Meteen naar de inhoud

Is WordPress Veilig? Beveiliging is niet Zwart/Wit

Is WordPress Veilig?

Is WordPress veilig? Het is een vraag die mij regelmatig gesteld wordt en die ook leeft onder (potentiële) gebruikers van WordPress. Want er doen nogal wat verhalen de ronde over WordPress websites die gekraakt worden. En deze week kwam WordPress ook weer in het nieuws door een lek dat ontdekt was. Moet je WordPress dus links laten liggen?

Stelling: WordPress is onveilig

Tegenstanders van WordPress zeggen dat het systeem onveilig is. De stroom aan veiligheids-updates die we in het afgelopen jaar hebben gezien bevestigen dat. Zeggen de tegenstanders.

De werkelijkheid is meer genuanceerd.

Met WordPress worden miljoenen websites gemaakt. Het is veruit het populairste CMS van dit moment. Voor hackers vormt het daarmee een zeer interessant platform. Lukt het je een gat te schieten in de beveiliging dan kun je direct hele ‘leuke’ dingen doen.

Het zijn dan ook meestal niet de gebruikers van Joomla of Drupal die het hardst roepen dat WordPress onveilig is. Deze systemen hebben namelijk te maken met dezelfde problematiek, zij het op iets kleinere schaal. Maar toch. Nee, het zijn de webbureaus die een eigen CMS aan de man proberen te brengen die roepen dat WordPress onveilig is. Dat is niet alleen preken voor eigen parochie, het is ook nog eens onjuist. Want je kunt er zeker van zijn dat een zelf gemaakt CMS echt wel meer software fouten zal bevatten dan een systeem als WordPress, waar al jarenlang door een grote groep ontwikkelaars structureel aan gewerkt wordt.

Kortom: andere oplossingen zijn niet veiliger, integendeel. Maar de kans dat een hacker jouw website aanvalt terwijl jij werkt met het eigen CMS van bureau X is natuurlijk wel degelijk kleiner. Daar staat tegenover dat als een hacker echt binnen wil komen dat over het algemeen toch wel lukt. Dus waan je niet veilig omdat je een custom-made CMS gebruikt. Zie je beveiliging van je website als een slot op de deur: een beter slot zorgt voor een kleinere kans op inbraak. Maar 100% zekerheid heb je nooit.

goede WordPress beveiliging

Stelling: WordPress is veilig

Aan de andere kant zien we voorstanders van WordPress. Daar ben ik er natuurlijk één van. Maar ik werk ook veel met andere systemen, zoals bijvoorbeeld Joomla en Magento. Dat zijn wél allemaal open source oplossingen én veel gebruikte toepassingen die interessant kunnen zijn voor hackers.

Mijn mening is echter: Er wordt door WordPress altijd snel gereageerd op veiligheidsproblemen die ontdekt worden. Een oplossing is altijd nabij, dus WordPress is daardoor júist een veilige oplossing.

Natuurlijk, je moet in de gaten houden wat er gebeurt en veiligheidsupdates tijdig installeren. Dat kleine updates tegenwoordig automatisch geïnstalleerd worden komt de veiligheid alleen maar ten goede.

Daarnaast kun je zelf ook een aantal maatregelen nemen om de veiligheid van je WordPress website te verbeteren. Enkele tips:

  • Heb je een WordPress website die al lang bestaat dan loop je het riscio dat de beheerder nog automatisch de naam admin heeft gekregen. Hackers weten dat ook. In een nieuwe installatie kies je zelf een naam voor de beheerder. Kies dus iets anders dan admin!
  • Gebruik wachtwoorden van een goede kwaliteit en wijzig deze regelmatig. WordPress helpt je bij het kiezen van een goed wachtwoord. Gebruik niet hetzelfde wachtwoord van al je toepassingen!
  • Het is mogelijk om bij de installatie van WordPress de tabelnamen te wijzigen. Standaard staan deze op wp_…, maar daar kun je op dat moment heel eenvoudig wpfeeex_… van maken, of wat je dan ook maar kiezen wilt. Achteraf wijzigen kan ook, maar is wat lastiger.
  • Werk WordPress en je plugins tijdig bij en zorg ten alle tijde voor een goede en volledige backup van je website én je WordPress database!
  • Themes en plugins die je niet gebruikt deactiveer je niet alleen, je verwijderd ze ook daadwerkelijk. Dat voorkomt dat een hacker alsnog toegang krijgt via een oude plugin waarvan de code niet meer is onderhouden.

Er valt overigens nog wel meer te doen dan alleen het bovenstaande, maar dit is in ieder geval een goed begin.

Wat is er nu concreet aan de hand?

Recent is er een nieuwe dreiging ontdekt, waarbij kwaadwillenden de ‘wordpress_logged_in’ cookie kunnen misbruiken om toegang tot je website te krijgen. Daarvoor moeten ze echter wel de data onderscheppen, wat vooral zou kunnen gebeuren op openbare netwerken. Echter ook een beveiligd Wifi netwerk is natuurlijk niet helemaal veilig. De afgelopen week is er behoorlijk gediscussieerd over dit onderwerp. Het punt is in ieder geval dat het gat nog niet gedicht is en WordPress beheerders er dus goed aan doen geen openbare netwerken te gebruiken. Overigens, iedereen die een beetje wat weet van beveiliging weet dat openbare wifi netwerken sowieso uit den boze zijn. Je weet nooit wat er met je gegeven gebeurt en of er mee gekeken wordt.

WordPress zal ongetwijfeld snel met een antwoord komen. Voor de regulier gebruikers die een beetje nadenken is er echter geen reden tot paniek.

Conclusie?

Is WordPress het best beveiligde CMS ter wereld? Ongetwijfeld niet. Is WordPress beter beveiligd dan een willekeurig maatwerk CMS? Ik weet zeker van wel, hoewel er ook daar uitzonderingen zullen zijn.

Wie om bedrijfstechnische redenen met WordPress werkt moet echter wel nadenken over beveiliging. Net zoals je dat als beheerder ook doet over je Microsoft servers, draadloze netwerk toegang en fysieke beveiliging. Het is nou eenmaal niet anders tegenwoordig, het is ‘part of the job’. Ben je een kleine zelfstandige? Dan zul je je of moeten verdiepen in deze onderwerpen of je besteedt het onderhoud en de beveiliging van je website uit. Hint: wij hebben hier een WordPress onderhoudscontract voor beschikbaar.

Was dit artikel nuttig?

Laat het ons weten en geef je rating!

Gemiddeld 0 / 5. Aantal stemmen: 0

Nog geen stemmen, wees de eerste die dit artikel waardeert!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *