Securitygevaren om op te letten bij WordPress

Abonneer je gratis op Techzine!

WordPress is het meestgebruikte platform om websites op te maken. Of je dat nu gratis voor je hobby doet of zakelijk voor je bedrijfswebsite. Alles wat online is, komt met bepaalde beveiligingsrisico’s en daarin is WordPress geen uitzondering. Hoewel er een heleboel binnen het platform geregeld is voor je, ligt ervoor zorgen dat je website veilig is bij jou. Dit zijn de securitygevaren waar je op moet letten bij het gebruiken van WordPress.

Websites van WordPress worden niet op één, maar op meerdere manieren gehackt. Dat komt omdat het zowel een kwetsbaarheid kan zijn in WordPress zelf, een kwetsbaarheid in een plugin of een kwetsbaarheid in het account. Denk bij dit laatste bijvoorbeeld aan een wachtwoord dat toch te makkelijk te raden is, of dat bijvoorbeeld bij een datalek al eens op straat is komen te liggen. Aan beveiligingsproblemen binnen WordPress zelf kun je weinig doen, maar dat ligt heel anders waar het om plugins gaat. In dit artikel gaan we dan ook vooral in op de kracht van plugins binnen WordPress.

WordPress

Voor we de beveiliging induiken is het belangrijk om te beseffen waar WordPress op gebouwd is. WordPress is op een open-source platform. Het is als het ware een conglomeraat van verschillende bedrijven, professionals en hobbyisten die het platform samen naar een nieuw niveau willen brengen. Dat doen ze onder andere door plugins in het leven te roepen. Er zijn er al meer dan 50.000, waarvan meer dan 1 miljard downloads. Kortom, de schaal van WordPress is gigantisch.

Die plugins zorgen ervoor dat een simpele website veel beter wordt, maar ze komen ook met risico’s. Zo was er een hackersgroep die een heel netwerk van plugins heeft gemaakt. Deze bevatten echter geen licentiecode die nodig is, maar malware. Deze plugins werden op sites buiten WordPress aangeboden, maar door websitemakers wel gedownload, met alle gevaren van dien. Het is natuurlijk leuk om een mooie plugin te downloaden ter verbetering van je website, maar als iets zomaar gratis wordt aangeboden, dan kan je het best extra opletten. Vooral als het om een plugin gaat die gratis wordt aangeboden, terwijl je hier normaal voor moet betalen. Kijk voor plugins dan ook vooral op WordPress zelf.

Tip: Zijn browserextensies nog wel veilig te gebruiken?

Houd je WordPress up-to-date

Je moet echter niet alleen met veiligheid bezig zijn als je nieuwe dingen aan je website toevoegt: houd ook in de gaten dat je de plugins die je wel hebt geïnstalleerd updatet. Zodra hackers een kwetsbaarheid hebben gevonden, wordt hier volop gebruik van gemaakt en dan kan zelfs een simpele persoonlijke website corrupt worden gemaakt. WordPress heeft updates die automatisch worden toegepast, maar het kan ook zijn dat je hiervoor eerst moet klikken om in een keer alle plugins van een update te voorzien. Let op: maak altijd een backup voordat je updatet, want je weet nooit wat er met je website gebeurt. Sowieso verstandig om te doen, mocht je website juist gehackt worden.

Het is een beetje dubbel, maar plugins kunnen zowel je website infecteren als redden. Zo is er bijvoorbeeld de plugin Sucuri, die als het ware audits doet van je website. Het scant regelmatig op malware en er is zelfs een firewall beschikbaar die op applicatie-niveau kan beschermen. Er wordt ook vaak gebruikgemaakt van Jetpack, dat met allerlei mogelijkheden gepaard gaat, waaronder spam filteren, backups maken en malware scannen, plus het loggen van welke aanpassing die er ook maar is gedaan aan een website. Er zijn nog veel meer plugins die kunnen helpen, zoals iThemes Security en SecuPress. iThemes is bijvoorbeeld handig omdat het ook kijkt of je thema nog wel up-to-date is.

Een ander belangrijke tip als je een WordPress-website opzet of in beheer hebt, dat is zorgen voor een betrouwbare hostingpartij. Je kunt daar soms zelfs hosting inclusief WordPress bij afnemen. Het prettige aan een goede hostingpartij is dat deze als het goed is regelmatig beveiligingsupdates uitvoert en checkt op malware. Het is bij het kiezen van een hostingpartij dus verstandig om niet per se voor de goedkoopste te gaan, maar eerst te onderzoeken van welke software ze zelf gebruikmaken om te ontdekken of ze jouw website niet alleen op een server parkeren, maar ook daadwerkelijk veiligstellen.

Multifactorauthenticatie

Wat we jammer vinden aan WordPress, dat is dat het vanuit zichzelf geen multifactorauthenticatie aanbiedt. Je hebt maar één wachtwoord nodig en je hebt toegang. Er zijn gelukkig andere platformen die je daarbij kunnen helpen. Zo kun je bijvoorbeeld de Google Authenticator gebruiken in combinatie met WordPress, zodat je toch nog die tweede factor hebt waardoor het voor kwaadwillenden moeilijker is om via je account in te breken in je website.

Uiteindelijk is het ook belangrijk dat je soms de nieuwe versie van WordPress gebruikt voor je site. Voor kleine updates hoef je dat niet te doen, want dat doet WordPress zelf. Gaat het echter om grotere updates, dan heb je meer werk. Deze gaan niet automatisch, zolang je niet gebruikmaakt van WordPress-hosting. Het is niet eenvoudig om je WordPress-site handmatig van een update te voorzien. In deze uitleg van WordPress kun je zien dat je hiervoor echt een nieuw bestand moet uploaden. Dat bestand kun je hier vinden. Het is heel belangrijk dit goed bij te houden. Het eerder genoemde Sucuri deed in 2017 de nare vondst dat 39,3 procent van alle gehackte WordPress-sites op oude WordPress-software online waren.

Beveiliging is ook jouw verantwoordelijkheid

Updaten is belangrijk, maar er is meer. Houd in de gaten of er wel veel buzz rondom een bepaalde plugin is. Er zijn zoveel plugins dat er regelmatig exemplaren rondgaan die allang niet meer worden geüpdatet, omdat de maker daarmee is gestopt. Dan heb je dus wel de meest recente versie van de plugin op je WordPress-site draaien, maar tegelijkertijd is die versie waarschijnlijk volledig uitgeplozen door hackers. De kwetsbaarheden kunnen dus allang zijn ontdekt en er wordt mogelijk al heel lang misbruik van gemaakt. Als er helemaal niet meer aan de plugin wordt gewerkt, kies dan eieren voor je geld en zoek naar een modern alternatief.

WordPress heeft zelf zo’n vijftig beveiligingsexperts in dienst, maar daar mag je niet helemaal op rekenen. Mensen die op jouw website komen, verwachten dat jij je beveiliging op orde hebt. Gelukkig kun je door updates al veel doen voor je website en de bezoekers. Zet dus een reminder in je agenda om regelmatig te controleren of je WordPress-site, de plugins en het thema nog wel up-to-date zijn. En als je toch bezig bent, verander dan meteen je wachtwoord.