Cybersecurity voor WordPress plug-ins: update of anders!

Cybersecurity voor WordPress plug-ins: update of anders!

WordPress is de onbetwiste koning onder de websitesystemen met een wereldwijd marktaandeel van meer dan 60%. Aangezien meer dan 455 miljoen websites op WordPress draaien, kan een veiligheidsprobleem een groot aantal mensen en bedrijven raken.

Met name plug-ins kunnen een open deur zijn voor hackers. We schreven al eerder dat plug-ins met mate te genieten zijn. Ze zijn weliswaar immens handig, maar maken je website ook kwetsbaar voor aanvallen van buitenaf. In dit artikel leggen we uit waarom dat zo is en hoe je deze risico’s voor jouw WordPress site zo beperkt mogelijk kunt houden. 

WordPress Plug-ins  

Plug-ins zijn een essentieel onderdeel bij het maken van websites. Je kunt er extra functies mee toevoegen zoals contactformulieren, fotogalerijen, betalingsknoppen en nog veel meer. Ze kunnen je project transformeren van een standaard webstek tot een krachtige website met alles erop en eraan. 

Dat laatste is geen overdreven claim: momenteel zijn er namelijk meer dan 59.000 gratis plug-ins beschikbaar in WordPress. Daarnaast zijn er nog duizenden betaalde WordPress plug-ins. Omdat plug-ins in feite door iedereen kunnen worden gemaakt, zijn ze helaas niet altijd vrij van achterdeurtjes die hackers toegang kunnen geven tot de websites waarop ze zijn geïnstalleerd.

Recente kwetsbaarheden

Een recent voorbeeld van een WordPress plug-in met een beveiligingsprobleem is WPS Hide Login. Deze plug-in verbergt – zoals de naam al zegt – je loginpagina en wordt door meer dan een miljoen websites als extra beveiligingslaag gebruikt. In plaats van de locatie van je inlogpagina te verbergen, werd deze echter juist blootgelegd bij de gebruikers van de plug-in. Een buitenkans voor hackers die toegang willen krijgen tot de WordPress backend. Gelukkig werkten de ontwikkelaars van de WPS Hide Login de plug-in snel bij en verhielpen de kwetsbaarheid. Deze patch zit in versie 1.9.1 en vereist dus een update. Verzuim je als gebruiker in zo’n geval om de plug-in te actualiseren, blijft je site een open doel voor hackers. 

Dit is slechts één voorbeeld. Vrijwel dagelijks worden er nieuwe kwetsbaarheden bekend. Een actueel overzicht van getroffen WordPress plug-ins vind je in de hier genoemde databases. Zelf zul je hoogstwaarschijnlijk maar een handjevol plug-ins gebruiken, toch is het aan te raden om je van het risico van dergelijke veiligheidslekken bewust te zijn. 

Hoe kan ik mij beschermen tegen cyberaanvallen via plug-ins?

Het korte antwoord: zorg ervoor dat je altijd de laatste patch of update voor je WordPress plug-ins hebt! 

Gezien het grote aantal WordPress plug-ins dat beschikbaar is, kunnen zelfs de allerbeste webhosts geen verantwoordelijkheid nemen om jouw plug-ins up-to-date te houden. Gelukkig zijn ontwikkelaars meestal alert bij het oplossen van potentiële beveiligingsrisico’s. Het is echter aan jou om ervoor te zorgen dat je plug-ins op tijd de nieuwste patch of update krijgen.  

Het regelmatig updaten en patchen van je WordPress-plug-ins is dan ook de sleutel om jouw website zo veilig mogelijk te houden. Je hebt twee opties om ervoor te zorgen dat dit gebeurt:

  1. De menselijke optie: WordPress heeft een eenvoudig updatesysteem dat automatisch naar nieuwe versies van plug-ins, thema’s en de software zelf zoekt en je meldingen geeft wanneer een nieuwe update beschikbaar is. Met een paar klikken heb je de nieuwste versie. Je moet natuurlijk wel onthouden om deze updates ook regelmatig uit te voeren. En dat lukt niet altijd, zeker als je de website alleen beheert, het druk hebt of gewoon een keer op vakantie bent.
  2. De geautomatiseerde optie: Sinds WordPress 5.5 kun je het updaten van plug-ins gelukkig ook automatiseren. Schakel je de optie auto-updates in, actualiseert WordPress je plug-ins zelf, zodra er een nieuwe versie beschikbaar is. Je hebt er dan feitelijk geen omkijken meer naar en hebt altijd de laatste patch.

Toch moet je ook hier voorzichtig zijn. Automatiseer je de updates, ontvang je in de regel pas naderhand een melding en verlies je dus het zicht op wanneer een update begint. Dat hoeft geen probleem te zijn. Vervelend wordt het pas als de nieuwste versie van een plug-in niet meer compatibel is met de rest van je website. Bepaalde pagina’s kunnen dan niet meer goed werken of de lay-out klopt niet meer. In het ergste geval crasht zelfs je gehele website en verlies je belangrijke data van klanten. Dit risico is vanzelfsprekend aanzienlijk verminderd als je de meest actuele PHP- en WordPress versie gebruikt, en ook je thema niet al te verouderd is.   

Meer veiligheid – met onze WordPress hosting

Al met al spreekt veel voor het automatiseren van plug-in updates. Ben je je toch niet helemaal zeker? Vanaf ons pakket WordPress Hosting Basic kun je kleine en grote updates in de één-klik-testomgeving uitproberen. Pas als de operatie geslaagd is, voer je de wijzigingen op je live-website uit. Bovendien zorgen regelmatige back-ups voor meer zekerheid. Is er bij een automatische update van een plug-in onverhoopt iets misgegaan, kun je je website makkelijk herstellen. Automatische back-ups zijn in al onze WordPress pakketten beschikbaar.  

Naar onze WordPress pakketten
Zoekwoorden: , ,

Delen

Je kunt pas een reactie plaatsen nadat je ons privacybeleid en cookies hebt geaccepteerd. Om privacyredenen mogen wij jouw persoonsgegevens anders niet verwerken.

Klik onderaan de pagina op de blauwe button OK. Nadat je de pagina opnieuw hebt geladen, kun je een reactie achterlaten.

 

Deze website maakt gebruik van cookies voor onder andere Google Analytics. Deze melding verdwijnt zodra je de cookies hebt geaccepteerd. Meer informatie