WordPress plugins, het thema en de beveiliging onderhouden

WordPress plugins, het thema en de beveiliging onderhouden
datum-geschreven 14 sep 2017

WordPress is een gratis Open Source software wat je moet onderhouden om te zorgen dat hackers geen kans krijgen. Denk hier niet aan hackers die zich persoonlijk op je website richten maar aan de geautomatiseerde scripts die met Google speuren naar verouderde plugins en thema’s met lekken.

In dit artikel leggen we uit welke onderdelen van WordPress onderhouden moeten worden en hoe je dat onderhouden geregeld kunt doen zonder het risico te lopen dat je meer problemen veroorzaakt dan dat je voorkomt.

WordPress plugins onderhouden

Zorg ervoor dat je zo min mogelijk plugins gebruikt en verwijder plugins die je niet gebruikt, ook al staan ze ge-deactiveerd!

inactieve-plugin

Niet alle plugin updates zijn direct nodig

Er komen maandelijks, wekelijks en soms zelfs dagelijks nieuwe updates uit voor plugins.
Maar het betekent niet dat alle updates even belangrijk zijn. Veel plugin updates brengen alleen nieuwe mogelijkheden of bufixes en zijn dus niet van direct belang voor het veilig houden van je WordPress website.

Update de plugins geregeld, denk aan elke 3 maanden. Tenzij je leest dat er een lek gevonden is is bij een specifieke plugin die je gebruikt.

WordPress thema’s onderhouden

wordpress thema

Als eerste moet gezegd worden je alleen het actieve thema op je server moet laten staan. Niet alle thema’s die je ooit een keer geprobeerd hebt 😉 Hackbots checken de server namelijk op thema’s met lekken en gebruiken die als ingang om je website te vullen met Malware.

Zeker de thema’s die standaard bij WordPress meekomen, kun je verwijderen (mits niet in gebruik).
Denk hierbij aan het twentyten, twentyeleven, twentytwelve.. etc

Je kunt de thema’s via de FTP verwijderen maar ook door op de themadetails van het thema te klikken De Themadetails knop verschijnt als je met de muis op de thumbnail gaat staan, daarna zie je rechtsonder een link “verwijderen”.

WordPress “core” onderhouden

Er komen maandelijks, soms zelfs wekelijks updates uit. Niet elke update is relevant voor de veiligheid. Wacht even een dag met updaten aangezien er soms bugs/fouten in de nieuwe releases voorkomen.

Lees hier op WordPress.org wat voor update het is, een beveiligings-update of een upgrade van nieuwe mogelijkheden.

De server onderhouden

Als je een Shared pakket hebt
Dit is het instap-model voor enkele euro’s per maand. Je staat met diverse anderen op 1 server en wanneer die gehackt worden, zal de snelheid van jouw website er ook onder lijden. Tevens kan het gedeelde IP adres op de Blacklist komen wat ervoor zorgt dat je mails niet meer aankomen.

Voordeel is wel dat de hoster de software up-to-date houdt. Je hoeft zelf dus niets te onderhouden.

Als je een Managed VPS hebt
Met een Managed VPS zit je doorgaans goed. De server wordt dan door de hoster ge-update en voorzien van belangrijke veiligheids-patches.

Een un-Managed VPS
Als je een “unmanaged” VPS hebt, betekent dit dat er geen onderhoud aan zal worden gedaan door de webhoster. Je bent zelf verantwoordelijk voor het onderhouden en updaten van php, centos etc.
Kies dit pakket alleen als je verstand van Linux of ISS hebt inclusief shell.

Een goedkope webhoster
Sommige budget-hostingpartijen zijn traag met updaten, en zo kunnen bekendgemaakte lekken op de server gebruikt worden om virussen in je website te zetten. Dat wil je voorkomen aangezien die lastig te vinden zijn en het verwijderen veel werk kan zijn.

De beveiliging onderhouden

De beveiliging van je WordPress website is enorm belangrijk. Cybercrime is 1 van de grootste veroorzakers van problemen met WordPress – het is een wereldwijd probleem dat zelfs grote banken zoals de ING en de Rabobank treft, maar dat terzijde.

De beveiliging van je website start met 1 goede plugin. We leggen de nadruk op 1 plugin aangezien we geregeld zien dat er meerdere plugins tegelijk ingezet worden wat alleen maar zorgt voor problemen.

Als de beveiliging goed ingesteld is kun je de updates van die plugin het beste zo snel mogelijk doorvoeren.

Tevens is het belangrijk de logboeken geregeld na te kijken om te zien of alles nog goed gaat.
Schrik hier niet van alle aanvallen, dat is standaard bij elke WordPress website die op Google te vinden is.

Een goed onderhouden beveiligingsplugin hoort 99% van alle aanvallen tegen te houden.

Tot slot

backupAls je alles goed onderhouden hebt kan er altijd nog iets gebeuren, maak daarom backups!

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
2 Reacties
Inline Feedbacks
Bekijk alle reacties
Erwin

Kortgeleden (sinds versie 5.4) kreeg ik emails van alle websites die ik beheer dat WordPress naar versie 5.4.1 is geupdate. Blijkbaar gaat het updaten automatisch. Dat is me nooit opgevallen. Tot nu toe deed ik het altijd handmatig. Is dat iets nieuws of gaan kleine updates altijd al handmatig?

Arno

Bedoel je met de WordPress Core alleen WordPress zonder thema’s en plugins? Als de hoster voor het updaten daarvan zorgt, moet je dan toch zelf de plugins en thema’s updaten?