Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een WordPress pentest

Icon van een WordPress pentest

WordPress is het meest gebruikte contentmanagementsysteem ter wereld en draait op meer dan 43 procent van alle websites. Juist die populariteit maakt WordPress een aantrekkelijk doelwit. WordPress-websites worden dagelijks miljoenen keren aangevallen, waarbij hackers zoeken naar kwetsbaarheden in plugins, themes en configuraties.

De kracht van WordPress zit in het grote aanbod van meer dan 60.000 plugins en duizenden themes. Maar diezelfde uitbreidbaarheid is vaak ook het grootste risico. Een verouderde plugin, een kwetsbare theme of een verkeerde configuratie geeft een hacker de kans om bij uw website te komen, klantgegevens te stelen, malware te verspreiden of SEO-spam te plaatsen.

Een WordPress pentest (ook wel WordPress pen-test, WordPress penetratietest, WP pentest, WP pen-test of WP penetratietest genoemd) richt zich op de kwetsbaarheden die juist bij WordPress-websites voorkomen. Onze ethische hackers brengen de zwakke plekken in uw WordPress-installatie, plugins en themes in kaart voordat een kwaadwillende ze vindt.

Waarom en wanneer is een WordPress penetratietest belangrijk?

WordPress-websites verwerken vaak gevoelige gegevens, zoals klantinformatie, inloggegevens en betaalgegevens. Dat geldt zeker voor WooCommerce-webshops. Een geslaagde hack kan leiden tot een datalek, reputatieschade, SEO-spam, de verspreiding van malware, een blokkade door Google en financiële schade.

Een WordPress penetratietest is in de volgende situaties verstandig:

  • Voor de lancering van een WordPress-website, om de beveiliging te controleren voordat de site live gaat.
  • Om te voldoen aan de AVG, ISO 27001 of, voor WooCommerce, PCI DSS.
  • Na een update van WordPress of een plugin, omdat een nieuwe versie onbedoeld een kwetsbaarheid kan introduceren.
  • Bij een vermoeden dat de site gecompromitteerd is, bijvoorbeeld door vreemde activiteit, malwarewaarschuwingen of trage prestaties.
  • Als preventieve controle, elk half jaar of jaarlijks.

Het is verstandig om uw WordPress-website regelmatig te laten testen, zeker na grote updates of na het installeren van nieuwe plugins. Een andere ethical hacker kijkt met een frisse blik en ziet daardoor kwetsbaarheden die bij een eerdere test gemist zijn.

Welke vormen van WordPress penetratietests bestaan er?

Er zijn drie vormen van WordPress pentests. Ze verschillen vooral in hoeveel voorkennis de pentester vooraf krijgt.

Black box WordPress pentest (externe aanval)

icon van een blackbox pentest

Bij een black box WordPress penetratietest kruipt de pentester in de huid van een aanvaller zonder voorkennis van uw WordPress-installatie. Dat komt het dichtst bij de situatie waarin een echte cybercrimineel van buitenaf probeert binnen te komen.

  • Geen toegang tot de WordPress-beheeromgeving of interne informatie
  • De pentester werkt vanuit het perspectief van een externe hacker
  • De meest realistische simulatie van een echte WordPress-aanval

Grey box WordPress pentest (beperkte toegang)

icon van een greybox pentest

Een grey box WordPress penetratietest zit tussen black box en white box in. De pentester krijgt beperkte informatie en toegang. Zo blijft de test realistisch, maar verloopt hij wel efficiënter.

  • Toegang tot de WordPress-beheeromgeving en testaccounts
  • Basisinformatie over de website
  • Een goede balans tussen realisme en efficiëntie
  • De meest gekozen vorm voor een WordPress pentest

White box WordPress pentest (volledige toegang)

icon van een whitebox pentest

Bij een white box WordPress penetratietest krijgt de pentester toegang tot alle beschikbare informatie, inclusief de beheeromgeving en de broncode. Dit levert het meest grondige onderzoek op.

  • Volledige toegang tot de WordPress-beheeromgeving en de broncode
  • Testen met verschillende gebruikersrollen en rechten
  • Grondige analyse van de gehele website
  • De meest tijdsintensieve, maar ook de meest complete vorm
  • Een goede keuze voor belangrijke WordPress-websites en voor compliance

Waarom kiezen voor Hackify?

  • Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
    • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
    • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
  • WordPress expertise - Specialistische kennis van WordPress core, plugin en theme security volgens OWASP Top 10
  • Direct contact - Geen accountmanagers, spreek direct met pentesters die uw test uitvoeren
  • Flexibiliteit - WordPress pentests en penetratietests vaak binnen 2-3 weken te plannen

Meer over onze aanpak en expertise op onze over ons pagina.

Klaar om uw WordPress-site te laten testen?

Wij testen plugins, theme-code en admin-toegang van uw WordPress-omgeving op de kwetsbaarheden die dit CMS in de praktijk treffen. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over WordPress penetratietests

Wat is het verschil tussen een WordPress pentest en een webapplicatie pentest?

Een WordPress pentest richt zich op WordPress-websites en alles eromheen. We kijken naar:

  • De plugins - De meeste WordPress-kwetsbaarheden zitten in plugins van anderen. Wij onderzoeken verouderde plugins met bekende CVE’s, verlaten plugins zonder updates, en kwetsbaarheden in veelgebruikte plugins zoals WooCommerce, Yoast SEO, Contact Form 7 en Elementor.
  • De themes - Wij testen verouderde themeversies en zelfgeschreven themecode op XSS en injectie.
  • De configuratie - De standaardconfiguratie van WordPress is vaak onveilig. Wij controleren de toegang tot wp-admin, de gebruikersrollen en rechten, de databaseprefix, de bestandsrechten, de beveiliging van XML-RPC en de WordPress REST API, de instellingen in wp-config.php en de security headers.

Een webapplicatie pentest gaat verder en onderzoekt ook zelfgeschreven code, API’s en ingewikkelde business logic.

Wat kost een WordPress pentest?

De prijs van een WordPress pentest hangt af van de scope, de omvang van uw WordPress-installatie en eventueel maatwerk. Na een vrijblijvend intakegesprek stellen wij een voorstel op dat aansluit bij uw situatie.

Welke WordPress pentest certificeringen zijn er?

Er zijn geen specifieke certificeringen voor WordPress penetratietesten. Alle erkende webapplicatie security certificeringen zijn relevant voor WordPress pentests, waarbij sommige certificeringen specifieke WordPress onderdelen bevatten:

  • OSCP - Offensive Security Certified Professional
  • OSWA - Offensive Security Web Assessor
  • OSWE - Offensive Security Web Expert
  • eWPT - eLearnSecurity Web Application Penetration Tester
  • eWPTX - eLearnSecurity Web Application Penetration Tester eXtreme
  • HTB CWES - Hack The Box Certified Web Exploitation Specialist
  • HTB CWEE - Hack The Box Certified Web Exploitation Expert
  • BSCP - Burp Suite Certified Practitioner

Met deze certificeringen toont een pentester aan dat hij webapplicaties op een gedegen manier kan onderzoeken, en dat geldt ook voor een WordPress-website.

Welke methodieken worden er gebruikt bij een WordPress pentest?

Bij WordPress penetratietests worden verschillende internationaal erkende methodieken gebruikt:

  • PTES - Penetration Testing Execution Standard
  • WSTG - OWASP Web Security Testing Guide
  • OWASP Top 10 - Basis voor alle webapplicatie security assessments

Daarnaast houden wij rekening met de NCSC-richtlijnen, CWE (Common Weakness Enumeration) en CVSS (Common Vulnerability Scoring System), zodat de WordPress-test volledig is.

Welke tools worden er gebruikt bij een WordPress pentest?

Bij WordPress penetratietests worden verschillende professionele tools gebruikt:

  • WPScan - WordPress vulnerability scanner en plugin checker
  • Burp Suite - Webproxy voor WordPress traffic analyse en manipulatie
  • Nmap - Netwerk scanning en service detectie
  • Gobuster - Directory en file enumeration
  • SQLMap - Geautomatiseerde SQL-injectie detectie en exploitatie
  • TestSSL - SSL/TLS configuratie testing
  • Nuclei - Vulnerability scanner met WordPress templates
  • Nikto - Web server vulnerability scanner
  • OWASP ZAP - Open source WordPress security scanner
  • Wfuzz - Web fuzzer voor WordPress parameter testing

Wij combineren deze tools altijd met handmatig onderzoek door ervaren ethische hackers.

Hoe lang duurt een WordPress penetratietest?

De duur van een WordPress pentest hangt af van de complexiteit en de gekozen testvorm:

  • Black box WordPress pentest: gemiddeld 3 dagen
  • Grey box WordPress pentest: gemiddeld 1 week
  • White box WordPress pentest: gemiddeld 1-2 weken

Voor organisaties met een beperkt budget bieden wij ook een timeboxed pentest aan. We kijken dan hoeveel tijd uw budget toelaat en richten ons op de belangrijkste en snelst te vinden bevindingen. Dat is een goede start voor organisaties die nog geen pentest hebben laten doen, of die met weinig budget toch iets aan hun beveiliging willen doen.

Wat zijn de meest voorkomende kwetsbaarheden bij WordPress websites?

De meest voorkomende kwetsbaarheden bij WordPress websites zijn:

  1. Verouderde WordPress core versies - Bekende CVE’s en security patches
  2. Kwetsbare plugins en themes - Verlaten plugins zonder updates
  3. Zwakke wp-admin credentials - Ontbrekende 2FA, zwakke wachtwoorden
  4. XML-RPC misbruik - Brute force attacks en DDoS aanvallen
  5. SQL-injectie in plugins - Custom plugin code zonder input validatie
  6. Cross-Site Scripting (XSS) - In themes, plugins en WordPress core
  7. Onbeveiligde file uploads - Onveilige validatie op bestanden
  8. WordPress REST API misconfigurations - Onbeperkte toegang tot endpoints
  9. Directory traversal - In plugins en theme functies
  10. Onveilige WordPress configuratie - Directory listing, security headers

Deze kwetsbaarheden vormen de basis van elke WordPress penetratietest. Wij lopen ze stap voor stap na volgens de bekende WordPress-securityrichtlijnen.