Dat is nogal eens de vraag bij de start van de ontwikkeling van een website. Ja, WordPress is best veilig. WordPress is 99,9% veilig. Helemaal veilig is WordPress niet omdat er periodes kunnen zijn dat de website gehackt kan worden. Gelukkig kun je er zelf veel aan doen om WordPress veilig te houden, en daar gaat deze blog over.
Hoe ontstaat onveiligheid?
Wordpress is open source software voor het web. De WordPress community stelt het beschikbaar, zodat het door iedereen kan worden gebruikt. WordPress wordt een aantal keren per jaar vernieuwd, waarbij er nieuwe functionaliteit beschikbaar komt en onveiligheden worden weggewerkt, gepatcht in vakjargon. Als je geen updates doorvoert, dan veroudert WordPress en neemt de kans op een hack toe.
WordPress kan door developers uitgebreid worden met extra functionaliteit (plugins). En zo ontstaat een website die is samengesteld uit plugins van verschillende developers. De ene developer heeft meer ervaring dan de andere. Dat is terug te zien in de kwaliteit van de code, en daarmee in de veiligheid. Het is zaak om vooral plugins te gebruiken van gerenommeerde developers.
WordPress.org verwijdert plugins die langer dan twee jaar niet zijn geüpdatet. Dat voorkomt veel problemen, maar het is geen garantie dat elke plugin veilig is. Ervaring van de webdesigner met plugins is ook belangrijk. Uit het aantal updates is bijvoorbeeld af te leiden of een plugin regelmatig wordt bijgewerkt door de developer. Dat laat zien dat de developer nog actief is en verkleint de kans op lekken. Het is een praktische insteek om vooral met betaalde plugins te werken. Daar zitten teams van programmeurs achter, die actief blijven en er alles aan zullen doen om plugins veilig te houden.
Onveiligheid kan ook ontstaan vanuit de webhosting. De wachtwoorden voor de verbinding met de website (ftp) en de database moeten vanzelfsprekend sterk en verschillend zijn (minimaal 8 tekens met twee hoofdletters, kleine letters, cijfers en bijzondere tekens). Beveiligingssoftware op de webserver helpt om in een vroeg stadium te constateren of een website gehackt is. Met deze signalen kan de hack snel worden opgepakt.
Common Good Practice
Uit onderzoek naar de oorzaken van gehackte website door WordFence blijkt dat 70% van hacks voorkomen had kunnen worden door de plugins en thema’s up to date te houden. Hoe simpel kan het zijn, maar het moet wel gebeuren
Het is onze ervaring, dat met 2 volledige updates per jaar, er in de praktijk geen hacks zijn. Voor de monitoring van aanvallen op de website is het waardevol om de plugin WordFence op je website te installeren. Je krijgt hiermee een flinke set aan tools tot je beschikking om je website veilig te houden. De meldingen van WordFence zorgen ervoor dat je snel tot actie als er een gevaar dreigt. Deze Common Good Practices hebben wij ondergebracht in de WordPress onderhoudsabonnementen.
Niet 100% veilig, maar wel 99,9%
Een WordPress website is bijna altijd veilig als je regelmatig WordPress, plugins en thema’s update. 100% veiligheid is helaas niet te geven.