Featured image for WordPress beveiligen: van A-tot-Z in category BEVEILIGEN

WordPress beveiligen: van A-tot-Z

/3 Reacties/in , , , ,

Admin was jarenlang de standaard gebruikersnaam bij nieuwe WordPress installaties. Velen veranderden dit niet waardoor duizenden WordPress websites gehackt zijn.
En nog steeds wordt die username te vaak gebruikt!

Backdoors zorgen ervoor dat een hacker via 1 lijn code weer in je WordPress website kan komen.

Code is vaak geschreven in php en daarna gecodeerd naar base64 zodat de server het niet herkent.

Dagen achter elkaar spam versturen zorgt ervoor dat je website op de spamlist komt

Errors op je site zonder dat je aanpassingen hebt gedaan? Dat kan een hacker geweest zijn maar het gaat ook wel eens verkeerd tussen WordPress, plugins en thema’s tijdens automatische updates

Filezilla is het meest gebruikte programma om je serverbestanden mee te beheren. Zo kun je op wijzigingsdatum kijken om te zien welke bestanden door een hacker zijn aangepast.

Gegevens zoals je wachtwoord gaan gecodeerd de database in, die gegevens kun je niet meer uitlezen. (Wel aanpassen.)

Hackers schrijven scripts en laten die op internet rondgaan, zo worden duizenden websites aangevallen. Ze houden zich nauwelijks bezig met het aanvallen van specifieke websites.

Illegale plugins worden vaak voorzien van backdoors en spamscripts.

Javascript wordt veel gebruikt voor overschrijven van informatie in je website. Bijvoorbeeld zodat alle links ineens vervangen worden door links naar websites waar de hacker geld aan verdiend. Die code is soms maar heel kort en hoeft niet eens in je thema of templates zelf te zitten. Daardoor is de code soms lastig te vinden.

Klanten die reclame zien of een website waar een error te zien is, zullen die website meestal niet opnieuw bezoeken op een later tijdstip. Ze Googlen direct naar een andere site die ook soortgelijke diensten of producten aanbied.

Leren om hacks te verwijderen en WordPress te beveiligen kost maanden. Dit aangezien hackers wekelijks pogingen doen om met slimme scripts in je WordPress website te komen en er duizenden scripts actief zijn en er iedere dag bij komen.

Matt Mullenweg is de oprichter van WordPress. Hij ontwikkelde WordPress op zijn 19e.

Notepad++ en zelfs de standaard versie van Notepad in Windows zijn tools waarmee een hacker een hackscript kan schrijven. Door die eenvoud zijn er zoveel scripts in omloop.

Open source is de reden dat er zoveel WordPress websites online staan. Het CMS is gratis te gebruiken en iedereen mag er plugins en thema’s voor ontwikkelen.

Plugins zijn gratis te downloaden van WordPress.org maar ook te koop bij bedrijven. De plugins die te koop zijn noemen ze Premium plugins.

Queries zijn aanvragen op de server. Met honderden queries op diverse IP adressen wordt een ddos aanval opgezet. Ithemes security blokkeert diverse queries en limiteert ook het aantal queries die een IP adres mag doen.

Reacties op je website kunnen links bevatten met een injectie. Als je daarop klikt terwijl je ingelogd bent als administrator, voer je zomaar een commando uit tegen je eigen website.

Spam die jij in je mail inbox krijgt komt voor 80% van websites af die gehackt zijn.

Templates zoals de page template en de header template worden vaak geïnjecteerd met een reclame-link. Zo is die reclame-link direct op elke pagina van je website zichtbaar.

Uploads mappen zitten vaak vol met spam bestanden.
Dit komt omdat iedere website standaard een upload map heeft die door de server en WordPress beschreven mag worden. Dit is zelfs essentieel als je de website en plugins wilt updaten en afbeeldingen toe wilt voegen. Hackers maken graag gebruik van die mappen. De jaartallen en maanden staan er ook standaard in. Kijk daar eens als je van een gehackte website af wilt komen!

Verwijder plugins die je niet gebruikt. Ook ge-deactiveert zijn ze nog beschikbaar op de server wat voor beveiligingsproblemen zorgt.

WordPress is een zeer veilig en up-to-date systeem. Het gebruik van slechte plugins en thema’s zorgen voor de problemen.

Xss is de afkorting voor Cross Site Scripting, 1 van de grote benamingen voor lekken in websites. Waarom je Cross Site Scripting met X schrijft? Dat is omdat CSS (Cascading Style Sheets) al de afkorting CSS in bezit heeft.

Yoast Seo is een WordPress plugin gemaakt door Joost van der Valk. Een Nederlandse man. Zijn plugin is wereldwijd bekend en wordt door duizenden businessites gebruikt.
Plugins zoals Yoast Seo worden regelmatig geupdate en blijven daardoor veilig.

Zelf kun je de WordPress website beveiligen als je verstand heb van de server, de plugins, updates. Al die informatie is gratis te lezen op WPbeveiligen!

 

Hopelijk heb je meer geleerd over het beveiligen van WordPress, of heb je leuke nieuwtjes geleerd.

WordPress beveiligen gaat nog een stuk verder, dat zullen we je besparen in dit artikel. Wil je meer lezen? Breng dan geregeld een bezoekje op onze WordPress beveiligen artikelpagina.

Vond je dit artikel leuk of leerzaam? Deel het met andere zodat ze ook meer te weten komen over WordPress beveiliging!

Featured image for Onder de loep: Acunetix WordPress beveiliging in category BEVEILIGEN

Onder de loep: Acunetix WordPress beveiliging

/2 Reacties/in , ,

Wat is Acunetix?

Acunetix is een beveiligings plugin voor WordPress waarmee hackers en schadelijke injecties tegen gehouden kunnen worden.

Acunetix kun je downloaden in de WordPress plugin’s area.

Waar komt de naam Acunetix vandaan?

Op moment van schrijven is er geen heldere uitleg op internet te vinden wat de naam betekent. Acunetix is geen bestaand woord en de Google translator kent het ook niet.

Wat Acunetix belooft

In grote lijnen spreken ze over het verbergen van de WordPress core informatie die hackers gebruiken/nodig hebben voor het hacken.
Denk hierbij aan het verbergen van de WordPress versie, de errors en de admin informatie, wat handig kan zijn als je veel personen hebt die een editor of schrijvers rol hebben.
En over het checken en weergeven van instellingen die veranderd moeten worden.

Ook spreken ze over het beheren van wachtwoorden, schrijfrechten en de database. (Na installatie en onderzoek blijken deze functies erg beperkt te zijn.)

Tot nu toe niet veel anders dan wat Ithemes Security en Wordfence en anderen doen.

De “bijzondere” features van Acunetix

Het idee is niet geheel onbekend maar het is een nette manier om weer te geven hoe het ervoor staat met de website.
Een helder “stoplicht” systeem
stoplicht systeem acunetix

Voor de rest zijn er op moment van schrijven weinig bijzondere functies.

De installatie van Acunetix

Als je WordPress gebruikt en de reguliere plugin installer valt iets op, Acunetix heeft z’n plugin ogenschijnlijk 2x beschikbaar. Met dezelfde functies en dezelfde data.

Tevens hebben ze erg weinig recensies terwijl ik weet dat ze al een lange tijd meedraaien in WordPress wereld.

Acunetix

Hoe Acunetix in de praktijk werkt

Na installatie krijg je het dashboard te zien met de eerder genoemde stoplichten weergave, en opvallend genoeg in de 2e tab mogelijkheden voor het maken van een database backup en het aanpassen van de prefix. Het aanpassen van de prefix is niet aan te raden voor sites die al een tijdje bestaan, aangezien de plugins erg gehecht zijn aan de huidige prefix en er grote kans bestaat dat ze dan niet meer werken.

De volgende tabs tonen een bestandsscan, die weergeeft of er bestanden aangepast zijn.
Er is een “Live traffic” tab waar momenteel geen data in verschijnt. Laten we uitgaan van het positiefste en zeggen dat de users bijgehouden worden en de aanvalspogingen. Al is het nu nog erg leeg en schijnt er volgens de plugin “niets” te gebeuren.

Je hebt een settings tab waar je een stuk of 15 opties kunt aanvinken. En een blog tab.
Het blog tab waar ze de artikelen tonen die ze op hun website hebben geschreven, bevestigen behoorlijk het gevoel dat deze plugin meer reclame is dan een waardevolle beveiligingsplugin.

Wat we graag zouden zien bij Acunetix

Meer mogelijkheden, of meer informatie over de activiteiten die de plugin onderneemt om je WordPress te beschermen.

De settings page is erg minimalistisch momenteel.

Acunetix Settings

Conclusie, Acunetix of een andere plugin?

Acunetix is erg beperkt, wat er in de achtergrond nog gebeurt is niet te zeggen maar zoals het eruit ziet is dit geen aanrader.

Een dikke NEE wat ons betreft.

Featured image for FTP via de admin, het kan! in category BEVEILIGEN

FTP via de admin, het kan!

/3 Reacties/in , ,

Af en toe kom je van die bijzondere plugins tegen. Plugins die je leven net even een stukje makkelijker maken.

Zo ook CYSTEME Finder Download  de plugin (zip bestand).

De plugin heet “CYSTEME Finder, a file explorer” en het is een hele nette plugin die je een kijkje op de server laat nemen zonder dat je een FTP programma zoals Filezilla nodig hebt.

Zien welke bestanden er op de server staan
file editor

Bestanden kopieren, verplaatsen, verwijderen

Je kunt de bestanden niet alleen zien maar net zoals bij een regulier FTP programma kun je ze aanpassen, copieren, verwijderen

file-server-wordpress

Bestanden aanpassen

In WordPress kun je normaal gesproken alleen bij de theme en plugins om die aan te passen, maar met deze plugin kun je zelfs je WordPress core files aanpassen.

Dat is handig als je backdoors wilt verwijderen!

bestanden aanpassen via het admin

 

Veiligheid

Let op! De plugin kan veel, maar het is NIET aan te raden om deze standaard op de server te laten staan.

Installeer en gebruik de plugin wanneer je het nodig hebt, maar geef hackers en hackscripts geen mogelijkheden om deze of een verouderde versie te gebruiken om je server vol te zetten met bestanden!

Zo geld dat voor iedere plugin die je weinig of eenmalig gebruikt, verwijder die na gebruik. Ook al is de plugin niet geactiveerd, dan is de plugin nog wel toegankelijk op de server en dus voor hackers!

Featured image for Iedere maand 10-20 plugins lek in category BEVEILIGEN

Iedere maand 10-20 plugins lek

/4 Reacties/in , , ,

Iedere maand komen er 10-20 plugins bij die lek zijn. Lek in de zin dat hackers en hackscripts de plugin kunnen gebruiken om toegang te krijgen tot je server of tot WordPress.

Nog deze maand zijn Akismet, Jetpack, Ninja forms toegevoegd aan de officiele lijst van WPscan.

Interessant als je bedenkt dat Akismet ontwikkeld is om comment spam tegen te houden!

Dit betekent overigens niet dat deze plugins direct verwijderd moeten worden, ze worden ongetwijfeld ge-update door de ontwikkelaars.
Zorg er dus voor dat je een nieuwere versie hebt van de plugin.

Wat doe je ertegen?

Je kunt moeilijk elke dag in de plugin lijst kijken om te zien of de door jou gebruikte plugins misschien een lek hebben.

Enkele stappen die je kunt ondernemen

  1. Minimaliseer het aantal plugins dat je gebruikt
  2. Update de plugins
  3. Installeer een beveiligings plugin

Deze stappen moet je ondernemen voordat je website gehackt is.

Een plugin updaten via de WordPress updater zorgt er niet voor dat plugins die lek geweest zijn direct virus-vrij zijn.

Als je website al spam verstuurt door een lekke plugin

Dan kun je de gehele WordPress website op de server nakijken op spam bestanden. Dit wordt vaak op diverse plekken gezet.. als een virus.

Laat je WordPress website herstellen en beveiligen op als je vermoed dat je WordPress website gehackt is of spam verstuurt!

Featured image for De broncode verraad je WordPress website in category BEVEILIGEN

De broncode verraad je WordPress website

/5 Reacties/in ,

De broncode van een website is voor iedereen zichtbaar, in veel browsers kun je op F12 drukken of met de rechter-muis-klik de broncode tonen van een website.

broncode wordpress

Wat is de broncode?

De broncode is de ruwe variant van de website zonder opmaak. De broncode toont geen php maar wel de output daarvan.

De broncode toont per keer slechts die ene pagina waarvan je de broncode opvraagt. Maar er zijn programma’s die de broncode van de gehele website kunnen downloaden.

Wat verraad de broncode over WordPress?

De broncode van een standaard WordPress installatie verraad de versie van WordPress.

meta generator wordpress

Bij het hacken van een WordPress is het weten met welke versie je te maken hebt 1 van de belangrijkste punten.

Maar er zijn meer bronnen in de broncode zichtbaar die je laten weten welke zwakheden je WordPress website heeft..

Diverse plugins laten graag wat reclame achter..

meta generator plugin

En helaas is de theme ook gemakkelijk te vinden in de broncode, waardoor hackers kunnen kijken of die theme exploits bevat.

versie wordpress

Wat kan je doen tegen de open broncode?

De broncode zal er altijd zijn, zichtbaar voor iedere bezoeker en het belangrijkste: zichtbaar voor Google. Google leest de broncode van je website en aan de hand van die informatie bepaalt Google of je website interessant is voor bezoekers.

Het is van belang dat je een heldere broncode hebt waarbij de informatie van je website de grootste speler is.

Er zijn plugins die de broncode voorzien van belangrijke informatie zoals de titel van de pagina, de beschrijving die Google kan tonen en links naar relevante artikelen en pagina’s die bezoekers en Google ook kunnen bezoeken.

Kan WPbeveiligen iets doen tegen de broncode?

De informatie die de broncode weggeeft kan worden aangepast. Door middel van filters kan gevoelige informatie zoals de WordPress release en de plugins die gebruikt worden verborgen zodat je het hackers en hackbots moeilijker maakt om je WordPress te hacken.

Featured image for Mijn WordPress website bevat malware?! in category BEVEILIGEN

Mijn WordPress website bevat malware?!

/1 Reactie/in , ,

Dat is nu het allerlaatste wat je wilt zien als je de website opent!

Hoe kan de website malware bevatten?

Wanneer je WordPress website verouderde plugins of thema’s heeft, of WordPress niet up-to-date is, loop je het risico dat bots je website kunnen besmetten. Zelfs bij nieuwe plugins komt het voor.

Hoe kom ik van deze melding af?

Je website moet volledig schoongemaakt worden. Dit betekent dat alle malware (hackers code) van je website verwijderd moet worden.

Wanneer je 100% zeker bent dat de website clean is, kun je een herkeuring aanvragen bij Google.

Hoe voorkom ik dat het weer gebeurd?

Het is belangrijk dat je website niet alleen schoongemaakt wordt van alle bestanden/malware maar ook beveiligd wordt. Er zijn diverse manieren om binnen te komen voor bots en die open deuren moeten gesloten worden.

Laat je website door WPbeveiligen!

 

Featured image for Mijn WordPress website is alweer gehackt?! Hoe kan dat? in category BEVEILIGEN

Mijn WordPress website is alweer gehackt?! Hoe kan dat?

/3 Reacties/in , ,

Het komt veel voor, je hebt WordPress net nagekeken en de gehackte bestanden verwijderd en toch ben je na enkele dagen weer terug bij af omdat de website weer spam verstuurt.

Ik als beveiliger van WordPress websites, ken de trucjes zo onderhand die gebruikt worden door hackers om je om de tuin te leiden.

Als je mij inschakelt, til ik het opschonen van de website en het beveiligen naar een hoger niveau door zowel de backdoors en de exploits op te lossen.

Dit kun je niet verwachten van je huidige WordPress programmeur die je website heeft ontworpen of geprogrammeerd.

Het beveiligen is een specialisme waar je 7 dagen in de week mee bezig moet zijn om op de hoogte te blijven van de nieuwste trucs die hackers gebruiken.

Dat gezegd hebbende is het wel interessant om te kijken naar de trucs die hackers toepassen om je WordPress keer-op-keer te hacken.

1e basisfeit: Een hacker schrijft eenmalig een script waar hij weken op zit te coderen. Een script dat een nieuw lek of een bekende functie van WordPress gebruikt.

Het script zal zichzelf naar meerdere bestanden kopiëren en zal de website open zetten voor her-infectie wanneer je het hebt verwijderd.

Tevens zal het script de server waarop het staat, gebruiken om andere websites te vinden waar het hetzelfde trucje weer herhaalt.

Enkele manieren waarop een hack keer-op-keer terug kan komen

  1. Het bestand dat spam verstuurt is redelijk gemakkelijk te vinden, en dus schrijft de hacker een functie zodat het spam-bestand periodiek opnieuw aangemaakt wordt. Denk bijvoorbeeld aan 1x per 7 dagen. Of soms wel elke 24 uur. Wanneer jij dit probleem opgelost denkt te hebben, heb je dus alleen het gevolg aangepakt maar niet de oorzaak.
  2. De hacker heeft een functie geschreven waarmee het bestandje een nieuwe gebruiker aanmaakt met administratie rechten. Wanneer je het probleem opgelost denkt te hebben maar geen idee hebt dat die gebruiker in de database is aangemaakt, gebruikt een geautomatiseerd script van jou of een andere server de gebruikers login om weer info op de server te plaatsen.
  3. Elk bericht en pagina wordt voorzien van een stukje code (inn-content) die je alleen ziet als je de tekst-editor van wysiwyg afhaalt en de tekst versie toont. Kortom als je 100-200 nieuwsberichten hebt en elke bevat een stukje code.. dan kun je het bestand op de server aanpakken maar staat het toch al op elke pagina.
  4. De hack toont zich slechts 1x per browsersessie. Kiekeboe! Wanneer je denkt dat je het probleem hebt opgelost, is het alleen zo dat de uitwerking van het hackbestand zich niet meer laat zien in je browser. Maar iedere nieuwe bezoeker zal het wel zien. Dit kan in de vorm van een link zijn, een frame over je huidige pagina heen of door een poging te doen tot het plaatsen van een virus bestand voor de computer.

Dit zijn enkele redenen waarom jouw hack steeds terug komt ook al heb je de hackt (dacht je) verwijderd.

Dit zijn slechts 4 manieren, maar hackers kennen veel meer trucs die ik hier niet ga uitleggen. Maar je begrijpt nu wel waarom je het beste een specialist op de website kan zetten als je ECHT een goedwerkende schone website wilt hebben.

 

Featured image for Welke plugins je veilig in 2016 kunt gebruiken in category BEVEILIGEN

Welke plugins je veilig in 2016 kunt gebruiken

/2 Reacties/in , , ,

Enkele waardevolle plugins die goed up-to-date gehouden worden

  1. Yoast seo – voor het beheren van je Beschrijving en Titel in Google
  2. Ithemes Security – Voor het beveiligen van je WordPress (Deze plugin heeft de afgelopen maand 3 nieuwe releases gelanceerd! Over up-to-date gesproken)
  3. ACF – Advanced custom fields. Hiermee kun je zoveel functies aanmaken en standaarden genereren binnen WordPress en zo voorkom je weer dat je 4 andere plugin nodig hebt voor enkele functies.
  4. Contact form 7 – Voor het maken van contact formulieren met velden op maat

Als beveiliger van websites bij WPbeveiligen zie ik wekelijks WordPress websites die te veel plugins gebruiken waardoor de website traag wordt en het risico loopt om gehackt te worden.

Het installeren van een plugin is zo gebeurd, maar het is niet aan te raden om zomaar van alles te downloaden en te activeren.

Do’s en dont’s met plugins

Wat je niet moet doen met plugins:

  • Meerdere beveiligingsplugins inzetten in de hoop dat ze allemaal bij elkaar de hackers op afstand kunnen houden.
  • Meer dan 10 plugins inzetten. Het vertraagt je WordPress website en elke plugin kan nu of later een lek bevatten.
  • Backups draaien via 3-of-meer plugins. Je dataruimte raakt snel vol en voor je het weet update WordPress niet meer of kun je geen afbeeldingen meer uploaden omdat je datalimiet  overschreden is.
  • Plugins langer dan een jaar niet updaten. Je kunt best even een maandje of langer wachten om zeker te zijn dat de bugs/kinderziektes eruit zijn maar wacht niet te lang!
  • Schrijfrechten geven waarmee ze alle mappen kunnen gebruiken om bestanden toe te voegen of aan te passen.
  • Betaalde premium plugins gratis illegaal downloaden van een website (Er zitten vaak backdoors in)

 

Wat je wel kunt doen op het gebied van plugins:

  • Plugins gebruiken die je legaal hebt gekocht van bijvoorbeeld de Envato market.
  • Plugins downloaden via WordPress.org die goede referenties hebben en recent zijn bijgewerkt en tevens getest zijn en functioneren met de door jou gebruikte WordPress release.

 

Tip voor als je de plugins extreem wilt beveiligen:

Plugins zoals Ithemes en Yoast Seo laten sporen achter in de broncode. Klik maar eens met je rechter-muis-button en kies “broncode” dan kom je die info tegen inclusief versienummer.

Met deze gegevens kan een hacker de exploit (lek) erbij pakken en toepassen. Die beschrijvingen kun je uit de plugin coderen maar er zijn vaak ook functions.php filters voor te vinden zodat je dit niet elke plugin na update moet herprogrammeren.

 

Featured image for WordPress beveiligen tegen hackers in category BEVEILIGEN

WordPress beveiligen tegen hackers

/3 Reacties/in , , ,

WordPress is de afgelopen jaren populair geworden bij ondernemers, bij ontwerpbureau’s en ook bij bedrijven waar miljoenen verdiend worden.

Bedrijven laten een ontwerp maken, zetten een marketing team op om de website te vullen en laten dan alles met WordPress online plaatsen.

Omdat WordPress door zoveel grote bedrijven gebruikt wordt, is WordPress ook een interessant doelwit geworden voor hackers.

Hackers kunnen WordPress namelijk gratis downloaden en testen op lekken, ze misbruiken de functies van WordPress en gebruiken upload mogelijkheden en berichten om hun eigen informatie weer te geven.

Om die reden is het erg belangrijk om je WordPress website te beveiligen!

Wat kan er gebeuren als een hacker je website hackt?

Bij 80% van de hacks gaat het om een spam script dat ervoor zorgt dat je website e-mails gaat versturen met jouw domeinnaam.

Het script probeert dan zoveel mogelijk mails te sturen en zo hun producten aan te bieden aan grote groepen mensen.

10% van de hackers is het erom te doen om bekend te worden of gewoon een “stoere” streek uit te halen en dan zal je website zijn logo en tekst gaan vertonen.

De overige 10% helpt je website om zeep en zorgt simpelweg dat je website het helemaal niet meer doet.

Als je website eenmaal gehackt is..

Als je WordPress website eenmaal gehackt is, kom je er helaas niet zo makkelijk meer vanaf.

Als een plugin, thema of je WordPress lek is heeft de hacker of een script vaak een “backdoor” in 1 van de honderden bestanden gezet.

(Een backdoor is even simpel vertaald een achterdeurtje die WordPress open zet door middel van een admin gebruiker, door het versturen van FTP gegevens of door middel van een bepaalde link die toegang verschaft tot de database.)

Wat kan ik doen om mijn WordPress website te beschermen?

Ik heb enkele simpele stappen voor je die je zelf kunt doen om je WordPress website veiliger te maken. Let op, er zijn nog veel meer lekken die gedicht moeten worden maar met deze stappen ben je op de goede weg.

  1. Verander je admin username. Admin is heel standaard en bekend bij iedere hacker en script
  2. Update je WordPress en themes en plugins
  3. Download geen illegale premium plugins
  4. Verwijder plugins die je niet gebruikt
  5. Zet een beveiligingsplugin in zoals WordFence of Ithemes Security

Ik wil een professional die mijn WordPress website beveiligt!

Ik ben Mathieu van WPbeveiligen.nl

Ik werk sinds 2007 met WordPress en ben al jaren actief als programmeur-vormgever.

De ervaring die ik heb opgebouwd in alle jaren gebruik ik sinds 2010 als full-time WordPress beveiliger.

Wil je jouw WordPress website laten beveiligen?

Neem direct contact op! Ook als je website al gehackt is, zorg ik ervoor dat je website weer zo goed als nieuw wordt en goed beveiligd is.

Hier geef ik ook garantie op!

Featured image for De tussentijdse hack statistieken van 2015 in category BEVEILIGEN

De tussentijdse hack statistieken van 2015

/2 Reacties/in ,

Dat er diverse lekken in plugins en thema’s zijn.. dat weten we als WordPress gebruiker allemaal.

WPscan, 1 van de grootste databases voor het bijhouden en vinden van lekken is heel open over de gevaren van WordPress en de plugins.

De statistieken van WordPress 2015:

1079 plugins zijn bekend met gevaarlijke lekken

362 thema’s hebben lekken

98 versies van WordPress hebben lekken

Maandelijks komen hier nog gemiddeld 25 lekken bij.

De definitie van een lek: dit is de mogelijkheid die een plugin of thema biedt voor hackers of scripts om op je server of in je WordPress website te komen en daar veranderingen aan te brengen of bestanden bij te schrijven.

Wat er gebeurt als een hacker toegang krijgt tot je website is in diverse eerdere artikelen beschreven.

Wat zeggen deze statistieken over WordPress?

Hoewel WordPress in het verleden diverse malen gekraakt is door hackers, is het aantal plugins dat gekraakt is 10x zo hoog.

Dat bevestigt maar weer hoe spaarzaam je moet omgaan met het gebruiken van plugins.

In diverse artikelen heb ik beschreven dat het raadzaam is om 3-5 en hoogstens 8 plugins gebruikt kunnen worden om een website op te zetten.

Hoe vaak ik nog websites tegen kom met 20 tot 25 plugins..

Dat je een plugin gebruikt om de SEO te regelen is begrijpelijk (all in one seo / yoast seo), en wellicht om bezoekers statistieken bij te houden (count per day) is begrijpelijk en voeg daar dan nog een social plugin aan toe (simple social buttons adder).

Maar gerelateerde posts plugins, widgets extentie plugin, analytics code plugins, 3 of meer beveiligingsplugins, 3 social follow plugins, share plugins, comment plugins die meerdere malen worden ingezet of gewoon meedraaien zonder gebruikt te worden.. dat is vragen om problemen.

Om nog maar te zwijgen over de snelheid van de website die flink achteruit gaat en de css/jquery scripts die al de plugins inladen in de front-end en de back-end wat grote nadelen heeft voor de werking van je website.

wordpress plugins

WordPress heeft enorm veel functies ingebouwd, deze kunnen met simpele lijnen code worden opgeroepen of op maat gemaakt worden.

De functions.php in je theme geeft enorm veel mogelijkheden om functies te injecteren in je website zonder daar een overdaad aan plugins voor te gebruiken.

Kortom, een WordPress website hoeft niet overladen te worden met plugins. Investeer even iets meer tijd of budget en laat je website op maat ontwikkelen. In de toekomst zal dit zijn resultaten opleveren.