Het hoort niet uit te maken of je een premium of gratis versie van een plugin gebruikt. Ook de gratis versie moet veilig zijn! Dat is de verantwoordelijkheid die de pluginbouwer heeft.
Dat is hoe wij erover denken.
Maar…
Helaas zijn wij diverse voorbeelden tegengekomen in die uitwijzen dat een premium / pro plugin eerder ge-update wordt bij een lek dan de gratis variant.
Bij diverse plugins worden de lekken maandenlang niet opgelost in de gratis versie!!
Enkele voorbeelden waarbij de premium / pro versie veiliger is dan de gratis versie:
WordFence Security
WordFence is een plugin die je WordPress website beveiligt. En ja, de gratis versie is ook behoorlijk veilig en up-to-date.
Maar..
ze updaten de gratis versie eens per maand
Zoals ze het zelf zeggen “every thirty days“.
De premium / pro versie waar je voor betaald krijgt live updates. Dus direct wanneer het nodig is. Zowel de bestanden als de firewall die hacks tegenhouden wordt live up-to-date gehouden.
iThemes Security
Ook een plugin waarmee je WordPress beveiligt. iThemes Security geeft de betaalde versie veel meer aandacht dan de gratis variant. Een beveiligingsupdate wordt vrij vlot doorgevoerd in de premium versie maar..
soms blijft een exploit weken tot maanden hangen in de gratis versie
Diverse andere plugins
Er zijn veel voorbeelden van plugins waar lekken ontstaan die de pluginbouwers gemeld krijgen.
De patch (fix tegen de hack) wordt dan na 5-10 dagen doorgevoerd in de premium / pro versie maar de gratis versie blijft achter.
Soms blijft een lek maanden in de plugin zitten nadat een lek bekend is waarbij die zelfs uit de WordPress plugins database verdwijnt
Het goede nieuws
Wanneer gratis plugins op WordPress.org staan worden ze verwijderd totdat het lek gemaakt is.
Er zijn diverse partijen die de lekken melden bij WordPress en er is een zero tolerantie beleid wat betreft lekke plugins.
Een lek / exploit, wat moet ik me daarbij voorstellen?
Enkele voorbeelden van recente lekken in plugins:
- De administrator lek
Het komt geregeld voor dat een lek in een plugin toestaat dat er een administrator account aangemaakt wordt.
Als een hacker of script toegang heeft met administrator-rechten, kan die alles doen wat hij wil.
Meestal wordt er reclame in je website gezet, of een script ge-upload waarmee reclame via je website verzonden kan worden naar duizenden adressen..
En daarna worden de overige administratoren verwijderd. Kortom, je komt niet meer in je website om de hack ongedaan te maken.
Het spreekt voor zich dat dit lek bij bekend raken zo snel mogelijk opgelost moet worden en niet weken tot maanden in een website moet zitten. - De database injectie
Plugins hebben vaak invoervelden op de front-end (Voorkant) van je website. Denk aan review plugins, contact formulieren e.d.
Als die velden niet goed beveiligd zijn, kan een hacker of script die simpelweg misbruiken om data in je database te zetten.
Binnen 1 seconden kan zo’n script dan administratoren aanmaken in de database, tekstwijzigingen doorvoeren in je gehele website met alle gevolgen van dien. - De nieuwsbrief hack
Heb je een nieuwsbrief formulier? Waar bezoekers zich in kunnen schrijven? In het verleden zijn er lekken in zulke plugins gevonden waardoor de hacker zijn e-mailadres kon toevoegen als aanmeldadres. Dat betekent dat iedere aanmelding van een bezoeker ook bij hem bekend werd. Je vraagt je af wat een hacker daarmee moet, maar grote aantallen e-mailadressen met namen zijn geld waard. Daar wordt reclame naar gestuurd. Er zijn personen die lijsten met e-mailadressen en voor+achternamen opkopen.
Ook weer een lek waarvan je niet wilt dat die misbruikt wordt. Je hebt het niet snel door maar je gebruikers hebben er veel last van aangezien die de spam binnenkrijgen. - Het WooCommerce lek
Plugins die je webshop verbeteren hebben vaak toegang tot de database. In je database staan alle accounts van je klanten. Er zijn diverse lekken voorgekomen in het verleden waarbij plugins hackers toegang gaven tot de database en alle klant-informatie.
Het behoeft geen uitleg dat zo’n hack direct of z.s.m gefixt moet worden wanneer die eenmaal bekend wordt!
Wie test mijn website op lekken?
Je verwacht natuurlijk dat jouw webshop niet vaak getest wordt. En dat een lek daardoor niet zo snel misbruikt kan worden.
Helaas werkt dit niet zoals je denkt.
Wanneer een lek bekend wordt, schrijven hackers scripts die als volgt werken:
1. Het script zoekt op Google naar webshops (Daar sta jij ook tussen)
2. Het script doet aanvragen op de websites naar de bekende lekke plugins
3. Wanneer de lekke plugins gevonden wordt, gebruik het script dat bekende lek om een hack uit te voeren
Veilig met een beveiligingsplugin, toch?
Zelfs wanneer je website beveiligd is, kan zo’n lek nog misbruikt worden. Beveiliging staat namelijk de (uit)werking van plugins toe, anders zou je website niet kunnen functioneren! De plugins up-to-date houden zodat er geen lekken in zitten is daarom erg belangrijk.
Conclusie
Nu je weet dat de bouwers van plugins de premium / pro versie eerder veilig maken.. kun je overwegen om een premium te kopen. Zeker als je afhankelijk bent van je website voor inkomsten, of als je een webshop hebt met veel klanten.
Premium is nog altijd geen garantie voor 100% veiligheid, maar uit de voorbeelden is gebleken dat het wel een verschil maakt.
Ik beheer een website van een sportclubje. Is het echt nodig om van alle plugins die je gebruikt de premium versie te nemen? Je moet dan ieder jaar een bedrag betalen om te kunnen blijven updaten. Je bent dan al gauw een paar honderd euro per jaar kwijt aan de licenties.
Voor diverse kleine of hobby-websites kun je meestal zonder de premium versie. Als de website zwaar gaat wegen in de zin dat het een hoofd-inkomstenbron wordt of wanneer er veel personen afhankelijk zijn van de website is het voor bepaalde plugins aan te raden premium te nemen.
Denk bijvoorbeeld aan de beveiligingsplugins.
Wanneer je webbouwer een premium plugin of thema gebruikt, waar geen gratis versie van is heb je wel te maken met jaarlijks terugkerende kosten om die plugin up-to-date te houden.
Misschien is het goed om daar afspraken over te maken met de webbouwer, dat die de plugin geregeld update met zijn licentie.
Het gaat hier om een Zero-Day Vulnerability in ThemeREX.
“For the time being, we urge that site owners running the ThemeREX Addons plugin remove it from their sites immediately. Sites running Wordfence Premium have been protected from attacks against this vulnerability since February 18th, 2020. Sites running the free version of Wordfence will receive the firewall rule update on March 19th, 2020.”
Nou, zo heb je dus niets aan de gratis versie. Dat bevestigt de beweringen in dit artikel. In ieder geval is het verstandig als je een beveiligensplugin gebruikt, altijd de premium versie te nemen.
Link: https://www.wordfence.com/blog/2020/02/zero-day-vulnerability-in-themerex-addons-plugin-exploited-in-the-wild/
Het is wat hè vanaf nu duurt het nog een maand voordat ze het ook in de firewall regelen bij de gratis versie.
Je kunt beter een goed thema met ingebouwde pagebuilder kopen. Dan heb je verder vrijwel geen plugins meer nodig, (hoogstens) een beveiligingsplugin. Een goed voorbeeld hiervan is Themify Ultra. Dit thema wordt geregeld ge-update.
De kosten per jaar vallen ook mee ongeveer 55 dollar per jaar voor een onbeperkt aantal sites.
Als je de betaalde versie van iThemes Security of een andere goede betaalde security plugin gebruikt, worden dan de lekken in andere gratis plugins ontdekt? Zodat je met de gratis plugins minder risico loopt?
het verbaast me hoeveel plugins een jaarlijke betaling verwachten. ik ontwerp websites voor mijn klanten en wanneer ik die vertel dat ze jaarlijks pluginkosten aan mij of aan themeforest moeten betalen vinden ze dat vreemd.
heb je daar een tip voor? ik weet wel dat er ook unlimited licenties zijn maar die zijn behoorlijk prijzig.
Ik zie vaak dat 1 licentie voor meerdere website gebruikt wordt. Is niet de beste oplossing en ik zal het zeker niet aanraden, omdat je de sites handmatig dan bij moet houden omdat auto-update van die plugins niet werken. Maar als je die nazorg in het contract bespreekt kan het voor beide kostenbesparend werken. Maar als je geen onderhoud aan de sites van je klanten doet is het onhandig voor als ze de plugin niet kunnen updaten. Kortom de klant wordt zo erg afhankelijk van jou, en jij bent verantwoordelijk voor het updaten van de plugin.
Mocht je een plugin of thema overigens meer dan 5x gebruiken is een unlimited licentie of een alternatief zonder licentieproblemen het beste. Er zijn diverse plugins waarbij je niet jaarlijks aan een licentie vast zit.
Of je gaat toch voor een gratis plugin, iets meer risico zoals de research laat zien maar alles is beter dan een verouderde premium plugin.