WooCommerce-webshops vaak kwetsbaar: hoe bescherm je je shop tegen hacks?

Uit recent onderzoek blijkt dat bij 1 op de 5 WooCommerce-webshops in Nederland nog steeds sprake is van een kritiek beveiligingslek uit juli 2021. Kwetsbare webshops zijn eenvoudig te identificeren en de backend is vaak niet goed beveiligd. Hoe houd je je webshop veilig tegen hackers?

Afgelopen zomer kwam een kritiek beveiligingslek aan het licht bij webshops die WooCommerce gebruiken. Direct na het ontdekken van het lek bracht Automattic, het bedrijf achter het e-commerceplatform, een belangrijke update uit. Desondanks kampte ruim 20% van de Nederlandse webshops half oktober nog steeds met dit ernstige beveiligingsprobleem, blijkt uit onderzoek van Data Department zelf. Onder andere klantgegevens van deze online winkels zijn hierdoor zeer kwetsbaar voor hacks.

Uit het onderzoek kwamen ook andere opmerkelijke conclusies naar voren. De steekproef toont aan dat het niet best gesteld is met de preventieve beveiliging van WooCommerce-webshops in het Nederlandse e-commercelandschap. Wat kun je doen om je WooCommerce-webshop zo goed mogelijk te beschermen? Ik vroeg Remco Nieuwenhuizen van WPsupporters om enkele beveiligingstips voor WooCommerce-webshops naar aanleiding van de bevindingen.

Tip 1: Installeer de laatste update van WooCommerce

Het onderzoek laat zien dat bijna 93% van de webshops niet de laatste update van de gebruikte WooCommerce-versie heeft geïnstalleerd. Wanneer updates van het versienummer niet geïnstalleerd worden blijft een webshop kwetsbaar voor het probleem dat met die update wordt opgelost. Opvallend is dat slechts 21% van de webshops de WordPress-installatie niet heeft bijgewerkt met de laatste update.

Vergelijking installatie laatste patch tussen WordPress en WooCommerce.

Nieuwenhuizen: “Zorg altijd dat minimaal de laatste update is geïnstalleerd van het versienummer waarop de webshop draait. Hiermee is de webshop in ieder geval beschermd tegen bestaande (beveiligings)problemen. Kwetsbare webshops zijn vaak eenvoudig te identificeren, nog een extra reden om te zorgen voor up-to-date software. Om risico’s te vermijden is het aan te raden om minimaal één keer per week te controleren op beschikbare updates en deze te installeren.

Als je bang bent een update te missen, stel dan automatische updates in. Dit kan vanaf WordPress versie 5.6 aangezet worden voor WordPress, WooCommerce en alle overige plugins. Op die manier ben je verzekerd van de laatste updates en hoef je niet bang te zijn dat je onnodig risico loopt. Wel is het uiterst belangrijk is om altijd voorafgaand aan updates een back-up te maken van de webshop, voor het geval er onverhoopt iets misgaat met de update. BackupBuddy en UpdraftPlus zijn goed aangeschreven back-up-plugins.”

Tip 2: Blijf op de hoogte van belangrijk WooCommerce-nieuws

Half oktober 2021 is ruim 20% van de WooCommerce-webshops nog steeds kwetsbaar voor het kritieke beveiligingslek uit half juli 2021, blijkt uit het onderzoek. Gezien de urgentie van de patch en bijkomende risico is het aannemelijk dat beheerders van deze webshops niet op de hoogte zijn van het lek dat hen kwetsbaar maakt.

Nieuwenhuizen: “Het is belangrijk dat je als webshopbeheerder op de hoogte bent van het laatste nieuws over WooCommerce om snel te handelen bij belangrijke updates, beveiligingslekken of andere urgente zaken die je WooCommerce-installatie minder veilig maken. Dit soort nieuws is te vinden op de officiële websites van WordPress en WooCommerce, op specialistische WordPress blogs of hier op Emerce. Lees ook altijd aandachtig de meldingen die na het inloggen in je WordPress-dashboard verschijnen.”

Melding in het dashboard van WordPress over het kritieke beveiligingslek uit juli 2021.

Nieuwenhuizen: “Wat ik persoonlijk bijzonder vind, is het hoge aantal webshops dat nog steeds het kritieke beveiligingslek niet heeft gedicht. WooCommerce heeft destijds veel gedaan om iedereen te bereiken, zo hebben ze onder andere een e-mail gestuurd naar hun hele mailinglijst. Het is zodoende aan te raden om je als WooCommerce-webshophouder aan te melden voor dat soort mailinglijsten.

Tot slot is het aan te raden om de plugin WPScan te installeren. Je kunt je webshop hiermee testen op kwetsbaarheden en je krijgt een notificatie bij nieuwe kwetsbaarheden in je webshop, inclusief oplossing. Dichter bij de bron kom je niet, want op 4 november 2021 is aangekondigd dat het bedrijf onderdeel wordt van Automattic.”

Tip 3: Verberg de inlogpagina van de backend en gebruikersnamen

Uit het onderzoek blijkt dat bij 78% van de webshops de inlogpagina via de standaard URL bereikbaar is. Bij 76% zijn inlognamen van gebruikers uit een openbare WordPress API endpoint te halen. Hergebruikte wachtwoorden raken regelmatig gecompromitteerd bij datalekken, wat het tot een reëel risico maakt dat een hacker zich met deze informatie toegang kan verschaffen tot een webshop.

Vergelijking implementatie preventieve beveiligingsmethoden tegen hacks.

Nieuwenhuizen: “Doe er zoveel mogelijk aan om de toegang tot de backend van het webshopsysteem goed te beschermen. Je verkleint hiermee het risico op hacks. Dit kan bijvoorbeeld door het afschermen van de inlogpagina en gebruikersnamen van beheerders.

Als extra beveiligingslaag voor een webshop is het aan te raden een plugin als iThemes Security Pro, Securi of WordFence te gebruiken. Dit soort plugins regelen zaken als tweestapsverificatie en blokkades bij veelvuldige inlogpogingen. Met deze plugins kun je ook de URL van de inlogpagina wijzigen, de URL blokkeren waarmee gebruikersnamen te achterhalen zijn en de plugin helpt bij het kiezen van sterke, unieke wachtwoorden.

Een belangrijke vervolgstap om je webshop te beschermen: een goede hostingpartij. De veiligheid van de server waarop je webshop draait, is minstens zo belangrijk als de veiligheid van de webshop. Ik raad goede WooCommerce hosting aan in plaats van een voordelig pakket bij een budgetpartij. Bij dit soort dingen kan goedkoop duurkoop zijn, maar die ontdekking doe je helaas altijd pas achteraf.”

Bonustip voor als het toch eens mis gaat

Nieuwenhuizen: “Ik loop in mijn dagelijkse praktijk tegen veel beveiligingsproblemen aan bij websites en webshops. Toch vind ik het schokkend via dit onderzoek de bevestiging te krijgen dat zoveel WooCommerce-webshops beveiliging niet serieus genoeg lijken te nemen.

De redenen om niet te updaten lopen vermoedelijk uiteen. Ik merk vaak dat webshopeigenaren zich niet realiseren hoe belangrijk de updates zijn, dat ze andere prioriteiten hebben of huiverig zijn vanwege mogelijke fouten op de website na het updaten. Tot het eens echt mis gaat. Je haalt jezelf ontzettend veel narigheid op de hals, van datalekmeldingen bij de Autoriteit Persoonsgegevens tot hoge reparatiekosten. Zelfs het betalen van losgeld aan hackers komt voor, dit zag je bijvoorbeeld bij de Universiteit Maastricht in februari 2020 en onlangs bij MediaMarkt.

De bonustip is dan ook, in het geval het tóch een keer misgaat: maak dagelijks een back-up van de webshop. Zo blijven zaken als de laatst ontvangen bestellingen en de meest recent toegevoegde producten bewaard. Zorg dan wel dat deze back-ups niet alleen opgeslagen zijn op de server, maar ook op een andere veilige plek. Mocht de server gegijzeld worden, dan kun je op die manier de schade nog enigszins beperken.”

Over de auteur: Wendy Soeters is Marketing manager bij Data Department.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.