WordPress. Wie kent het niet, zou je bijna zeggen. Met zo veel miljoenen websites die gebruik maken van dit mateloos populaire CMS, zijn er uiteraard ook veel kapers op de kust. Hackers en andere internetcriminelen jagen dagelijk op onvoldoende beveiligde websites om te kunnen misbruiken.
Hoe zorg je er voor dat jouw site niet het slachtoffer wordt? Een paar simpele tips helpen je op weg.
WordPress wordt gemaakt door een groep programmeurs. Die werken samen om een, voor het grote publiek, zo'n makkelijk mogelijk systeem te maken zodat iedereen zijn eigen website in elkaar kan knutselen. Een nobel streven en het vereist veel toeweiding.
Iedereen maakt wel eens een foutje. Gelukkig worden de meesten onderling al onderschept en worden potentiële risico's door collega-programmeurs tegengehouden. Soms sluipt er nog wel eens eentje doorheen. Dat is jammer, maar niet alles kan voorkomen worden.
Het fijne in zo'n geval is dat er voldoende mensen de kennis en kunde hebben om zo'n lek te dichten. Er wordt dan een patch uitgebracht, of een update. Het verschil tussen die twee is niet zo heel groot: een patch is specifiek gericht op het repareren van één veiligheidsrisico, met een update worden er een aantal dingen tegelijkertijd aangepakt waaronder dus dat lek.
Om de basis zo veilig mogelijk te houden, update je dus altijd de basis. Sterker nog, WordPress doet dit automatisch voor je, zo lang je het niet uit zet. Gebruik je de standaard instellingen, geniet je altijd van de meest up to date versie van die basis en kan je, op dat gebied, in principe niets gebeuren.
Wat WordPress zo populair maakt, is de flexibiliteit. Programmeurs over de hele wereld kunnen door middel van plug-ins extra functionaliteit toevoegen aan de basis. Dat kan zo simpel zijn als een contactformulier, maar ook zo uitgebreid als een webshop. Dat maakt WordPress juist zo'n fijn systeem om te gebruiken, want voor alles wat jij op jouw website wil, is er wel iets te krijgen.
Maar waar de basis geprogrammeerd wordt door een heel team, worden plug-ins vaak gemaakt door één enthousiasteling. Dat hoeft op zich natuurlijk geen probleem te zijn, maar je hebt wel een nadeel: er vindt geen controle plaats. Als je per ongeluk een haakje vergeet, of een wachtwoord niet versleutelt of een andere controle niet uitvoert, dan wordt dat niet opgemerkt voordat je de plug-in online zet.
Dat is dan ook precies de valkuil. Regelmatig lees of hoor je over hoe onveilig WordPress is, want er is weer een lek gevonden. Vaak is dit een onjuiste conclusie. Het gaat dan namelijk niet over een lek in die basis, maar in een plug-in. Doordat er in de plug-in zelf net iets niet goed gaat, ontstaat er een achteringang in je WordPress site en kan er bijvoorbeeld een nieuw admin-account aangemaakt worden. Niet goed!
Met thema's is het hetzelfde verhaal. Je wil natuurlijk een website die niet hetzelfde is als twintig miljoen anderen. Daarom kun je gemakkelijk thema's installeren binnen je WordPress site, die de hele site een andere look and feel geven.
Ook hiervoor geldt: de standaard WordPress thema's worden gebouwd en gecontroleerd door een team. Veel van de te downloaden thema's zijn ontwikkeld door één designer of ontwikkelaar. Met alle risico's van dien.
Dit wil natuurlijk niet zeggen dat een enkele programmeur zonder team per definitie slechte plug-ins of thema's maakt en publiceert. Vergissen is echter menselijk en er ontbreekt een controleslag door een paar 'vreemde' ogen.
Dat gezegd hebbende, hoe ga je dan goed om met al die potentiële achterdeurtjes?
Tijdens de opkomst van Windows en het internet zag je overal en nergens downloadsites verschijnen. De een nog betrouwbaarder ogend dan de ander, de ander een nog gevaarlijker of irritanter virus meeleverend dan de een. Inmiddels zijn we als gebruikers een stuk voorzichtiger geworden en installeren we niet zomaar iets bij ieder linkje wat we zien.
Binnen de WordPress-community kun je eigenlijk datzelfde principe toepassen als waar we de afgelopen jaren zo in getraind zijn. Installeer een thema of plug-in altijd vanuit de WordPress-collectie of van een andere vertrouwde leverancier, zoals ThemeForest. Kijk bij het uitzoeken van een download dan ook meteen naar de reputatie. Het aantal sterren samen met het aantal reacties wat die sterren heeft gegeven, zegt veel over de kwaliteit. Als je moet kiezen tussen een plug-in met minder dan 5.000 downloads waarvan vier mensen vijf sterren geven en een vergelijkbare plug-in met meer dan 100.000 downloads waarvan zevenhondertweeëntachtig gebruikers samen vier sterren geven, dan kies je natuurlijk voor die tweede.
Ten slotte controleer je ook nog of de plug-in of het thema werkt op jouw versie en wanneer deze voor het laatst is geüpdated. WordPress komt regelmatig met een update waar ontwikkelaars hun eigen toevoegingen op moeten aanpassen. Als er al meer dan een half jaar geen update meer is geweest van een plug-in of thema, is dat vreemd. Een jaar betekent vaak dat de ontwikkeling helemaal gestopt is. Vermijden is het devies.
Als je eenmaal tevreden bent met je website en de plug-ins en thema's dusdanig geconfigureerd zijn dat je met een gerust hart kunt uitloggen, dan begint de pret pas echt. Naast het genieten van je harde werk, log je natuurlijk ook regelmatig in om te kijken hoe veel bezoekers je website trekt én om een oogje in het zeil te houden. Via je WordPress dashboard kun je gemakkelijk je plug-ins en thema's updaten. Er is echt geen reden om dat niet te doen. Je logt in in je dashboard, klikt op het gele update bolletje en laat WordPress vervolgens al het lastige werk doen.
Doe dat overigens voor álle plug-ins en thema's die je geïnstalleerd hebt, niet alleen voor de paar die je actief gebruikt. Dit geldt dus ook voor je actieve thema, ook al is dit op jouw wensen afgestemd. Hiervoor wordt (als het goed is) altijd een zogenaamd 'child-theme' gebruikt, waardoor je ook je thema feilloos in je update-proces mee kan nemen.
Even terugkomen op de niet actief gebruikte thema's en plug-ins, die je vanaf nu dus wel iedere keer mee update. Waarom staan die er eigenlijk nog? Omdat je ze ooit uitgeprobeerd hebt, maar niet mooi, leuk of nuttig genoeg vond? Jammer genoeg zijn juist dit de boosdoeners voor het grootste gedeelte van alle gehackte websites.
En het grootste probleem is dan dat de in het vorige punt genoemde advies niet gevolgd wordt. Waarom zou je die updaten, als je ze toch niet gebruikt? Logische vraag. Maar als de buurjongen iets te enthousiast aan het oefenen is om de volgende Arjan Robben te worden en zijn gloednieuwe voetbal door jouw keukenraampje trapt, ga je het dan ook niet vervangen omdat je die toch nooit open zet? Of als het slot van je voordeur van gammeligheid en roest uit het houtwerk valt, laat je het daar dan ook maar bij omdat je toch altijd via de poort naar buiten en binnen gaat?
Nee dus. Daarom geldt hier ook voor: verwijderen. Weghalen. Sluit die deur. Blokkeer dat raam.
Let op: dit geldt dus óók voor de standaard door WP meegeleverde onderdelen, zoals Akismet en de twenty-number thema's. Er is totaal geen reden om ze te bewaren als je ze niet gebruikt.
Er wordt veel afgegeven over WordPress. Het zou onveilig zijn. Te slecht beveiligd. Een doorn in het oog van professionele website-bedrijven.
Dat is het niet. Het is juist een systeem waardoor die bedrijven sneller en beter websites kunnen maken voor hun klanten. Ja, die klanten kunnen het ook zelf, maar dat hoeft voor de bedrijven geen probleem te zijn.
En onveilig? Nee, dat is het zeker niet. Je moet wél weten hoe je er mee om moet gaan. Een soort rijbewijs voor WordPress. En dat heb je nu.