WordPress, of toch maar niet…

WordPress is een van de populairste contentmanagementsystemen (CMS) die er bestaan om websites mee te maken. Van alle 1,83 miljard websites ter wereld wordt maar liefst 42% procent gebouwd met WordPress. Klinkt goed, toch? Nou, eigenlijk niet. WordPress is namelijk niet alleen populair onder bloggers, webshops en ontwerpbureau’s, maar ook onder hackers.

Date

05 November 2021

Categorie

IT
Auteur
Bas Hendriks
Front- en Back-end Developer
Bron: Sucuri 2019 Hacked Report

Bron: Sucuri Hacked Report 2019

Laten we maar met de deur in huis vallen: ieder jaar worden er honderdduizenden WordPress sites gehackt. Website security monitor Sucuri heeft in 2019 een overzicht gemaakt van de verschillende CMS-en en de aantallen infecties met malware. Uit hun data kwam naar voren dat 94,23% van alle infecties plaatsvonden in WordPress-systemen. Dat kan bijvoorbeeld liggen aan onveilige wachtwoorden, maar vaak is het te wijten aan out of data software en onveilige codes.

Sinds 2014 is er voor 36 ernstige veiligheidsproblemen in WordPress gewaarschuwd. 

- Nationaal Cyber Security Centrum (NCSC)

Hoe dat kan?

Een van de redenen waarom WordPress zo enorm populair is, is omdat er ontelbaar veel extensies beschikbaar zijn die je kunt gebruiken om je pagina’s vorm te geven of om toffe functionaliteiten aan je site toe te voegen. Je kunt het zien als een enorme winkel vol met kant-en-klare thema’s en plugins waarmee je in een handomdraai een website in elkaar kunt zetten. Die extensies worden gemaakt door programmeurs. Hoewel dit WordPress wel erg handig in gebruik maakt, zijn veel gebruikers zich vaak onvoldoende bewust dat een extra extensie ook meteen een mogelijke opening is voor een kwaadwillende. 

Er zijn een aantal manieren waarop het fout kan gaan: 

  1. Het kan voorkomen dat een plugin of thema een lek heeft - ook wel een bug genoemd. Als de desbetreffende extensie door een relatief klein team bijgewerkt wordt, loop je het risico dat niemand doorheeft dat die bug er überhaupt is. Het lek kan dan niet worden gedicht en jij loopt het risico dat je site gehackt kan worden. 

  2. Het kan ook zijn dat de developer die het thema of de plugin heeft gemaakt, er niet meer aan werkt maar dat de extensie nog wel gebruikt kan worden. De extensie wordt dus niet meer bijgewerkt en in de toekomst ook niet meer ondersteund. Als je de plugin niet meer kunt updaten, loop je meer risico. De plugins en thema’s van WordPress zijn namelijk, net als WordPress zelf, onderhevig aan beveiligingsupdates die op je site moeten worden toegepast. Vergelijk het met een Windows of iOS besturingssysteem op jouw computer; elk jaar komen er diverse nieuwe updates uit om het programma goed te laten fungeren en de beveiliging aan te scherpen. 

  3. Het derde risico doet zich voor als de developer zelf de bug heeft gevonden en het snel heeft oplost, maar gebruikers vergeten om de update door te voeren. Als je de thema’s, plugins en versie van WordPress die je gebruikt niet up-to-date houdt, wordt je site kwetsbaar. Over het algemeen doet het beveiligingsteam van WordPress goed werk als het gaat om het snel oplossen van gevaarlijke problemen, maar als je zelf de nieuwste versie dus niet activeert loop je een groter risico om gehackt te worden. Sommige plugins hebben zelfs wekelijks (!!) nieuwe updates. Een behoorlijke taak dus om daar bovenop te zitten.

Bron: WordPress.org Statistics

Update gemist? Opletten! 

Dat klinkt misschien als een kleinigheidje, maar uit de statistieken van WordPress wordt al gauw duidelijk dat slechts 48% van alle WordPress sites op dit moment is geüpdatet naar de meest recente versie. Dat maakt veel sites dus onnodig kwetsbaar voor hackers. Bovendien is het ook nog eens zo dat wanneer je de nieuwste versie van WordPress update, dat niet automatisch betekent dat de plugins en thema’s ook mee updaten. Er zijn dus meerdere dingen om de gaten te houden. Van dat belang is niet iedereen op de hoogte. Bovendien is het best wat werk om in de gaten te houden wanneer je wat moet updaten als jouw site op tientallen plugins werkt. 

Ondanks die risico’s zijn er veel externe ict-bedrijven of communicatiebureaus die websites maken met WordPress. Ook voor de overheid, blijkt uit een artikel van Trouw. Trouw liet een internetspecialist onderzoeken welke softwaresystemen overheden gebruiken voor hun websites. Uit zijn onderzoek blijkt dat er van de 165 van de 1148 sites van de Rijksoverheid die hij op afstand kan detecteren, op WordPress draaien. Dat druist tegen het advies van het Nationaal Cyber Security Centrum (NCSC) in. De NCSC heeft namelijk sinds 2014 voor 36 ernstige veiligheidsproblemen in WordPress gewaarschuwd. 

Veilige webomgeving zonder zorgen

Wanneer je je verdiept in het laten maken van een website, vliegen al snel de pluspunten van WordPress je om de oren. Waarom is iedereen dan zo enthousiast? Omdat het je de mogelijkheid geeft om heel eenvoudig zonder codes een website te maken. Een ‘een kind kan de was doen-website’. En daar ligt ook echt de kracht van WordPress! Maar waar veel gebruikers zijn, ligt een mooie uitdaging om op zoek te gaan naar een lek. Eén goeie aanval, kan dan veel schade aanrichten bij miljoenen websites. We kunnen dus wel stellen dat de veiligheid van WordPress in gebreke blijft. Dan is er nog het punt dat er bij de extensies van WordPress vaak een hoop extra bagage komt kijken. Er ontstaat een onsamenhangend geheel omdat je website gevormd wordt door opties uit verschillende hoeken. Het ene is niet op het andere afgestemd. Dat maakt dat je website achter de schermen draait op een inefficiënte code. Met andere woorden: de snelheid van je website daalt. En laat Google nou juist websites afrekenen op traagheid... 

We zouden je nu natuurlijk tien tips kunnen geven om je WordPress-site beter te beveiligen, maar eerlijkheid gebiedt ons te zeggen dat we geen voorstander zijn van WordPress. Je wilt immers als organisatie geen risico’s lopen en je geen zorgen hoeven maken om de veiligheid van je webomgeving. Daarom werken onze IT’ers voornamelijk met het CMS van Statamic. Bij Statamic is er namelijk geen data die gehackt kan worden. Statamic slaat de inhoud en configuraties op in verschillende soorten bestanden. Deze bestanden zijn in te zien en te bewerken, zonder dat er een database nodig is. Omdat er geen database aanwezig is, kan die ook niet gehackt worden. Zo simpel kan veiligheid zijn!

Auteur
Bas Hendriks
Front- en Back-end Developer

Our superhero

Onze front- en back-end developer Bas realiseert jouw digitale dromen. Als student ICT & Media Design leerde hij het beste van twee werelden: hij bezit uitstekende codeer skills en heeft oog voor detail en design. Daarmee fungeert hij als de verbindende schakel tussen de developers en designers van Appart. Hij is kritisch op zijn eigen werk, maar ook op de input van de klant. Werkt een andere oplossing beter, dan steekt Bas dat niet onder stoelen of banken. Wanneer hij niet met zijn hoofd in de computer zit, is hij graag sportief bezig. Hij gooit in de sportschool met gewichten, maakt kilometers op zijn mountainbike of trotseert de sneeuw op zijn snowboard. In de zomer vind je hem met zijn vrienden op een festival. Wat Bas ook doet, je bent ervan verzekerd dat hij het doet met volle overtuiging en een lach op zijn gezicht. 

Aantrekkelijkste werkgever van Roermond 2021