Wanneer je nieuwswebsites een beetje volgt, dan heb je vast al een keer gehoord dat er door een bepaald lek veel WordPress-websites gehackt zijn.
Door dit nieuws ga je er misschien vanuit dat WordPress helemaal niet veilig is en dat je er niet aan moet beginnen.
In aflevering 9 van Webtalis TV beantwoord ik onderstaande korte vraag van Jennifer Scholten.
Is WordPress veilig?
Naar mijn mening is WordPress veilig
Laat ik beginnen met dat WordPress naar mijn mening veilig is. Anders zou ik het tenslotte ook niet voor mijn website gebruiken.
Er zijn echter wel factoren waardoor WordPress minder veiliger wordt of waarom WordPress minder veilig kan zijn dan andere systemen. Zo is WordPress ontzettend populair en draait meer dan 25% van alle websites op WordPress. Hierdoor is het een interessante target voor kwaadwillende om aanvallen op te richten. Je kunt tenslotte miljoenen websites hacken met een bepaald veiligheidslek.
Waar het lek precies in zit wisselt natuurlijk. Dit kan in WordPress zijn, maar ook in een thema of plugin. Het gaat in elk geval altijd wel om verouderde versies. Als gebruiker ben je dan natuurlijk ook verantwoordelijk voor de veiligheid van je WordPress-website. Wanneer jij niks doet aan onderhoud of iets dergelijks, dan loop je extra risico. WordPress regelt tenslotte niet alles voor je, je moet er zelf ook dingen aan doen.
Wat is het probleem van de populariteit?
Doordat WordPress populair is wordt er extra goed gelet op beveiligingslekken die gedicht worden. Alle beveiligingslekken komen te staan in de changelog (log met alle aanpassingen van een update), waardoor kwaadwillende een prima beginpunt hebben om te speuren waar het in de code niet helemaal pluis is.
Software dat minder populair is heeft hier gewoonweg minder last van, terwijl hier misschien juist meer lekken in te vinden zijn. Krom he? Maar dat is hoe het nou eenmaal werkt als iets heel erg populair is. Een grote gebruikersgroep waar lang niet iedereen up-to-date blijft, levert in dit geval een stuk meer rendement op.
Blijf jij up-to-date?
Het grootste gevaar voor een WordPress-website, is niet up-to-date zijn. Je moet de software WordPress up-to-date houden, maar ook alle plugins en thema’s die je op je website installeert. Wil je hier meer over leren, dan kun je altijd mijn WordPress onderhoud training bekijken.
Voor WordPress zelf zijn er twee soorten updates. Je hebt automatische updates en updates die je handmatig moet uitvoeren. De automatische updates, die sinds versie 3.7 bestaan, zijn met name beveiligingsupdates. Bijvoorbeeld een update van versie 4.8.2 naar versie 4.8.3.
De updates die je handmatig moet uitvoeren gaan over het algemeen om updates die nieuwe functionaliteiten met zich meebrengen. Dit gaat meestal om een update van bijvoorbeeld versie 4.8 naar 4.9. Het kan zijn dat hier ook een beveiligingslek in wordt gedicht, maar het is handmatig omdat het risico groter is dat er iets fout gaat op je website door de nieuwe functionaliteiten. Je krijgt dus de tijd en mogelijkheid om eerst alles grondig te testen voordat je de update uitvoert.
Het is in elk geval belangrijk dat je altijd zo snel mogelijk de updates uitvoert als het om beveiligingsupdates gaat. Met name omdat de changelog een hoop kenbaar maakt wat er mis gaat.
Download plugins en thema’s alleen op veilige plekken
Een andere grote fout die gemaakt wordt, is dat er plugins en thema’s vanaf plekken gedownload worden, waar je het eigenlijk niet vandaan zal moeten halen.
Stel je wilt een premium WordPress plugin op je website, maar hier niet voor betalen. Tja, dan kun je dit vast wel ergens online vinden. Je krijgt er vaak dan alleen wel een plugin voor terug met een stukje code waardoor je website eenvoudig binnen te dringen valt. Het is dus beter om gewoon de plugin netjes te kopen. Hetzelfde geldt natuurlijk voor WordPress thema’s.
Het enige wat ik je kan aanraden is om WordPress plugins en thema’s dus alleen via de originele bronnen te downloaden. Dit is via WordPress.org of via een marktplaats als ThemeForest en CodeCanyon of natuurlijk de website van de ontwikkelaar zelf.
Je hostingprovider is ook van belang
Je hebt niet overal invloed op. Je hostingprovider heeft ook invloed op de veiligheid van je website. Wanneer er een andere website over de server gehackt is, zou je hier geen last van moeten ondervinden.
In sommige gevallen is dit echter wel het geval, omdat niet alles goed van elkaar gescheiden is. Zonde natuurlijk, want dan doe jij zo hard je best om alles netjes in orde te houden, maar heeft je hostingprovider dit niet.
Ga dus ook altijd voor een goede hostingprovider die verstand van zaken heeft. Benieuwd welke hostingproviders ik aanbeveel? Je leest het in het artikel “Hoe je de beste WordPress Hosting kunt uitkiezen“.
Conclusie
WordPress is veilig, maar de veiligheid hangt wel af van hoe je WordPress gebruikt. Jij hebt hier zelf invloed op en kunt WordPress een stuk onveiliger maken dan het is.
Het is belangrijk dat je altijd updates blijft uitvoeren, geen rare plugins en thema’s installeert of ergens vandaan tovert en dat soort dingen.
Gebruik je gezonde verstand en je zit wat mij betreft helemaal goed met WordPress.
