B. L. O. G.
Belangrijke Literatuur, Onze Gezelligheid

 

Belletje trekken aan de achterdeur - WPsecurity deel 1

WordPress is hartstikke leuk. Echt waar, voor heel veel mensen is het een uitkomst. Developers die liever niet designen, designers die het developen liever aan hun collega's overlaten en gebruikers van alle niveaus. Helaas is dat nu net ook de valkuil. Ook voor hackers is het leuk. Dat vinden wij, als hostingprovider, dan weer niet leuk.

In enkele artikelen brengen we wat kleine trucjes onder de aandacht om jouw WordPress site op een zo'n gemakkelijk mogelijke manier toch gewoon veilig en bruikbaar te houden. In deze editie een simpel maar effectief onderwerp: hoe ga je om met je thema's en plug-ins.

Wat zijn het

Met thema's en plug-ins zorg je dat jouw website precies doet wat jij wilt. Een contactformulier maken bijvoorbeeld, of wisselende afbeeldingen op de startpagina. Twee kolommen in plaats van één of alle pagina's onder elkaar.

Als je naar ze kijkt puur op een beveiligings-niveau en het dan vergelijkt met een huis, zijn het eigenlijk allemaal achterdeuren of extra ramen. Iedere plug-in en ieder thema biedt een nieuwe, mogelijke ingang tot je website. Eentje die je dus wel goed op slot moet doen als je de virtuele deur achter je dicht trekt.

Een onderzoekje

Omdat we eens wilden weten hoe ernstig dit probleem nu daadwerkelijk is, hebben we ons shared hostingplatform eens onder de loep genomen. De resultaten hiervan zijn eigenlijk best zorgwekkend.

Want als je je bedenkt dat een website maar één actief thema kan hebben (op je muur zie je immers ook maar één laag verf of behang), maar er gemiddeld vijf thema's per site geïnstalleerd staan, dan klopt er iets niet. Of dat WordPress out-of-the-box best al wat functionaliteit biedt en er met een plug-in of vijf tot tien zo'n beetje alles toch wel mogelijk is, waarom zijn er dan gemiddeld zeventien plug-ins geïnstalleerd?

We hebben zelfs sites gezien met meer dan honderd thema's - het record is vierhonderdvierentachtig! - en tachtig tot negentig plug-ins - met ook hier vierhonderdzestig als record.

Installeren

Tijdens de opkomst van Windows en het internet zag je overal en nergens downloadsites verschijnen. De een nog betrouwbaarder ogend dan de ander, de ander een nog gevaarlijker of irritanter virus meeleverend dan de een. Inmiddels zijn we als gebruikers een stuk voorzichtiger geworden en installeren we niet zomaar iets bij ieder linkje wat we zien.

Binnen de WordPress-community kun je eigenlijk datzelfde principe toepassen als waar we de afgelopen jaren zo in getraind zijn. Installeer een thema of plug-in altijd vanuit de WordPress-collectie of van een andere vertrouwde leverancier, zoals ThemeForest. Kijk bij het uitzoeken van een download dan ook meteen naar de reputatie. Het aantal sterren samen met het aantal reacties wat die sterren heeft gegeven, zegt veel over de kwaliteit. Als je moet kiezen tussen een plug-in met minder dan 5.000 downloads waarvan vier mensen vijf sterren geven en een vergelijkbare plug-in met meer dan 100.000 downloads waarvan zevenhondertweeëntachtig gebruikers samen vier sterren geven, dan kies je natuurlijk voor die tweede.

Ten slotte controleer je ook nog of de plug-in of het thema werkt op jouw versie en wanneer deze voor het laatst is geüpdated. WordPress komt regelmatig met een update waar ontwikkelaars hun eigen toevoegingen op moeten aanpassen. Als er al meer dan een half jaar geen update meer is geweest, is dat vreemd. Een jaar betekent vaak dat de ontwikkeling helemaal gestopt is. Vermijden is het devies.

Bijhouden

Als je eenmaal tevreden bent met je website en de plug-ins en thema's dusdanig geconfigureerd zijn dat je met een gerust hart kunt uitloggen, dan begint de pret pas echt. Naast het genieten van je harde werk, log je natuurlijk ook regelmatig in om te kijken hoe veel bezoekers je trekt en om een oogje in het zeil te houden. Via je WordPress dashboard kun je gemakkelijk je plug-ins en thema's updaten. Er is echt geen reden om dat niet te doen. Je logt in in je dashboard, klikt op het gele update bolletje en laat WordPress vervolgens al het werk doen.

Doe dat overigens voor álle plug-ins en thema's die je geïnstalleerd hebt, niet alleen voor de paar die je actief gebruikt. Dit geldt dus ook voor je actieve thema, ook al is dit op jouw wensen afgestemd. Hiervoor wordt (als het goed is) altijd een zogenaamd 'child-theme' gebruikt, waardoor je ook je thema feilloos in je update-proces mee kan nemen.

Verwijderen

Even terugkomen op de niet actief gebruikte thema's en plug-ins, die je vanaf nu dus wel iedere keer mee update. Waarom staan die er eigenlijk nog? Omdat je ze ooit uitgeprobeerd hebt, maar niet mooi, leuk of nuttig genoeg vond? Jammer genoeg zijn juist dit de boosdoeners voor het grootste gedeelte van alle gehackte websites.

En het grootste probleem is dan dat de in het vorige punt genoemde advies niet gevolgd wordt. Waarom zou je die updaten, als je ze toch niet gebruikt? Logische vraag. Maar als de buurjongen iets te enthousiast aan het oefenen is om de volgende Arjan Robben te worden en zijn gloednieuwe voetbal door jouw keukenraampje trapt, ga je het dan ook niet vervangen omdat je die toch nooit open zet? Of als het slot van je voordeur van gammeligheid en roest uit het houtwerk valt, laat je het daar dan ook maar bij omdat je toch altijd via de poort naar buiten en binnen gaat?

NB: dit geldt dus óók voor de standaard door WP meegeleverde onderdelen, zoals Akismet en de twenty-number thema's. Er is totaal geen reden om ze te bewaren als je ze niet gebruikt. 

Conclusie

WordPress is harstikke leuk. Voornamelijk omdat je zo veel zelf kunt doen, ook al ben je geen techneut. Maar, net zoals bij zo veel dingen, is het altijd verstandig om logisch na te blijven denken. Dus, als je vandaag of morgen nog eens inlogt in je dashboard, check dan eens even die plug-ins en haal de digitale bezem eens door je thema's. Daar wordt iedereen beter - en blijer - van.