De beveiliging van WordPress en ClassicPress websites is essentieel. Met grote regelmaat zien wij aanvallen op WordPress en ClassicPress websites. Daarvoor zijn veel plugins beschikbaar en allemaal hebben ze hun voordelen en nadelen. De beveiliging van WordPress en ClassicPress websites hoeft niet veel te kosten. Sterker nog: de basisbeveiliging is zelfs gratis.
Vertrouw voor het beveiliging van WordPress en ClassicPress websites niet op de standaard ‘gebruikersnaam en wachtwoord’-optie van deze systemen die nodig zijn voor het inloggen. Er zijn namelijk veel meer punten waarop een website beveiligd moet worden. Het gaat te ver om hier heel diepgaand op alle potentiële kwetsbaarheden van WordPress in te gaan. De populariteit van WordPress maakt het platform een gewild doelwit voor kwaadwillenden van over de hele wereld en het mag ook duidelijk zijn dat geen enkel systeem helemaal waterdicht is. Dat geldt ook voor WordPress.
Kwetsbare websites
Elk jaar worden honderdduizenden WordPress sites gehackt. Dat zijn er inderdaad erg veel. Echter, als je kijkt naar het aantal websites dat WordPress of ClassicPress gebruikt (honderden miljoenen installaties volgens Google) is het maar een heel klein percentage. Waarvan dan ook nog weer eens een groot deel verouderde WordPress installaties betreft.
“Our research team tracked a massive ongoing campaign which leveraged over 54 vulnerable plugins, themes and components during the 2019 calendar year. This campaign was responsible for redirecting site visitors to fake tech support and push notification scams.” – Sucuri
Dit is een trend die al jaren gaande is. Met de introductie van WordPress 5.x is dit probleem alleen maar groter geworden.
Op dit moment zijn naar schatting tot wel 45 miljoen WordPress websites potentieel kwetsbaar voor aanvallers doordat plugins niet meer bijgewerkt worden in WordPress. Eigenaren van websites zijn zich hier niet van bewust omdat ze geen melding meer krijgen dat de plugin een update nodig heeft. Dit probleem wordt veroorzaakt doordat het WordPress update mechanisme ‘by design’ zo ontworpen is dat updates niet standaard geport worden naar oudere versies (dat is ondoenlijk) en ontwikkelaars van plugins vaak alleen de nieuwste versie ondersteunen (lees hier verder).
Deze problemen met de beveiliging van WordPress en ClassicPress los je niet simpelweg op door een beveiligingsplugin. Die zijn alleen oplosbaar door te zorgen dat je WordPress en ClassicPress websites én de plugins die je gebruikt binnen deze systemen up to date zijn.
Beveiliging van WordPress en ClassicPress
Voor de beveiliging van WordPress en ClassicPress zijn daarnaast goede beveiligingsplugins essentieel. Zij zorgen dat het inbrekers verdraaid moeilijk wordt om in je systeem te komen. De AVG stelt ook dat het verplicht is dat je er alles wat binnen je mogelijkheden ligt doet om je website te beveiligen. Zéker als je data verwerkt. En dat doe je al snel: een contactformulier is data verwerken.
Het gebruiken van een beveiligingsplugin kost, in de basis, niets. De basis-installatie er van is ook relatief eenvoudig.
Onze favoriete plugins voor beveiliging zijn:
- WordFence
een uitstekende, uitgebreide, plugin met een achterliggend team dat je regelmatig op de hoogte houdt van beveiligingsproblemen, noodzakelijke updates en patches, zelf veel onderzoek doet en hoog aangeschreven staat. De plugin biedt onder andere 2FA beveiliging en Google’s reCaptcha v3. Niet geschikt voor ClassicPress. Meer informatie/website. - ShieldSecurity
een eveneens zeer uitgebreide plugin, met goede analyse van je website en beveiligingssuggesties. Een Wizard leidt je door het installatieproces en daarna kun je nog heel veel zelf ‘tweaken’ oftewel aanpassen en verbeteren. ShieldSecurity ondersteund naast uiteraard WordPress eveneens ClassicPress. Unieke functie van ShieldSecurity: wanneer je wilt kun je de beveilingsplugin met een eigen, extra, “pincode” beveiligen. Dat betekent dat wanneer iemand onverhoopt tot je WordPress dashboard doordringt deze de beveiliging niet kan uitschakelen! Ook ShieldSecurity ondersteund Google reCaptcha (versie 2). Meer informatie/website. - All-In-One WP Security
eveneens een goede plugin. Deze heeft als extra dat je bestanden kunt controleren, de login-pagina kunt verbergen (wat overigens geen toegevoegde waarde heeft) en de database-prefix kunt aanpassen (beter van niet, kan de website crashen!). Enige voorzichtigheid en kennis van zaken is dus gewenst bij deze plugin! Meer informatie.
Uiteraard zijn er nog veel meer plugins op dit gebied. Zie voor een volledig overzicht de WordPress website. Elke plugin heeft zijn voor- en nadelen. We kunnen niet zeggen welke ‘de beste’ is maar de hier genoemde plugins hebben alle drie een uitstekende reputatie en we hebben er goede ervaringen mee.
