Het ontwikkelen en uitvoeren van de perfecte marketingstrategie voor jouw bedrijf is lastig. Wij helpen je graag een handje opweg.
Een hechte club mensen die de Tilburgse gezelligheid ademt en de ambitie heeft om altijd een stapje verder te gaan.
Tientallen overheidswebsites zijn gevoelig voor hacks, berichtte Trouw vorige maand. Want wat blijkt? De inlogpagina van de beheerders is openbaar toegankelijk en dat levert een veiligheidsrisico op. Een hack van de gemeente Hof van Twente maakte dat pijnlijk duidelijk.
Wat doen overheidsinstanties fout? Moet WordPress nu volledig in de ban? Als WordPress-specialisten met een sterke focus op digitale beveiliging, leggen wij in duidelijke woorden uit wat er is gebeurd en hoe het beter kan. Je zult ontdekken dat WordPress nog steeds een veilige en betrouwbare keuze voor overheidsinstellingen is, mits de nodige best practices worden gevolgd.
WordPress is een contentmanagementsysteem (CMS) dat aanvankelijk was bedoeld voor bloggers. Ze konden hiermee makkelijk en snel hun ervaringen en gedachtenspinsels met de wereld delen. Dit open-source CMS werd constant doorontwikkeld, waarbij aanvullende functies nieuwe gebruikers over de streep trokken. Het duurde niet lang voordat kleine bedrijven, middelgrote bedrijven en vervolgens multinationals WordPress begonnen te gebruiken. Overheidsinstellingen bleven niet lang achter.
Inmiddels draait 40% van alle websites op het internet op WordPress. De schaalbaarheid en de vele functies maken dit CMS een veelzijdige oplossing voor allerlei organisaties. Ook overheidsinstanties kiezen steeds vaker voor WordPress, en het is begrijpelijk waarom.
Zo bestaat er de rol van schrijver. Hiermee kan iemand wel berichten klaarzetten, maar ze niet publiceren. Of de rol van auteur. Die kan zijn of haar eigen berichten publiceren, maar niet die van anderen publiceren of aanpassen. De beheerder kan alle opties in het dashboard aanklikken en nieuwe gebruikers toevoegen.
Het is met WordPress ook makkelijk om een heel netwerk van identieke of vergelijkbare sites te maken. Dat is ideaal voor instellingen met verschillende locaties of kantoren, die elk een eigen site willen hebben. WordPress Multisite maakt het mogelijk om deze met één keer inloggen vanuit een centraal dashboard te beheren.
WordPress is een open-source systeem. Dat open-source betekent dat de broncode openbaar toegankelijk is. Duizenden programmeurs van over de hele wereld controleren en verifiëren de code op kwetsbaarheden. Dat maakt de kans op fouten extreem klein.
Volgens Trouw zat het probleem hem in de openbaar toegankelijke beheerderspagina’s. Standaard zijn die bij WordPress-sites op te roepen door achter het domein /wp-admin te typen.
Maar ook al kan iedereen zo’n inlogpagina openen, het betekent niet dat een willekeurig persoon in kan loggen. Daar heb je nog steeds een gebruikersnaam en wachtwoord voor nodig. Wat deze hackers deden, is zoveel mogelijk veelvoorkomende gebruikersnamen en wachtwoorden met elkaar combineren, op goed geluk. Dat resulteerde in een voltreffer bij de gemeente Hof van Twente, waarbij ambtenaren met het zwakke wachtwoord ‘Welkom2020’ toegang hadden.
Het artikel wijst ons op een verontrustend feit: dat overheidswebsites de mogelijkheden van WordPress lang niet voldoende benutten. Koppel dit aan een makkelijk te raden wachtwoord en dit CMS kan (ten onrechte) de indruk wekken dat het onveilig is.
Een openbare inlogpagina stelt kwaadwillenden dus in staat om wachtwoorden te testen. Maar door een limiet op het aantal pogingen in te stellen, een sterk wachtwoord te creëren en tweefactorauthenticatie (2FA) te gebruiken, kan niemand daar naar binnen. Eventueel kun je deze beheerderspagina alsnog verbergen door voor een alternatieve URL te kiezen.
Veel van de bovenstaande zaken kun je eenvoudig voorkomen als je weet waar je mee bezig bent. Uiteraard kun je dit ook uitbesteden aan WordPress-experts zoals die van 2manydots. Samen houden we ongenode gasten buiten.
