud zijn daarom geen luxe maar gewoon onderdeel van een gezonde website.
Losgeld
Een hacker wil vaak ook gewoon direct geld zien. Bij een ransomware-aanval neemt de hacker je website over en geeft die pas terug als je betaalt. De gemiddelde downtime bij zo’n aanval loopt al snel op naar meerdere dagen. Stel jezelf de vraag: hoeveel kost het je als je website een week lang niet bereikbaar is?
Met dit soort uitbetalingen vertraagt de online criminaliteit niet. Het loont voor hackers, dus ze gaan door.
Hacken wordt elke dag gemakkelijker
Het hacken van websites is tegenwoordig grotendeels geautomatiseerd. Hackers gebruiken tools die het internet continu scannen op bekende kwetsbaarheden. Heb je een plugin of thema met een bekend lek, dan ben je een doelwit. Zonder dat een mens ook maar één keer naar je website heeft gekeken.
Dat is ook precies waarom updates zo belangrijk zijn. Een kwetsbaarheid die gepatcht is, beschermt je niet als je de update niet hebt geinstalleerd.
5 Snelle tips om jouw website te beschermen en te beveiligen
1. Updaten, updaten en updaten
Updates zijn niet alleen voor nieuwe functies of bugfixes. Ze bevatten ook kritieke beveiligingspatches voor bekende kwetsbaarheden. WordPress, je plugins, je thema: allemaal up-to-date houden. Altijd. Niet volgende week, nu.
2. Gebruik tweefactorauthenticatie (Two-Factor Authentication)
Met tweefactorauthenticatie log je in met twee stappen in plaats van een: je wachtwoord plus een bevestiging via je telefoon. Geautomatiseerde botaanvallen die wachtwoorden raden of uitproberen, komen hiermee niet verder. Het kost je tien seconden per login en houdt een grote categorie aanvallen buiten de deur.
3. Weigeren van gelekte wachtwoorden
Na elke grote hack circuleren er lijsten met gelekte gebruikersnamen en wachtwoorden. Hackersoftware probeert die combinaties automatisch uit op andere websites. Gebruik je hetzelfde wachtwoord dat ooit ergens anders gelekt is, dan ben je kwetsbaar. Een wachtwoordmanager maakt het makkelijk om sterke, unieke wachtwoorden bij te houden.
4. Installeer software van vertrouwde bronnen
Haal plugins alleen op van WordPress.org, van bekende commerciële bedrijven of rechtstreeks van de ontwikkelaar. Vermijd zogenaamd gratis versies van betaalde plugins via dubieuze websites. Die bevatten vaak kwaadaardige code. Het maakt niet uit hoe goed de rest van je beveiliging is als je zelf de malware binnenhaalt.
5. Zorg voor dagelijke back-ups
Is je website toch gehackt, dan wil je zo snel mogelijk terug naar een schone versie. Zonder back-up betekent dat soms dagenlang herstelwerk. Met een recente back-up ben je er een stuk sneller van af. Zorg wel dat de back-ups buiten je eigen server worden opgeslagen, want als een hacker toegang heeft tot je server zijn de back-ups die erop staan ook waardeloos.
Geen tijd om dit zelf bij te houden?
Bovenstaande maatregelen zijn behapbaar als je weet waar je mee bezig bent, maar voor de meeste ondernemers is een website iets dat gewoon moet werken, niet iets dat ze wekelijks willen beheren. Dat snappen we.
Bij onze maandpakketten zit website onderhoud standaard inbegrepen. Updates worden bijgehouden, er worden dagelijks back-ups gemaakt en we monitoren de beveiliging. Gaat er toch iets mis? Dan lossen wij het op. Jij doet je werk, wij houden je website gezond.