Wat WordPress doet voor een betere WordPress beveiliging kun je snel over het hoofd zien. Tenzij je de release notes leest van de WordPress releases.
Ondanks dat Automattic natuurlijk het liefst werkt aan updates om WordPress een mooier en krachtiger CMS te maken zijn de laatste releases (nieuwe updates) voornamelijk gelanceerd met nieuwe oplossingen voor exploits die de community hebben aangedragen.
De krachtige functies en veiligheidsupdates maken WordPress op dit moment nog steeds het populairste Content Management Systeem over de gehele wereld. En dit is niet voor niets, want WordPress biedt gebruikers maandelijks vele nieuwe opties, nieuwe plugins en nieuwe thema’s voor een aantrekkelijke prijs. En omdat WordPress vrij gemakkelijk in gebruik is, kan eigenlijk iedereen wel aan de slag met dit CMS.
Helaas brengt het gebruik van WordPress ook een groot nadeel met zich mee. De beveiliging van WordPress is namelijk niet altijd even goed, waardoor je als gebruiker van WordPress het risico loopt in om aanraking te komen met virussen en hackers. Wat de huidige status van de beveiliging van WordPress is, hoe het komt dat de beveiliging van WordPress niet altijd goed is en wat WordPress op dit moment doet om de WordPress beveiliging te verbeteren, lees je in dit artikel.
Wat is de huidige status van de WordPress beveiliging?
Enkele jaren geleden stond WordPress bekend als extreem onveilig CMS. Dit kwam onder andere vanwege de open source code van het Content Management Systeem, waardoor niet alleen gebruikers maar ook kwaadwillenden volledig inzicht hebben in de code van het CMS. Echter, om het imago van WordPress te verbeteren en de WordPress beveiliging te verbeteren, heeft WordPress enkele acties uitgevoerd. De code van WordPress is nog steeds open source, maar er zijn op dit moment wel meer mogelijkheden om de beveiliging van jouw WordPress website te verbeteren en jezelf te beschermen tegen hackers en virussen op jouw website.
Denk aan de bescherming van bestanden die op de server staan. In diverse nieuwe WordPress releases zijn de bestanden zo aangepast dat je de hoofdgebruiker of serverbeheerder moet zijn om bepaalde risicovolle bestanden te kunnen lezen, uitvoeren of beschrijven.
Waarom is de WordPress beveiliging nog niet altijd goed?
Hoewel WordPress diverse acties heeft ondernomen om de beveiliging van het CMS te verbeteren, zijn WordPress websites nog steeds regelmatig het slachtoffer van hackers en virussen. Dit komt echter niet omdat WordPress zelf tekort schiet in het bieden van een veilige omgeving. Zo kan de oorzaak van de soms slechte beveiliging van WordPress websites en het feit dat deze websites nog vaak de dupe zijn van hackers en virussen gewijt worden aan de duizenden plugins en thema’s waar WordPress zelf geen zicht op heeft. WordPress zelf is namelijk wel veilig, maar de vele plugins en thema’s die je voor jouw WordPress website kunt gebruiken, zijn helaas niet allemaal even veilig.
Daar komt nog bij dat veel gebruikers van WordPress zelf niet voldoende ondernemen om hun WordPress website beter te beveiligen. Zo kiezen veel WordPress gebruikers een slecht wachtwoord, een slechte gebruikersnaam of een combinatie van een slecht wachtwoord en een slechte gebruikersnaam, waardoor hackers gemakkelijk in de adminomgeving van de WordPress website kunnen komen. De slechte beveiliging van WordPress is dan ook voornamelijk te wijten aan het feit dat er duizenden onveilige plugins en thema’s zijn, maar ook omdat gebruikers zelf soms naïef zijn bij het gebruiken van WordPress.
Wat doet WordPress nog meer om de WordPress beveiliging te verbeteren?
Wat WordPress doet om de beveiliging van jouw WordPress website te verbeteren, is simpelweg het bieden van de juiste opties en mogelijkheden om jouw website te beveiligen. Zo creëert WordPress een adminomgeving waarbij je als gebruiker zelf bepaalde instellingen kunt veranderen om de WordPress beveiliging van jouw website te verbeteren, maar kauwt WordPress gebruikers niet voor hoe dit het beste gedaan kan worden. Je bent als gebruiker van WordPress dan ook zelf verantwoordelijk om de WordPress beveiliging van jouw website te verbeteren, bijvoorbeeld door een veilige gebruikersnaam en een veilig wachtwoord te kiezen.
Daarnaast geeft WordPress je als gebruiker zelf de verantwoordelijkheid om alleen betrouwbare plugins en thema’s te downloaden voor je WordPress website. WordPress verwijdert dus geen onbetrouwbare plugins en thema’s (dit zou onbegonnen werk zijn), maar laat je als gebruiker met je eigen gezonde verstand bekijken welke plugins en thema’s betrouwbaar zijn
WordPress helpt je wel met een plugin database die door de community gebruikt wordt en waar ook reacties geplaatst kunnen worden wanneer blijkt dat plugins problemen veroorzaken. Ook zie je een duidelijke notificatie bij iedere plugin als die 2 jaar of langer geen updates heeft ontvangen.
Conclusie
WordPress stond voorheen bekend als een onveilig CMS, maar recent is de WordPress beveiliging zeker verbeterd. Dit komt voornamelijk omdat WordPress een veilige adminomgeving en basis probeert te creëren. Helaas is WordPress nog niet honderd procent veilig en dit zal het CMS ook nooit worden door de invloeden van buitenaf. De reden dat de WordPress beveiliging soms nog te wensen overlaat, komt vanwege het feit dat er nog tientallen onveilige plugins en thema’s in omloop zijn en gebruikers vaak niet de juiste stappen ondernemen om WordPress te beveiligen. Het is dan ook niet de taak van WordPress om gebruikers te beschermen, maar de verantwoordelijkheid van gebruikers zelf om gebruik te maken van de beveiligingsopties die WordPress te bieden heeft en onbetrouwbare plugins en thema’s uit de weg te gaan.
Veel plugins is een groot veiligheids risico. Waarom bouwt de maker van WordPress niet een aantal plugins voor de standaard dingen die op websites staan? De Gutenberg-editor vind ik ook niet erg geweldig.
ik heb diverse websites en de websites die maar 3 plugins hebben (all in one seo + contact form 7 en nextgen gallery) doen het al jaren zonder probleem. soms update ik die site maar 1x per jaar. nu heb ik ook een site met 14 plugins maar die is al 2x aan het spammen geweest. dan zet de hosting de site offline en moet ik de bestanden verwijderen. wat een gedoe is dat.