Wanneer je nieuwswebsites een beetje volgt, dan heb je vast al een keer gehoord dat er door een bepaald lek veel WordPress-websites gehackt zijn.
Door dit nieuws ga je er misschien vanuit dat WordPress helemaal niet veilig is en dat je er niet aan moet beginnen.
In aflevering 9 van Webtalis TV beantwoord ik onderstaande korte vraag van Jennifer Scholten.
Is WordPress veilig?
Naar mijn mening is WordPress veilig
Laat ik beginnen met dat WordPress naar mijn mening veilig is. Anders zou ik het tenslotte ook niet voor mijn website gebruiken.
Er zijn echter wel factoren waardoor WordPress minder veiliger wordt of waarom WordPress minder veilig kan zijn dan andere systemen. Zo is WordPress ontzettend populair en draait meer dan 25% van alle websites op WordPress. Hierdoor is het een interessante target voor kwaadwillende om aanvallen op te richten. Je kunt tenslotte miljoenen websites hacken met een bepaald veiligheidslek.
Waar het lek precies in zit wisselt natuurlijk. Dit kan in WordPress zijn, maar ook in een thema of plugin. Het gaat in elk geval altijd wel om verouderde versies. Als gebruiker ben je dan natuurlijk ook verantwoordelijk voor de veiligheid van je WordPress-website. Wanneer jij niks doet aan onderhoud of iets dergelijks, dan loop je extra risico. WordPress regelt tenslotte niet alles voor je, je moet er zelf ook dingen aan doen.
Wat is het probleem van de populariteit?
Doordat WordPress populair is wordt er extra goed gelet op beveiligingslekken die gedicht worden. Alle beveiligingslekken komen te staan in de changelog (log met alle aanpassingen van een update), waardoor kwaadwillende een prima beginpunt hebben om te speuren waar het in de code niet helemaal pluis is.
Software dat minder populair is heeft hier gewoonweg minder last van, terwijl hier misschien juist meer lekken in te vinden zijn. Krom he? Maar dat is hoe het nou eenmaal werkt als iets heel erg populair is. Een grote gebruikersgroep waar lang niet iedereen up-to-date blijft, levert in dit geval een stuk meer rendement op.
Blijf jij up-to-date?
Het grootste gevaar voor een WordPress-website, is niet up-to-date zijn. Je moet de software WordPress up-to-date houden, maar ook alle plugins en thema’s die je op je website installeert. Wil je hier meer over leren, dan kun je altijd mijn WordPress onderhoud training bekijken.
Voor WordPress zelf zijn er twee soorten updates. Je hebt automatische updates en updates die je handmatig moet uitvoeren. De automatische updates, die sinds versie 3.7 bestaan, zijn met name beveiligingsupdates. Bijvoorbeeld een update van versie 4.8.2 naar versie 4.8.3.
De updates die je handmatig moet uitvoeren gaan over het algemeen om updates die nieuwe functionaliteiten met zich meebrengen. Dit gaat meestal om een update van bijvoorbeeld versie 4.8 naar 4.9. Het kan zijn dat hier ook een beveiligingslek in wordt gedicht, maar het is handmatig omdat het risico groter is dat er iets fout gaat op je website door de nieuwe functionaliteiten. Je krijgt dus de tijd en mogelijkheid om eerst alles grondig te testen voordat je de update uitvoert.
Het is in elk geval belangrijk dat je altijd zo snel mogelijk de updates uitvoert als het om beveiligingsupdates gaat. Met name omdat de changelog een hoop kenbaar maakt wat er mis gaat.
Download plugins en thema’s alleen op veilige plekken
Een andere grote fout die gemaakt wordt, is dat er plugins en thema’s vanaf plekken gedownload worden, waar je het eigenlijk niet vandaan zal moeten halen.
Stel je wilt een premium WordPress plugin op je website, maar hier niet voor betalen. Tja, dan kun je dit vast wel ergens online vinden. Je krijgt er vaak dan alleen wel een plugin voor terug met een stukje code waardoor je website eenvoudig binnen te dringen valt. Het is dus beter om gewoon de plugin netjes te kopen. Hetzelfde geldt natuurlijk voor WordPress thema’s.
Het enige wat ik je kan aanraden is om WordPress plugins en thema’s dus alleen via de originele bronnen te downloaden. Dit is via WordPress.org of via een marktplaats als ThemeForest en CodeCanyon of natuurlijk de website van de ontwikkelaar zelf.
Je hostingprovider is ook van belang
Je hebt niet overal invloed op. Je hostingprovider heeft ook invloed op de veiligheid van je website. Wanneer er een andere website over de server gehackt is, zou je hier geen last van moeten ondervinden.
In sommige gevallen is dit echter wel het geval, omdat niet alles goed van elkaar gescheiden is. Zonde natuurlijk, want dan doe jij zo hard je best om alles netjes in orde te houden, maar heeft je hostingprovider dit niet.
Ga dus ook altijd voor een goede hostingprovider die verstand van zaken heeft. Benieuwd welke hostingproviders ik aanbeveel? Je leest het in het artikel “Hoe je de beste WordPress Hosting kunt uitkiezen“.
Conclusie
WordPress is veilig, maar de veiligheid hangt wel af van hoe je WordPress gebruikt. Jij hebt hier zelf invloed op en kunt WordPress een stuk onveiliger maken dan het is.
Het is belangrijk dat je altijd updates blijft uitvoeren, geen rare plugins en thema’s installeert of ergens vandaan tovert en dat soort dingen.
Gebruik je gezonde verstand en je zit wat mij betreft helemaal goed met WordPress.
7 reacties
Goeie vraag, Jet! Maikel zal vast nog wel reageren, maar ik wil hier ook graag een reactie op geven.
Ik had de WordPress-website van een bedrijf gebouwd en ze kregen berichten van klanten dat Google een melding gaf dat de website mogelijk gehackt was. Later stonden er in plaats van de bedrijfsnaam alleen maar Chinese tekens en iets over online wijn kopen op Google en daaronder het adres van hun website. Dit zag je overigens alleen als je Googlede op de bedrijfsnaam, als je de website direct bezocht was er niets geks aan te zien!
Hoe het bij dit bedrijf was ontstaan? Op een onveilige computer die besmet was met maar liefst meer dan 500 malware-items en verschillende virussen, was ingelogd in het administratorpaneel om de noodzakelijke updates uit te voeren.
De pc in kwestie is grondig gezuiverd en de website is door een professioneel bedrijf “schoongemaakt”, omdat het mij niet lukte, zoveel rotzooi was er via de ftp-server te zien.
Helaas kwamen de meldingen van Google Search Console/Web Master Tools niet binnen op via e-mail van het bedrijf, daar stonden achteraf gezien ook al diverse meldingen van eerdere data in dat er iets mis was. Ik heb een “heroverwegingsverzoek” moeten indienen bij Google ook.
Al met al had het heel wat voeten in de aarde! Het bedrijf heeft er in ieder geval van geleerd. De virus- en malwareprogramma’s worden nu beter geupdate en er wordt minimaal wekelijks gescand.
Bedankt voor het delen van je ervaring. 🙂
Zo zie je maar weer hoe belangrijk alles stiekem wel niet is om in de gaten te houden.
Hallo Maikel,
Goed artikel weer, bedankt!
Hoe weet je dat je site gehackt is?
Groeten,
Jet
Meestal begin je dan wel last te ondervinden van je website. Zo kan het vol op de homepage staan, kan het zijn dat je website opeens super veel geheugen verbruikt omdat er andere dingen gaande zijn of stuurt je website misschien wel ontzettend veel spamberichten en krijg je hier een melding van van je hostingprovider.
Door je aan te melden bij de Google Search Console krijg je verder ook een melding als Google heeft ontdekt dat je website een virus of iets anders bevat.
Hallo Maikel,
Heel interessante artikelen heb je hier op je website.
Mijn website is echter sinds 2015 niet meer geüpdatet. Er ontbreekt namelijk de (ThemeForest/Envato Marketplace username and ThemeForest/Envato Secret API Key).
Is er een manier om zonder deze gegevens toch een update uit te voeren?
Alvast bedankt!
Zalmiy
Ik neem aan dat je dan ook niet de inloggegevens hebt van ThemeForest? Anders kun je het daar ook los downloaden. De enige andere manier is het thema opnieuw kopen met een eigen account en het vervolgens te updaten.
Thanks Maikel. Idd heb ik die gegevens niet. Wellicht is het dan ook de moeite waard om te kijken of er nog een interessanter of beter passende thema is om een nieuwe frisse look te creëren.
Groet,
Zalmiy